このセクションでは、Oracle Solaris Cluster ソフトウェアが提供する具体的なセキュリティーメカニズムについて説明します。
セキュアなインストールを行うには、次のクリティカルなセキュリティー機能を使用します。
セキュリティーコンプライアンス – Oracle Solaris Cluster が構成されて実行されているとき、デフォルトのコンプライアンスプロファイル Solaris Recommended は内部および外部のセキュリティー要件に対するコンプライアンスを満たしているか Oracle Solaris Cluster をテストします。Oracle Solaris Cluster のみに関連したチェックのカスタマイズされたリストについては、compliance tailor コマンドを使用します。コンプライアンスプロファイルおよびプロファイルのカスタマイズの詳細は、Oracle Solaris 12 セキュリティーコンプライアンスガイドを参照してください。
クラスタに対する承認 – クラスタにアクセスするには、solaris.cluster.modify、solaris.cluster.admin、および solaris.cluster.read の役割に基づくアクセス制御 (RBAC) 承認を使用します。役割のほとんどのセキュリティー属性を変更するには、User Security 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、Oracle Solaris 11.4 でのユーザーとプロセスのセキュリティー保護 の 権利使用の管理および管理 Oracle Solaris Cluster 4.4 配置 の Oracle Solaris Cluster の承認を参照してください。
IP Security Architecture (IPsec) – clprivnetinterface に対して IPsec を構成して、クラスタインターコネクト上のセキュアな TCP/IP 通信を提供します。
詳細は、安装和配置 Oracle Solaris Cluster 4.4 环境 の Oracle Solaris Cluster インターコネクトの IPsec によるセキュリティー保護を参照してください。
新しいノード – クラスタにノードを追加するには、権限のある claccess コマンドまたは clsetup ユーティリティーを使用します。詳細は、管理 Oracle Solaris Cluster 4.4 配置 の 第 8 章, クラスタノードの管理を参照してください。
アクセスステータスのデフォルト設定は claccess deny-all です。この設定を変更するのは、新しいノードの追加など、特権付きの操作を実行する場合のみです。操作を終了したら deny-all ステータスを元に戻す必要があります。クラスタ構成を頻繁に変更することが予想される場合は、/usr/cluster/bin/claccess -p protocol=authentication-protocol コマンドを使用してよりセキュアな認証プロトコルを選択することで、新しいシステムの信頼を最大限に確保できます。詳細は、claccess(8CL) マニュアルページおよびManaging Authentication in Oracle Solaris 11.4 の 第 5 章, Using Secure RPC on Oracle Solarisを参照してください。
Trusted Extensions – Oracle Solaris Trusted Extensions 機能はゾーンクラスタで使用するように設定できます。詳細は、安装和配置 Oracle Solaris Cluster 4.4 环境 の ゾーンクラスタにおける Trusted Extensions のガイドラインおよび安装和配置 Oracle Solaris Cluster 4.4 环境 の Trusted Extensions をインストールおよび構成する方法を参照してください。
ゾーンクラスタ – ゾーンクラスタは、cluster 属性が設定された solaris ブランド、solaris10 ブランド、または labeled ブランドの 1 つ以上の非大域ゾーンで構成されます。A labeled ブランドゾーンクラスタは、Oracle Solaris ソフトウェアの Trusted Extensions でのみ使用します。
clzonecluster コマンドまたは clsetup ユーティリティーを使用して、ゾーンクラスタを作成します。Oracle Solaris ゾーンで提供される分離を含めて、グローバルクラスタと同様にゾーンクラスタでサポートされるサービスを実行できます。詳細は、安装和配置 Oracle Solaris Cluster 4.4 环境 の ゾーンクラスタの作成および構成および管理 Oracle Solaris Cluster 4.4 配置 の ゾーンクラスタに関する作業を参照してください。
クラスタコンソールへのセキュア接続 – クラスタノードのコンソールにはセキュアシェル接続を確立する必要があります。pconsole ユーティリティーの詳細は、管理 Oracle Solaris Cluster 4.4 配置 の クラスタコンソールに安全に接続する方法を参照してください。
共通エージェントコンテナ – Oracle Solaris Cluster Manager ブラウザインタフェースは強力な暗号化技術を使用して、各クラスタノード上にある Oracle Solaris Cluster 管理スタック間の通信をセキュリティー保護します。詳細は、管理 Oracle Solaris Cluster 4.4 配置 の Oracle Solaris Cluster Manager の管理とトラブルシューティングを参照してください。
ロギング – Oracle Solaris Cluster ソフトウェアでは、syslogd コマンドを使用して、エラーメッセージおよびステータスメッセージを記録します。メッセージの格納場所を制御する /etc/syslog.conf ファイルを必ず設定してください。また、/var/adm/messages ファイルなどのログファイルのセキュリティー保護も必要です。詳細は、管理 Oracle Solaris Cluster 4.4 配置 の クラスタの管理を参照してください。
Auditing – Oracle Solaris Cluster 監査は Oracle Solaris オペレーティングシステム内に存在するため、デフォルトで有効になっています。監査により、実行されたすべてのコマンドは /var/cluster/logs/commandlog ファイルに保管されます。
このファイルは root の役割によってのみ読み込みおよび書き込み可能です。Oracle Solaris Cluster Management の権利プロファイルを割り当てた root 以外の役割に対してクラスタ管理の側面を委任したとき、これらのユーザーに、保護されたこれらのクラスタログファイルを読み取る権限を付与する場合もあります。この操作はユーザーに対するアクセス制御リスト (ACL) を commandlog ファイルに追加することによって行うことができます。
commandlog ファイルの表示の詳細は、管理 Oracle Solaris Cluster 4.4 配置 の Oracle Solaris Cluster のコマンドログの内容を表示する方法を参照してください。Oracle Solaris ACL モードの詳細は、the chmod(1) マニュアルページおよびSecuring Files and Verifying File Integrity in Oracle Solaris 11.4 の 第 2 章, Using ACLs and Attributes to Protect Oracle Solaris ZFS Filesを参照してください。
Oracle Solaris オペレーティングシステムの強化 – Oracle Solaris Cluster ソフトウェアはセキュリティー強化技術を使用して Oracle Solaris オペレーティングシステムを強化された状態に再構成します。さらに、Oracle Solaris システムの監査をアクティブ化できます。