Solaris
™
Security Toolkit 4.2
ご使用にあたって
Sun Microsystems, Inc.
www.sun.com
Part No. 819-3796-10
2005 年 7 月, Revision A
コメントの送付: http://www.sun.com/hwdocs/feedback
Copyright 2005 Sun Microsystems, Inc., 4150 Network Circle, Santa Clara, California 95054, U.S.A. All rights reserved.
米国 Sun Microsystems, Inc. (以下、米国 Sun Microsystems 社とします) は、本書に記述されている技術に関する知的所有権を有していま
す。これら知的所有権には、http://www.sun.com/patents に掲載されているひとつまたは複数の米国特許、および米国ならびにその他の
国におけるひとつまたは複数の特許または出願中の特許が含まれています。
本書およびそれに付属する製品は著作権法により保護されており、その使用、複製、頒布および逆コンパイルを制限するライセンスのもと
において頒布されます。サン・マイクロシステムズ株式会社の書面による事前の許可なく、本製品および本書のいかなる部分も、いかなる
方法によっても複製することが禁じられます。
本製品のフォント技術を含む第三者のソフトウェアは、著作権法により保護されており、提供者からライセンスを受けているものです。
本製品の一部は、カリフォルニア大学からライセンスされている Berkeley BSD システムに基づいていることがあります。UNIX は、
X/Open Company Limited が独占的にライセンスしている米国ならびに他の国における登録商標です。
本製品は、株式会社モリサワからライセンス供与されたリュウミン L-KL (Ryumin-Light) および中ゴシック BBB (GothicBBB-Medium) の
フォント・データを含んでいます。
本製品に含まれる HG 明朝 L と HG ゴシック B は、株式会社リコーがリョービイマジクス株式会社からライセンス供与されたタイプフェー
スマスタをもとに作成されたものです。平成明朝体 W3 は、株式会社リコーが財団法人 日本規格協会 文字フォント開発・普及センターから
ライセンス供与されたタイプフェースマスタをもとに作成されたものです。また、HG 明朝 L と HG ゴシック B の補助漢字部分は、平成明
朝体W3 の補助漢字を使用しています。なお、フォントとして無断複製することは禁止されています。
Sun、Sun Microsystems、Java、AnswerBook2、docs.sun.com は、米国およびその他の国における米国 Sun Microsystems 社の商標もしく
は登録商標です。サンのロゴマークおよび Solaris は、米国 Sun Microsystems 社の登録商標です。
すべての SPARC 商標は、米国 SPARC International, Inc. のライセンスを受けて使用している同社の米国およびその他の国における商標また
は登録商標です。SPARC 商標が付いた製品は、米国 Sun Microsystems 社が開発したアーキテクチャーに基づくものです。
OPENLOOK、OpenBoot、JLE は、サン・マイクロシステムズ株式会社の登録商標です。
ATO K は、株式会社ジャストシステムの登録商標です。ATO K8 は、株式会社ジャストシステムの著作物であり、ATO K8 にかかる著作権そ
の他の権利は、すべて株式会社ジャストシステムに帰属します。ATOK Server/ATOK12 は、株式会社ジャストシステムの著作物であり、
ATOK Server/ATOK12 にかかる著作権その他の権利は、株式会社ジャストシステムおよび各権利者に帰属します。
本書で参照されている製品やサービスに関しては、該当する会社または組織に直接お問い合わせください。
OPEN LOOK および Sun™ Graphical User Interface は、米国 Sun Microsystems 社が自社のユーザーおよびライセンス実施権者向けに開発
しました。米国 Sun Microsystems 社は、コンピュータ産業用のビジュアルまたは グラフィカル・ユーザーインタフェースの概念の研究開
発における米国 Xerox 社の先駆者としての成果を認めるものです。米国 Sun Microsystems 社は米国 Xerox 社から Xerox Graphical User
Interface の非独占的ライセンスを取得しており、このライセンスは米国 Sun Microsystems 社のライセンス実施権者にも適用されます。
U.S. Government Rights—Commercial use. Government users are subject to the Sun Microsystems, Inc. standard license agreement and
applicable provisions of the FAR and its supplements.
本書は、「現状のまま」をベースとして提供され、商品性、特定目的への適合性または第三者の権利の非侵害の黙示の保証を含みそれに限
定されない、明示的であるか黙示的であるかを問わない、なんらの保証も行われないものとします。
本書には、技術的な誤りまたは誤植のある可能性があります。また、本書に記載された情報には、定期的に変更が行われ、かかる変更は本
書の最新版に反映されます。さらに、米国サンまたは日本サンは、本書に記載された製品またはプログラムを、予告なく改良または変更す
ることがあります。
本製品が、外国為替および外国貿易管理法 (外為法) に定められる戦略物資等 (貨物または役務) に該当する場合、本製品を輸出または日本国
外へ持ち出す際には、サン・マイクロシステムズ株式会社の事前の書面による承諾を得ることのほか、外為法および関連法規に基づく輸出
手続き、また場合によっては、米国商務省または米国所轄官庁の許可を得ることが必要です。
原典: Solairs Security Toolkit 4.2 Release Notes
Part No: 819-1504-10
Revision A
Please
Recycle
目次
はじめに vii
Solaris Security Toolkit 4.2 ご使用にあたって 1
Solaris Security Toolkit 4.2 リリースの変更点 1
Solaris 10 OS サポートの変更点 2
一般的な変更点 3
Solaris 10 OS サポートの詳細 4
Solaris Security Toolkit 4.2 リリース用の新しいフレームワーク関数 4
Solaris Security Toolkit 4.2 リリース用の新しいスクリプト 5
Solaris 10 OS では使用されないスクリプト 6
Solaris Security Toolkit 4.2 リリース用の新しい環境変数 6
新しいフレームワーク変数 6
新しいスクリプト動作変数 7
Solaris 10 OS では使用されない環境変数 7
Solaris Security Toolkit 4.2 リリースから削除された機能 7
自動的に無効化される rpcbind 8
▼ rpcbind を有効にする 8
サポートされるハードウェアシステム 9
サポートされる Solaris OS のバージョン 9
サポートされる SMS のバージョン 10
iii
Solaris Security Toolkit 4.2 で既知の制限事項 10
一般的な問題 11
パッケージ形式でのみ配布されるリリース 11
SUNWjass および JASScustm パッケージが再配置可能になる 11
Solaris Security Toolkit と CTRL-C キー操作 11
Solaris Security Toolkit 4.2 ソフトウェアのバグ 11
NIS を使用しているときに、再起動を複数回行うと監査エラーが生じる場合
がある (Bug ID 6222181) 12
再起動を複数回行うと svcs が初期化されず、nddconfig で監査が失敗する
(Bug ID 6284872) 12
Solaris Security Toolkit 4.2 ソフトウェアに影響するバグ 13
ip6_send_redirects のパラメータが監査によって異なる場合がある (Bug
ID 6222001) 13
/etc/motd は揮発性ファイルとしてインストールする必要がある (Bug ID
6222495) 13
svc.startd が optional_all のエッジケースを見つけることができない
(Bug ID 6223370) 14
iv Solaris Security Toolkit 4.2 ご使用にあたって • 2005 年 7 月
表目次
表 1 Solaris 10 OS では使用されない Solaris Security Toolkit スクリプト 6
表 2 SunOS と Solaris OS のバージョンの相関関係 9
v
vi Solaris Security Toolkit 4.2 ご使用にあたって • 2005 年 7 月
はじめに
本書には、Solaris™ Security Toolkit 4.2 ソフトウェアのリリース情報を記載していま
す。
お読みになる前に
本書は、UNIX® システム、特に Solaris™ オペレーティングシステム (Solaris OS) で
の作業経験を持つ Solaris システム管理者を対象にしています。このような経験がな
い場合は、Solaris ユーザーおよびシステム管理者向けマニュアルを読み、UNIX シ
ステム管理のトレーニングの受講を検討してください。
UNIX コマンド
本書には、システムの停止、システムの起動、およびデバイスの構成などに使用する
基本的な UNIX
す。これらについては、以下を参照してください。
■ 使用しているシステムに付属のソフトウェアマニュアル
■ 下記にある Solaris™ オペレーティングシステムのマニュアル
http://docs.sun.com
®
コマンドと操作手順に関する説明は含まれていない可能性がありま
vii
シェルプロンプトについて
シェル プロンプト
UNIX の C シェル
UNIX の Bourne シェルと Korn シェル
スーパーユーザー (シェルの種類を問わない)
machine_name%
$
#
書体と記号について
*
書体または記号
AaBbCc123
AaBbCc123
AaBbCc123
『 』 参照する書名を示します。 『Solaris ユーザーマニュアル』
「 」 参照する章、節、または、強調
\
* 使用しているブラウザにより、これらの設定と異なって表示される場合があります。
意味 例
コマンド名、ファイル名、ディ
レクトリ名、画面上のコン
ピュータ出力、コード例。
ユーザーが入力する文字を、画
面上のコンピュータ出力と区別
して表します。
コマンド行の可変部分。実際の
名前や値と置き換えてくださ
い。
する語を示します。
枠で囲まれたコード例で、テキ
ストがページ行幅を超える場合
に、継続を示します。
.login ファイルを編集します。
ls -a を実行します。
% You have mail.
マシン名%
Password:
rm filename と入力します。
第 6 章「データの管理」を参照。
この操作ができるのは「スーパーユー
ザー」だけです。
% grep ‘^#define \
XV_VERSION_STRING’
su
viii Solaris Security Toolkit 4.2 ご使用にあたって • 2005 年 7 月
関連マニュアル
オンラインのマニュアルは次の URL で参照できます。
http://www.sun.com/products-n-solutions/hardware/docs/
Software/enterprise_computing/systems_management/sst/index.html
用途 タイトル
参照 Solaris Security Toolkit 4.2 リファレンスマ
ニュアル
管理 Solaris Security Toolkit 4.2 管理マニュアル
マニュアルページ Solaris Security Toolkit 4.2 マニュアルページ
ガイド
マニュアル、サポート、およびトレーニ
ング
Sun のサービス
マニュアル
サポートおよび
トレーニング
URL
http://jp.sun.com/documentation/
http://jp.sun.com/supportraining/
Part No
819-3793-10 PDF
819-3789-10 PDF
819-3794-10 PDF
説明
PDF と HTML マニュアルをダウンロード
する、印刷マニュアルを注文する
テクニカルサポートを受ける、パッチをダ
ウンロードする、Sun のコースについて情
報を入手する
形式 場所
オンライン
HTML
オンライン
HTML
オンライン
はじめに ix
Sun 以外の Web サイト
本書で紹介する Sun 以外の Web サイトが使用可能かどうかについては、Sun は責任
を負いません。このようなサイトやリソース上、またはこれらを経由して利用できる
コンテンツ、広告、製品、またはその他の資料についても、Sun は保証しておらず、
法的責任を負いません。また、このようなサイトやリソース上、またはこれらを経由
して利用できるコンテンツ、商品、サービスの使用や、それらへの依存に関連して発
生した実際の損害や損失、またはその申し立てについても、Sun は一切の責任を負い
ません。
コメントをお寄せください
マニュアルの品質改善のため、お客様からのご意見およびご要望をお待ちしておりま
す。コメントは下記よりお送りください。
http://www.sun.com/hwdocs/feedback
ご意見をお寄せいただく際には、下記のタイトルと Part No. を記載してください。
『Solaris Security Toolkit 4.2 ご使用にあたって』、part number 819-3796-10
x Solaris Security Toolkit 4.2 ご使用にあたって • 2005 年 7 月
Solaris Security Toolkit 4.2 ご使用に
あたって
本書では、JASS (JumpStart™ Architecture and Security Scripts) とも呼ばれる Solaris™
Security Toolkit ソフトウェア 4.2 リリースのリリース情報として、次の項目について
説明します。
■ Solaris Security Toolkit 4.2 リリースの変更点
■ Solaris 10 OS サポートの詳細
■ サポートされるハードウェアシステム
■ サポートされる Solaris OS のバージョン
■ サポートされる SMS のバージョン
■ Solaris Security Toolkit 4.2 で既知の制限事項
■ 一般的な問題
■ Solaris Security Toolkit 4.2 ソフトウェアのバグ
■ Solaris Security Toolkit 4.2 ソフトウェアに影響するバグ
Solaris Security Toolkit 4.2 リリースの変
更点
リリース情報のこの節では、Solaris Security Toolkit 4.2 ソフトウェアリリースに対し
て加えられた主な変更点を説明します。これらの変更点の詳細については、『Solaris
Security Toolkit 4.2 リファレンスマニュアル』を参照してください。
注 – Solaris Security Toolkit ソフトウェアの以前のリリースで Documentation ディ
レクトリにあった CHANGES ファイルは、このリリースでは、なくなりました。その
代わり、変更点は本書に記載されています。
1
Solaris 10 OS サポートの変更点
この Solaris Security Toolkit 4.2 ソフトウェアリリースは Solaris 10 オペレーティン
グシステム (OS) をサポートしています。
Solaris Security Toolkit 4.2 ソフトウェアを使用すると、以前のバージョンと同じよう
な方法でシステムのセキュリティーの強化および監査ができます。また、このリリー
スのソフトウェアは以前のバージョンと同じように、JumpStart モードとスタンドア
ロンモードのいずれかで使用できます。
Solaris 10 OS をサポートするためにこのリリースに加えられた主要な変更点を次に示
します。詳細は、「Solaris 10 OS サポートの詳細」を参照してください。
■ SMF 対応サービス - 多くの Solaris Security Toolkit スクリプトで、サービス管理
機能 (SMF) サービスインタフェース、障害管理リソース識別子 (FMRI)、および起
動/停止スクリプトを使用できるようにします。
■ レガシーサービス - SMF で、SMF 対応ではない Solaris Security Toolkit スクリプ
トの一部をレガシーサービスとして認識できるようにします。
■ ゾーン - Solaris 10 OS のゾーンを強化および監査できるようにします。
■ TCP ラッパー - Solaris Security Toolkit ドライバ用の Transmission Control
Protocol (TCP) ラッパー構成を提供します。
■ MD5 - digest -a md5 コマンドを通じて Solaris 10 OS の message_digest 5 (md5)
アルゴリズム機能をサポートします。これにより、Solaris 10 OS システムでは
SUNBEmd5 パッケージが不要になります。
■ ルーティングの管理 - Solaris 10 OS においてルーティングを管理するための新し
いスクリプトを提供します。
■ 新しいホームルートディレクトリ - ルートディレクトリ用に、標準的な / の代わ
りに、新しいホームルートディレクトリ /root を提供します。
■ IP フィルタ - フリーウェアのインターネットプロトコル (IP) フィルタを統合する
ことにより、統合されたファイアウォール機能を提供します。
■ BART - 基本監査報告機能 (BART) をサポートします。これにより、数ある機能の
中でも特にシステム上で発生したファイルレベルの変更を判別できるようになり
ます。
■ 柔軟性のある Crypt - パスワード暗号化に使用されるアルゴリズムを制御する
Solaris 10 OS のいくつかの新しいチューニング可能パラメータの使用をサポート
します。
■ アカウントのロック - 事前に定義された回数のログイン試行が失敗したあと、
Solaris 10 OS がアカウントをロックする機能をサポートします。
■ パラメータ化されたパスワードチェック - Solaris 10 OS の厳密なパスワード
チェックをサポートします。
■ パスワード履歴 - Solaris 10 OS に追加されたパスワード安全性チェックをサポー
トします。
2 Solaris Security Toolkit 4.2 ご使用にあたって • 2005 年 7 月
■ RPC BIND - Remote Procedure Call from the Berkeley Internet Name Domain
(rpcbind) の無効化/有効化をサポートします。
■ Perl - Solaris 10 OS とともに使用する、Practical Extraction and Report Language
(Perl) での Solaris Security Toolkit スクリプトの作成をサポートします。
■ XFS - X Font Server の無効化/有効化をサポートします。XFS クライアントはフォ
ントセットを要求するためにサーバーに接続し、サーバーはディスクからフォン
トファイルを読み取り、クライアントに提供します。X Font Server デーモンは
SMF により管理されます。
■ GNOME - 共通デスクトップ環境 (CDE) と同じように、GNU Network Object
Model Environment (GNOME) の無効化/有効化をサポートします。
一般的な変更点
Solaris 10 OS をサポートするためにこのリリースに対して加えられた変更以外にも、
このリリースに対しては次の一般的な変更が加えられています。
■ 再配置可能なパッケージ - 再配置可能な Solaris Security Toolkit 4.2 パッケージを
提供することにより、pkgadd コマンドで正しいオプションを使用して、希望する
どのディレクトリにでもパッケージをインストールできます。
■ バックアップファイルの削除 - Solaris Security Toolkit バックアップファイルを削
除することができます。
■ ドライバ機能の結合 - desktop-{secure|config|hardening}.driver、
sunfire_15k_domain-{secure|config|hardening}.driver、および
jumpstart-{secure|config|hardening}.driver の機能が server{secure|config|hardening}.driver に組み込まれています。
■ インテリジェントデフォルト - インテリジェントデフォルト、つまり可能な場合
ユーザーが Return キーを押してデフォルトを指定できる機能をサポートしていま
す。
■ 詳細レベル - jass-execute および jass-check-sum コマンドで詳細レベルを
下げた出力をサポートしています。
■ IIim - Solaris OS ソフトウェアのアジア諸言語入力を処理する Internet-Intranet
Input Method (IIim) の無効化/有効化をサポートします。
■ 一貫性のある戻り値とヘルプ出力 - すべての Solaris Security Toolkit コマンドに対
する、一貫性のある戻り値とヘルプ出力を提供します。
■ Apache 2 - apache2 をサポートします。
Solaris Security Toolkit 4.2 ご使用にあたって 3
Solaris 10 OS サポートの詳細
次の節には、このリリースにおける Solaris 10 OS サポートの変更点の詳細が記載さ
れています。
Solaris Security Toolkit 4.2 リリース用の新しいフ
レームワーク関数
次の関数はこのリリースで新しく追加されたもので、Solaris 10 OS が動作するシステ
ムでのみ使用できます。これらの関数は、『Solaris Security Toolkit 4.2 リファレンス
マニュアル』の第 2 章で説明されています。
Solaris Security Toolkit 4.2 ソフトウェアには、次の共通ログ関数が追加されました。
■ logNotGlobalZone
■ logScore
■ logScriptFailure
■ logServiceDisabled と logServiceEnabled
■ logServiceInstalled と logServiceNotInstalled
■ logServiceOptionDisabled と logServiceOptionEnabled
■ logServiceProcessList
■ logServicePropDisabled と logServicePropEnabled
■ logServiceRunning と logServiceNotRunning
■ logUserLocked と logUserNotlocked
■ logUndoBackupWarning
Solaris Security 4.2 ソフトウェアには、次のさまざまな共通関数が追加されました。
■ get_driver_report
■ get_lists_conjunction
■ get_lists_disjunction
Solaris Security Toolkit 4.2 フレームワークで SMF をサポートするために、次のパブ
リックドライバ関数が作成されました。
■ add_option_to_ftpd_property
■ change_group
■ change_mode
■ change_owner
■ check_serviceDisabled
■ check_serviceEnabled
■ check_serviceInstalled
■ check_serviceNotInstalled
■ check_serviceNotRunning
4 Solaris Security Toolkit 4.2 ご使用にあたって • 2005 年 7 月
■ check_serviceOptionEnabled
■ check_servicePropDisabled
■ check_serviceRunning
■ check_serviceOptionDisabled
■ check_userLocked
■ check_userNotLocked
■ convert_inetd_service_to_fmri
■ disable_service
■ enable_service
■ is_service_enabled
■ is_service_installed
■ is_service_running
■ is_user-account_extant
■ is_user_account_locked
■ is_user_account_login_not_set
■ lock_user_account
■ make_link
■ set_service_property_value
■ set_stored_keyword_val
■ unlock_user_account
■ update_inetcon_in_upgrade
Solaris Security Toolkit 4.2 リリース用の新しいス
クリプト
次に、Solaris Security Toolkit 4.2 リリース用の新しい終了スクリプトおよび監査スク
リプトを示します。終了 (.fin) スクリプトの機能は、『Solaris Security Toolkit 4.2
リファレンスマニュアル』の第 5 章で説明されています。監査 (.aud) スクリプトの
機能は、『Solaris Security Toolkit 4.2 リファレンスマニュアル』の第 6 章で説明さ
れています。
■ disable-apache2.{fin|aud}
■ disable-appserv.{fin|aud}
■ disable-IIim.{fin|aud}
■ disable-routing.{fin|aud}
■ enable-account-lockout.{fin|aud}
■ enable-bart.{fin|aud}
■ enable-ipfilter.{fin|aud}
■ enable-password-history.{fin|aud}
■ set-root-home-dir.{fin|aud}
■ set-strict-password-checks.{fin|aud}
Solaris Security Toolkit 4.2 ご使用にあたって 5
Solaris 10 OS では使用されないスクリプト
表 1 に、Solaris 10 OS を強化する際には使用しない Solaris Security Toolkit スクリプ
トの一覧を示します。
表 1 Solaris 10 OS では使用されない Solaris Security Toolkit スクリプト
スクリプト名 適用可能なオペレーティングシステム
disable-ab2
disable-aspp
disable-picld
install-fix-modes
install-newaliases
install-openssh
install-sadmind-options
install-strong-permissions
remove-unneeded-accounts
Solaris 2.5.1 ~ 8
Solaris 2.5.1 ~ 8
Solaris 8 および 9
Solaris 2.5.1 ~ 9
Solaris 2.5.1 ~ 8
Solaris 2.5.1 ~ 8
Solaris 2.5.1 ~ 9
Solaris 2.5.1 ~ 9
Solaris 2.5.1 ~ 9
Solaris Security Toolkit 4.2 リリース用の新しい環
境変数
この節では、このリリースで新しく追加され、Solaris 10 OS が動作するシステムでの
み使用できる、フレームワークおよびスクリプト動作環境変数の一覧を示します。環
境変数の機能については、『Solaris Security Toolkit 4.2 リファレンスマニュアル』の
第 7 章で説明されています。
新しいフレームワーク変数
■ JASS_DISPLAY_HOST_LENGTH
■ JASS_DISPLAY_SCRIPT_LENGTH
■ JASS_DISPLAY_TIME_LENGTH
■ JASS_FILE_COPY_KEYWORD
■ JASS_ROOT_HOME_DIR
■ JASS_RUN_CLEAN_LOG
■ JASS_RUN_VALUES
■ JASS_SAVED_BACKUP
■ JASS_SCRIPT
■ JASS_SCRIPT_FAIL_LOG
■ JASS_SCRIPT_NOTE_LOG
6 Solaris Security Toolkit 4.2 ご使用にあたって • 2005 年 7 月
■ JASS_SCRIPT_WARN_LOG
■ JASS_UNDO_TYPE
新しいスクリプト動作変数
■ JASS_CRYPT_ALGORITHMS_ALLOW
■ JASS_CRYPT_ALGORITHMS_DEFAULT
■ JASS_CRYPT_DEFAULT
■ JASS_CRYPT_FORCE_EXPIRE
■ JASS_PASS_DICTIONLIST
■ JASS_PASS_DICTIONDBDIR
■ JASS_PASS_HISTORY
■ JASS_PASS_MAX_REPEATS
■ JASS_PASS_MIN_ALPHA
■ JASS_PASS_MINDIFF
■ JASS_PASS_MINDIGIT
■ JASS_PASS_MINLOWER
■ JASS_PASS_MINNONALPHA
■ JASS_PASS_MINSPECIAL
■ JASS_PASS_MINUPPER
■ JASS_PASS_NAMECHECK
■ JASS_PASS_WHITESPACE
■ JASS_ZONE_NAME
Solaris 10 OS では使用されない環境変数
次の環境変数は、Solaris 10 OS では使用されません。
■ JASS_ISA_CAPABILITY (Solaris Security Toolkit 4.2 ソフトウェアから削除)
■ JASS_DISABLE_MODE
Solaris Security Toolkit 4.2 リリースから削除され
た機能
次の機能に関連するファイルとスクリプトは、不要となったため、Solaris Security
Toolkit 4.2 ソフトウェアから削除されました。
■ Sun Fire ハイエンドシステムのドメインへの misc/klmmod カーネルモジュール
のインストール
■ Sun ONE Web Server のインストール
■ sunfire_mf_msp-{secure|config|hardening}.driver
■ 32 ビット機能
Solaris Security Toolkit 4.2 ご使用にあたって 7
■ Sun Enterprise™ 1000 (Starfire™) (製品のサポート中止による)
自動的に無効化される rpcbind
Solaris Security Toolkit 4.2 ソフトウェアの secure.driver および sunfire-
15k_sc-secure.driver は、以前のバージョンのツールキットと同様に rpcbind
を無効にしました。しかし、Solaris 10 OS には、ネットワーク情報サービス (NIS) や
ネットワークファイルシステム (NFS) など rpcbind に依存するサービス、および共
通デスクトップ環境 (CDE) や GNU Network Object Model Environment (GNOME)
などのウィンドウマネージャがあります。デフォルトでは、secure.driver および
sunfire-15k_sc-secure.driver の構成ではこれらのサービスが無効になるた
め、これらのサービスを使用するには rpcbind を有効にする必要があります。
注 – server-secure.driver および suncluster3x-secure.driver は
rpcbind を無効にしません。
▼ rpcbind を有効にする
1. システムの強化を解除します。
2. secure.driver と hardening.driver を、それぞれ new-secure.driver と new-
hardening.driver にコピーして名前を変更します。new-secure.driver は、新しくカスタ
マイズされた secure.driver に対してユーザーが選択した名前で、newhardening.driver は、新しくカスタマイズされた hardening.driver に対してユー
ザーが選択した名前です。
3. new-secure.driver を編集して、hardening.driver への参照を new-hardening.driver
に置き換えます。
4. new-hardening.driver から disable-rpc.fin スクリプトをコメントアウトします。
5. new-secure.driver とともに Solaris Security Toolkit を実行することにより、カスタマ
イズされたコピードライバを使用して、強化を再度実行します。
6. システムを再起動します。
注意 – rpcbind サービスを有効にしたあと、追加のサービスが自動的に起動し、そ
れに対応するポートが開く場合があります。Solaris Security Toolkit の監査は、これ
らの追加サービスを障害として警告します。
8 Solaris Security Toolkit 4.2 ご使用にあたって • 2005 年 7 月
サポートされるハードウェアシステム
Solaris Security Toolkit 4.2 ソフトウェアは、SPARC® (64 ビットのみ)、および x86
システムをサポートしています。
サポートされる Solaris OS のバージョ
ン
Sun では、Solaris Security Toolkit ソフトウェアを Solaris 8、Solaris 9、および
Solaris 10 オペレーティングシステムで使用する場合にのみサポートを提供していま
す。
注 – Solaris Security Toolkit 4.2 ソフトウェアの場合、Solaris 10 を使用できるのは
Sun Fire ハイエンドドメイン上だけであり、システムコントローラ (SC) 上では使用
できません。
Solaris Security Toolkit ソフトウェアは Solaris 2.5.1、Solaris 2.6、および Solaris 7 オ
ペレーティングシステムで使用することもできますが、これらのオペレーティングシ
ステムで使用する場合、Sun ではサポートを提供していません。
Solaris Security Toolkit ソフトウェアは、インストールされている Solaris オペレー
ティングシステムのバージョンを自動的に検出し、そのバージョンに合わせて適切な
タスクを実行します。
本書全体の例では、スクリプトが OS のバージョンをチェックする場合、スクリプト
は、Solaris OS のバージョンである 2.x、7、8、9、または 10 ではなく、SunOS™ の
バージョンである 5.x をチェックします。表 2 に、SunOS と Solaris OS のバージョ
ンの相関関係を示します。
表 2 SunOS と Solaris OS のバージョンの相関関係
SunOS のバージョ
ン Solaris OS のバージョン
5.5.1 2.5.1
5.6 2.6
5.7 7
Solaris Security Toolkit 4.2 ご使用にあたって 9
表 2 SunOS と Solaris OS のバージョンの相関関係 (続き)
SunOS のバージョ
ン Solaris OS のバージョン
5.8 8
5.9 9
5.10 10
サポートされる SMS のバージョン
System Management Services (SMS) を使用して Sun Fire ハイエンドシステム上のシ
ステムコントローラ (SC) を稼動させている場合は、すべての Solaris 8 および Solaris
9 OS バージョンで SMS バージョン 1.4、1.4.1、および 1.5 と Solaris Security Toolkit
4.2 ソフトウェアの併用がサポートされます。Solaris 10 OS 上で Solaris Security
Toolkit 4.2 ソフトウェアによりサポートされる SMS のバージョンはありません。
注 – Solaris Security Toolkit 4.2 ソフトウェアに関しては、Solaris 10 OS はドメイン
でのみ使用可能で、システムコントローラ (SC) では使用できません。
Solaris Security Toolkit 4.2 で既知の制限
事項
この節では、Solaris Security Toolkit 4.2 ソフトウェアの既知の制限事項について説明
します。
■ Solaris Security Toolkit 4.2 ソフトウェアは、システムアカウントを無効にしても
機能は維持されますが (終了スクリプト disable-system-accounts.fin を参
照)、無効になったアカウントに対して試みられたログインを記録するようにシス
テムを変更することはできません。
10 Solaris Security Toolkit 4.2 ご使用にあたって • 2005 年 7 月
一般的な問題
この節では、Solaris Security Toolkit 4.2 ソフトウェアに関連する一般的な問題につい
て説明します。
パッケージ形式でのみ配布されるリリース
Solaris Security Toolkit 4.2 リリースはパッケージ形式でのみ配布されます。
SUNWjass および JASScustm パッケージが再配
置可能になる
Solaris Security Toolkit 4.2 のリリースでは、SUNWjass および JASScustm パッケー
ジが再配置可能になり、Sun のパッケージ標準と整合性が取られるようになりまし
た。pkgadd(1M) -R コマンドを使用して、これらのパッケージを再配置できます。
Solaris Security Toolkit と CTRL-C キー操作
Solaris Security Toolkit によるセキュリティー強化操作と undo 操作中に CTRL-C
キー操作を行うと、システムが矛盾した状態になる可能性があります。本来ならば、
セキュリティー強化操作を中断するのではなく、セキュリティー強化操作が完了して
から、次に undo 操作が実行されなければなりません。CTRL-C キー操作は、エラー
処理や、ツールキットによる処理の中断に使用しないでください。セキュリティー強
化操作や undo 操作は、前の操作が完全に終了してから再実行してください。
Solaris Security Toolkit 4.2 ソフトウェア
のバグ
この節では、発生する可能性のあるバグについて説明します。これらのバグは
Solaris Security Toolkit 4.2 ソフトウェアではまだ修正されていません。
Solaris Security Toolkit 4.2 ご使用にあたって 11
NIS を使用しているときに、再起動を複数回行う
と監査エラーが生じる場合がある (Bug ID
6222181)
デフォルトで、secure.driver では rpcbind が無効になっています。NIS を使用
している場合、システムを再起動すると、inetd により正常に起動されたすべての
サービスが非初期化状態のままになり、レガシーサービスが機能しないことがありま
す。これにより、Solaris Security Toolkit では、inetd によって起動されたサービス
において、再起動の前後で監査結果の不一致が生じます。
このバグは、Solaris 10 OS の Bug ID 6223370 により修正される予定です。このバグ
の詳細については、「Solaris Security Toolkit 4.2 ソフトウェアに影響するバグ」を参
照してください。
回避策 :
■ NIS を使用する必要がある場合は、rpcbind を有効にして再起動します。
『Solaris Security Toolkit 4.2 リファレンスマニュアル』の第 1 章を参照してくだ
さい。
■ NIS を使用する必要がない場合は、NIS を無効にします。NIS を無効にする方法
については、Solaris 10 OS のネームサービスに関するマニュアルを参照してくだ
さい。
再起動を複数回行うと svcs が初期化されず、
nddconfig で監査が失敗する (Bug ID 6284872)
強化後に複数回再起動を行うと svcs が初期化されず、監査が nddconfig で失敗し
ます。つまり、システムが複数回再起動したあと、nddconfig 監査にはゼロエラー
が含まれません。
問題点は、rpcbind が無効であり、システムが NIS を使用するように構成されてい
ると、milestone/name-services がオンライン状態にならないことにあります。
このため、/etc/rc2.d (svc:/milestone/multi-user:default) が動作せ
ず、これにより nddconfig も動作しません。
このバグは、Solaris 10 OS の Bug ID 6223370 により修正される予定です。
回避策 :
■ NIS を使用する必要がある場合は、rpcbind を有効にして再起動します。
『Solaris Security Toolkit 4.2 リファレンスマニュアル』の第 1 章を参照してくだ
さい。
■ NIS を使用する必要がない場合は、NIS を無効にします。NIS を無効にする方法
については、Solaris 10 OS のネームサービスに関するマニュアルを参照してくだ
さい。
12 Solaris Security Toolkit 4.2 ご使用にあたって • 2005 年 7 月
Solaris Security Toolkit 4.2 ソフトウェア
に影響するバグ
この節では、発生する可能性のあるバグについて説明します。これらのバグは、
Solaris Security Toolkit に影響するその他のソフトウェアで修正されていません。
ip6_send_redirects のパラメータが監査に
よって異なる場合がある (Bug ID 6222001)
この Solaris 10 OS バグは、Solaris Security Toolkit 4.2 ソフトウェアの動作に影響す
る可能性があります。同じであるはずの ip6_send_redirects のパラメータが監
査によって異なる場合があります。たとえば、強化されてないシステムを監査すると
します (Audit #1)。続いてシステムを強化し、再起動し、強化を元に戻して、再起動
します。システムを再度監査します (Audit #2)。
タイムスタンプを除いて、同じ監査結果が表示されると予想されます。しかし、最初
の監査と第 2 の監査の間で、nddconfig ファイルの ip6_send_redirects パラ
メータが異なる場合があります。最初の監査では、パラメータが 0 ではないため
チェックに失敗したとメッセージは報告します。第 2 の監査では、パラメータが 0 で
あり、これが正しい応答であるためチェックが成功したとメッセージは報告します。
回避策 : 特にありません。
/etc/motd は揮発性ファイルとしてインストール
する必要がある (Bug ID 6222495)
この Solaris 10 OS のバグは、Solaris Security Toolkit 4.2 ソフトウェアの動作に影響
する可能性があります。/etc/motd ファイルは、ファイルタイプ f で SUNWcsr
パッケージにより配布されます。Solaris Security Toolkit 4.2 のドライバがこのファイ
ルを置き換えるため、ゾーンとゾーン内のパッケージをインストールする際にエラー
と警告が発生する可能性があります。
回避策 :
次のいずれかの方法を実行します。
■ このファイルがインストールされないように JASS_FILES リストからファイルを
削除します。
■ ファイルタイプを v に変更してこのエラーを解消します。
Solaris Security Toolkit 4.2 ご使用にあたって 13
svc.startd が optional_all のエッジケース
を見つけることができない (Bug ID 6223370)
rpcbind を無効にして再起動した場合、milestone/name-services がオンライ
ンにはならないため、inetd およびその他のサービスがオンラインにならない場合
があります。いくつかの点で、この Solaris 10 OS のバグは、Solaris Security Toolkit
4.2 ソフトウェアの動作に影響する可能性があります。Bug ID 6284872 および Bug
ID 6222181 の説明を参照してください。
回避策 :
■ NIS を使用する必要がある場合は、rpcbind を有効にして再起動します。
『Solaris Security Toolkit 4.2 リファレンスマニュアル』の第 1 章を参照してくだ
さい。
■ NIS を使用する必要がない場合は、NIS を無効にします。NIS を無効にする方法
については、Solaris 10 OS のネームサービスに関するマニュアルを参照してくだ
さい。
14 Solaris Security Toolkit 4.2 ご使用にあたって • 2005 年 7 月
Loading...