Go to main content

Oracle® Solaris ゾーンの作成と使用

印刷ビューの終了

更新: 2018 年 8 月
 
 

トラステッドパスドメインを使用した不変ゾーンの管理

Oracle Solaris では、不変ゾーンの管理のために不変ゾーンに入る 4 つの方法が用意されています。2 つの方法は、非大域不変ゾーンの管理の方法に説明するように、ゾーン全体を一時的に書き込み可能にします。より安全なモードでは、トラステッドパスを使用します。そこではトラステッドパスの一部としてマークされたプロセスのみを変更でき、ファイルやほかのゾーンプロセスは不変のままになります。トラステッドパスで実行するプロセスは、トラステッドパスドメイン (TPD) の一部として記述されます。

不変ゾーンでは、特定のコアシステムプロセスが TPD の一部としてマークされます。たとえば、initsvc.configdsvc.startd など多数のシステムデーモンが TPD で実行されます。TPD プロセスへの管理アクセスが付与されている場合、すべての TPD 以外のプロセスが書き込み不可能なままであるため、不変ゾーンの構成を安全に変更できます。

    不変ゾーンを管理するには、コンソール経由でローカルに、または信頼できる rad 接続によってリモートでトラステッドパスを使用します。

  • ローカル管理を有効にするには、ILOM、シリアル接続、またはグラフィカルコンソールを通じてコンソールにアクセスできることを確認する必要があります。TPD に入るには、自分も信頼されているトラステッドパスによって保護されているコンソールにログインします。

    手順については、コンソールから不変ゾーンへの管理アクセスを有効にする方法を参照してください。

  • リモート管理デーモン (RAD) によってリモート管理を有効にするには、トラステッドパスを使用して RAD プロセスを保護し、自分も信頼されている必要があります。

    手順については、RAD を使用して不変ゾーンへのリモート管理アクセスを有効にする方法を参照してください。

コンソールから不変ゾーンへの管理アクセスを有効にする方法

ゾーンを不変なままにし、管理者がコンソールから TPD 内のプロセスとファイルにアクセスできるようにするには、このタスクを実行します。

  1. root 役割になります。

    詳細は、Oracle Solaris 11.4 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。

  2. 大域ゾーンで tpdlogin PAM モジュールを構成して、コンソールへのアクセスを制限します。

    手順については、Managing Authentication in Oracle Solaris 11.4 の How to Restrict Access to the Trusted Path Domainを参照してください。

  3. コンソールログイン SMF サービスを TPD で実行するように変更します。 
    # svccfg -s console-login:default
svc:/system/console-login:default> setprop start/trusted_path = true
svc:/system/console-login:default> refresh
svc:/system/console-login:default> exit
  4. (オプション) コンソールで trusted_path 属性が設定されていることを確認します。 
    # svcprop -p start/trusted_path console-login:default
true
    Caution

    注意  -  コンソールで trusted_path 属性を設定する場合、/etc/security/tpdusers ファイルでコンソールへのアクセスを制限し、未承認ユーザーによるログインを防ぎます。Step 2 で未承認ログインが妨げられているはずです。

  5. コンソールログインサービスを再起動します。 
    # svcadm restart console-login:default
  6. /etc/security/tpdusers のいずれかのユーザーとして不変ゾーンにログインします。
    • コンソールにログインし、トラステッドパスログインプロンプトに回答します。
    • 物理コンソールで、セキュアアテンションキーシーケンスを入力して、トラステッドパスログインプロンプトを起動します。

      • Stop-A (SPARC)

      • F1-A (x86)

      ログイン後、TPD にあるファイルとプロセスを管理できます。さらに、役割を引き受け、その役割で不変ゾーンを管理することもできます。

RAD を使用して不変ゾーンへのリモート管理アクセスを有効にする方法

リモートアクセスデーモン (RAD) を使用して、不変ゾーンにアクセスできるようにするには、このタスクを実行します。rad:remote SMF サービスが有効になり、RAD 接続に対して TPD 認証が実行されます。

  1. root 役割になります。

    詳細は、Oracle Solaris 11.4 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。

  2. rad:remote SMF サービスを TPD で実行するように変更します。 
    # svccfg -s rad:remote
svc:/system/rad:remote> setprop method_context/trusted_path = true
svc:/system/rad:remote> refresh
svc:/system/rad:remote> exit
  3. rad:remote サービスに trusted_path 属性が設定されていることを確認します。 
    # svcprop -p method_context/trusted_path rad:remote
true
  4. リモート RAD サービスを再起動します。 
    # svcadm restart rad:remote
  5. 1 人または複数の管理者が RAD 接続で TPD にアクセスできるようにします。 
    $ usermod -K tpd=yes username

    これらの管理者は、RAD 上でリモートで不変ゾーンにログインできるようになります。

関連項目

RAD アクセスについては、Managing User Accounts and User Environments in Oracle Solaris 11.4 の 第 3 章, Managing User Accounts Interactivelyを参照してください。

TPD で実行する SMF サービスを追加するには、使用例 40, Puppet サービスのトラステッドパスへの追加を参照してください。

Copyright © 2004, 2018, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ