Go to main content
Oracle® Solaris 11.3 でのファイルのセキュリティー保護とファイル整合性の検証

印刷ビューの終了

更新: 2016 年 1 月
 
 

制御目録を作成する方法

この手順では、比較用のベースライン (制御) 目録の作成方法について説明します。このタイプの目録は、中央のイメージから多数のシステムをインストールするときに使用してください。または、インストールが同一であることを確認したい場合は、このタイプの目録を使用して比較を実行してください。制御目録の詳細は、BART 目録を参照してください。形式の規則を理解するには、使用例 7を参照してください。

注 - ネットワーク化されたファイルシステムをカタログ化しようとしないでください。BART を使用して、ネットワーク化されたファイルシステムをモニターすると、ほとんど価値のない目録を生成するために大量のリソースが消費されます。

始める前に

root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。

  1. サイトのセキュリティー要件を満たすように Oracle Solaris システムをカスタマイズしたあと、制御目録を作成し、その出力をファイルにリダイレクトします。 
    # bart create options > control-manifest
    –R

    目録の検査対象としてルートディレクトリを指定します。規則で指定されるパスはすべて、このディレクトリからの相対パスとなるように変換されます。目録で報告されるパスはすべて、このディレクトリからの相対パスとなります。

    –I

    カタログ化される個々のファイルの一覧 (コマンド行上で指定されるか、あるいは標準入力から読み取られる) を受け入れます。

    –r

    この目録の規則ファイルの名前です。- 引数を指定すると、規則ファイルが標準入力から読み取られます。

    –n

    ファイルリストに挙げられたすべての通常ファイルの署名を無効にします。このオプションは、パフォーマンスを上げる目的で使用できます。また、(システムログファイルの場合のように) ファイルリストの内容が変わる予定がある場合にも使用できます。

  2. 目録の内容を確認します。

    形式の説明については、使用例 7を参照してください。

  3. (オプション)目録を保護します。

    システム目録を保護するための 1 つの方法として、システム目録を root アカウントだけがアクセスできるディレクトリ内に配置します。

    # mkdir /var/adm/log/bartlogs
# chmod 700 /var/adm/log/bartlogs
# mv control-manifest /var/adm/log/bartlogs

    目録にわかりやすい名前をつけてください。たとえば、mach1-120313 のように、目録が作成されたシステム名と日付を使用します。

使用例 7  BART 目録の形式の説明

この例では、出力例のあとに目録の形式の説明が表示されています。

# bart create
! Version 1.1
! HASH SHA256
! Saturday, September 07, 2013 (22:22:27)
# Format:
#fname D size mode acl dirmtime uid gid
#fname P size mode acl mtime uid gid
#fname S size mode acl mtime uid gid
#fname F size mode acl mtime uid gid contents
#fname L size mode acl lnmtime uid gid dest
#fname B size mode acl mtime uid gid devnode
#fname C size mode acl mtime uid gid devnode
/ D 1024 40755 user::rwx,group::r-x,mask:r-x,other:r-x
3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090 0 0
.
.
.
/zone D 512 40755 user::rwx group::r-x,mask:r-x,other:r-x 3f81e892
154de3e7bdfd0d57a074c9fae0896a9e2e04bebfe5e872d273b063319e57f334 0 0
.
.
.

各目録は、ヘッダーとファイルエントリで構成されています。各ファイルエントリは、ファイルタイプに応じて 1 行になります。たとえば、前の出力にある各ファイルエントリの場合、タイプ F はファイルを指定し、タイプ D はディレクトリを指定します。また、サイズ、内容、ユーザー ID、グループ ID、およびアクセス権も表示されます。特殊文字を正しく処理するため、出力内のファイルエントリはエンコードされたバージョンのファイル名でソートされます。この結果、すべてのエントリがファイル名をキーにして昇順に並べられます。標準でないファイル名 (改行文字やタブ文字が埋め込まれたファイル名など) の場合はすべて、ソート前に非標準文字が引用符で囲まれます。

! で始まる行には、目録についてのメタデータが示されてます。目録バージョン行には、目録の仕様バージョンが示されます。ハッシュ行には、使用されたハッシュメカニズムが示されます。チェックサムとして使用される SHA256 ハッシュの詳細は、sha2(3EXT) のマニュアルページを参照してください。

日付行には、目録が作成された日付が日付形式で示されます。date(1) のマニュアルページを参照してください。一部の行は、目録比較ツールによって無視されます。無視される行には、メタデータ、空行、空白のみで構成された行、および # で始まるコメントが含まれます。

Copyright © 2002, 2016, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ