Go to main content
Oracle® Solaris 11.3 でのシステムおよび接続されたデバイスのセキュリティー保護

印刷ビューの終了

更新: 2017 年 3 月
 
 

ファイルアクセスの制御

Oracle Solaris は、システムにログインしているすべてのユーザーが、ほかのユーザーに属しているファイルを読み取ることができるマルチユーザー環境です。さらに、適切なアクセス権をもっているユーザーは、ほかのユーザーに属しているファイルを使用できます。詳細は、Oracle Solaris 11.3 でのファイルのセキュリティー保護とファイル整合性の検証 の 第 1 章, ファイルアクセスの制御を参照してください。ファイルに適切なアクセス権を設定する手順については、Oracle Solaris 11.3 でのファイルのセキュリティー保護とファイル整合性の検証 の ファイルの保護を参照してください。

ディスク上のファイルの暗号化

ほかのユーザーがアクセスできないようにすることによって、ファイルを安全に保つことができます。たとえば、600 のアクセス権を持つファイルは、その所有者と root アカウントを除き、読み取ることができません。アクセス権 700 の付いたディレクトリも同様です。ただし、ほかのだれかがユーザーパスワードや root パスワードを推測して発見すると、そのファイルにアクセスできます。さらに、アクセス不能なはずのファイルも、システムファイルのバックアップをオフラインメディアにとるたびに、バックアップテープ上に保存されます。保護を強化するために、ディスク上の暗号化または暗号化フレームワークのコマンドを使用できます。

ZFS ファイルシステムの詳細は、Oracle Solaris 11.3 での ZFS ファイルシステムの管理 の ZFS ファイルシステムの暗号化を参照してください。

暗号化フレームワークは、digestmac、および encrypt コマンドを提供します。通常のユーザーは、これらのコマンドを使用してファイルやディレクトリを保護することができます。詳細は、Oracle Solaris 11.3 での暗号化と証明書の管理 の 第 1 章, 暗号化フレームワークについてを参照してください。

アクセス制御リストの使用

ACL (「アクル」と読む) では、ファイルアクセス権の制御をより強化できます。ACL は、従来の UNIX ファイル保護機能では不十分な場合に追加で使用します。従来の UNIX ファイル保護機能は、 所有者、グループ、その他のユーザーという 3 つのユーザークラスに読み取り権、書き込み権、実行権を提供します。ACL では、ファイルセキュリティーを管理するレベルがさらに詳細になります。

    ACL を使用すると、次に示すような、きめ細かいファイルアクセス権を定義できます。

  • 所有者のファイルアクセス権

  • 所有者のグループのファイルアクセス権

  • 所有者のグループに属していないユーザーのファイルアクセス権

  • 特定ユーザーのファイルアクセス権

  • 特定グループのファイルアクセス権

  • 以上のカテゴリそれぞれのデフォルトアクセス権

アクセス制御リスト (ACL) で ZFS ファイルを保護するには、Oracle Solaris 11.3 での ZFS ファイルシステムの管理 の 第 9 章, ACL および属性を使用した Oracle Solaris ZFS ファイルの保護を参照してください。レガシーファイルシステムでの ACL の使用については、Oracle Solaris 11.3 でのファイルのセキュリティー保護とファイル整合性の検証 の アクセス制御リストによる UFS ファイルの保護を参照してください。

システム間でのファイルの共有

ネットワークファイルサーバーは、どのファイルを共有できるかを制御できます。また、共有ファイルにアクセスできるクライアント、およびそれらのクライアントに許可するアクセス権の種類も制御します。ファイルサーバーは、すべてのクライアントまたは特定のクライアントに、読み取り権と書き込み権、または読み取り専用アクセス権を与えることができます。アクセス制御は、share コマンドでリソースを利用可能にするときに指定します。

ZFS ファイルシステムの NFS 共有を作成すると、共有を削除するまでファイルシステムは永続的に共有されます。システムをリブートすると、SMF は共有を自動的に管理します。詳細は、Oracle Solaris 11.3 での ZFS ファイルシステムの管理 の Oracle Solaris ZFS 機能を参照してください。

共有ファイルへの root アクセスの制限

通常、スーパーユーザーは、ネットワーク上で共有されるファイルシステムには root としてアクセスできません。NFS システムは、要求者のユーザーをユーザー ID 60001 を持つユーザー nobody に変更することによって、マウントされているファイルシステムへの root アクセスを防止します。ユーザー nobody のアクセス権は、公共ユーザーに与えられているアクセス権と同じです。つまり、ユーザー nobody のアクセス権は資格をもたないユーザーのものと同じです。たとえば、ファイルの実行権しか公共に許可していなければ、ユーザー nobody はそのファイルを実行することしかできません。

NFS サーバーは、共有ファイルシステムへの root アクセスをホスト単位で与えることができます。これらの特権を付与するには、share コマンドの root=hostname オプションを使用します。このオプションは慎重に使用してください。NFS でのセキュリティーオプションについては、Oracle Solaris 11.3 でのネットワークファイルシステムの管理 の 第 5 章, ネットワークファイルシステムを管理するためのコマンドを参照してください。

Copyright © 2002, 2017, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ