Go to main content

Oracle® Solaris 11.4 でのユーザーとプロセスのセキュリティー保護

印刷ビューの終了

更新: 2018 年 8 月
 
 

選択した権利モデルへの準拠

ユーザーおよびプロセスの権利の管理は、システム配備の管理に不可欠となることがあります。計画を行うには、組織のセキュリティー要件に関する詳細な知識と、 での権利を理解しておく必要があります。このセクションでは、サイトでの権利使用の計画の一般的なプロセスを説明します。

  1. 権利に関する基本概念を理解します。

    権利を使用したユーザーとプロセスの制御についてを参照してください。権利を使用したシステムの管理は、従来の UNIX 管理方法を使用する場合と大幅に異なります。

  2. セキュリティーポリシーを検査します。

    組織のセキュリティーポリシーでは、システムに対する潜在的な脅威を詳細に記述し、各脅威のリスクを評価して、それらの脅威に対抗するための方策を提供します。この戦略の一環として、権利を使用してセキュリティー関連タスクを切り離すことがあります。

    たとえば、サイトでセキュリティー管理とセキュリティー以外の管理を切り分ける必要がある場合などです。責務分離を実装するには、使用例 5, 責務を分離するための役割の作成を参照してください。Oracle Solaris 11.4 Security and Hardening Guidelines の 付録 A, Site Security Policy and Enforcement,も参照してください。

    ユーザーおよび役割に対し、ログインを注釈として示すようにサイトで要求されることがあります。これらの注釈は監査トレールに表示されます。詳細は、Managing Auditing in Oracle Solaris 11.4 の New Feature – Annotating Reason for Access in the Audit Recordを参照してください。

    セキュリティーポリシーで Authorization Rules Managed On RBAC (ARMOR) を使用する場合は、ARMOR パッケージをインストールして使用する必要があります。 でのその使用については、使用例 2, ARMOR の役割の使用を参照してください。

  3. デフォルトの権利プロファイルを確認します。

    デフォルトの権利プロファイルには、タスクの実行に必要な権利がまとめられています。使用可能な権利プロファイルを確認するには、権利プロファイルの一覧表示を参照してください。

  4. 役割を使用するか、または権利プロファイルをユーザーに直接割り当てるかを決定します。

    役割では、権利の管理が容易になります。役割名は、その役割が実行できるタスクを識別し、ユーザー権利から役割権利を切り離します。役割を使用する場合には 3 つのオプションがあります。

    • ARMOR パッケージをインストールできます (この場合 Authorization Roles Managed on RBAC (ARMOR) 標準により定義される 7 つの役割がインストールされます)。使用例 2, ARMOR の役割の使用を参照してください。

    • ユーザー独自の役割を定義したり、ARMOR 役割を使用したりできます。役割の作成および使用例 2, ARMOR の役割の使用を参照してください。

    • ユーザー独自の役割を定義し、ARMOR 役割は使用しないでおくことができます。役割の作成を参照してください。

    サイトで役割が不要な場合は、権利プロファイルをユーザーに直接割り当てることができます。ユーザーが各自の権利プロファイルから管理タスクを実行するときにパスワードを求めるには、認証権利プロファイルを使用します。使用例 13, ユーザーに対し DHCP 管理の前にパスワード入力を求めるを参照してください。

  5. 追加の権利プロファイルを作成する必要があるかどうかを判断します。

    使用するサイトで、アクセスを制限する必要があるアプリケーションを調べます。セキュリティーに影響するアプリケーション、サービス拒否の問題を発生させる可能性のあるアプリケーション、特別な管理者教育を必要とするアプリケーションには、権利を使用することをお勧めします。たとえば Sun Ray システムのユーザーには、すべての基本特権が必要であるわけではありません。ユーザーを制限する権利プロファイルの例については、使用例 30, 権利プロファイルからの基本特権の削除を参照してください。

    1. 新しいタスクに必要な権利を決定します。

    2. 既存の権利プロファイルがこのタスクに対して適切であるかどうかを判断します。

    3. コマンドがその必要な特権を使用して実行されるように権利プロファイルを順序付けます。

      順序付けについては、割り当てられた権利の検索順序を参照してください。

  6. どのユーザーにどの権利を割り当てるかを決定します。

    principle of least privilegeに従って、ユーザーの信頼レベルに適した役割にユーザーを割り当てます。実行する必要のないタスクをユーザーが実行できないようにすると、問題が発生する可能性が減少します。

    注 -  システムのすべてのユーザーに適用される権利は、account-policy:default SMF サービス内で設定および指定できます。詳細は、account-policy(8S) のマンページおよび ユーザーへの権利の割り当てを参照してください。

計画が完成したら、権利プロファイルまたは役割を割り当てることができる信頼できるユーザーのログインを作成します。ユーザーの作成に関する詳細は、Managing User Accounts and User Environments in Oracle Solaris 11.4 の Setting Up and Managing User Accounts (Task Map)を参照してください。

権利を割り当てるには、ユーザーへの権利の割り当ての手順から開始します。以降のセクションでは、権利の拡張、権利の制限、リソースへの権利の割り当て、および権利割り当てのトラブルシューティングの例を示します。

Copyright © 2002, 2018, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ