Sun Microsystems Solaris Security Toolkit Guide

Download

Solaris™Security Toolkit 4.2

マニュアルページガイド

Sun Microsystems, Inc. www.sun.com

Part No. 819-3794-10 2005 年 7 月, Revision A

コメントの送付: http://www.sun.com/hwdocs/feedback

米国 Sun Microsystems, Inc. (以下、米国 Sun Microsystems 社とします) は、本書に記述されている技術に関する知的所有権を有しています。これら知的所有権には、http://www.sun.com/patents に掲載されているひとつまたは複数の米国特許、および米国ならびにその他の国におけるひとつまたは複数の特許または出願中の特許が含まれています。

本書およびそれに付属する製品は著作権法により保護されており、その使用、複製、頒布および逆コンパイルを制限するライセンスのもとにおいて頒布されます。サン・マイクロシステムズ株式会社の書面による事前の許可なく、本製品および本書のいかなる部分も、いかなる方法によっても複製することが禁じられます。

本製品のフォント技術を含む第三者のソフトウェアは、著作権法により保護されており、提供者からライセンスを受けているものです。本製品の一部は、カリフォルニア大学からライセンスされている Berkeley BSD システムに基づいていることがあります。UNIX は、

X/Open Company Limited が独占的にライセンスしている米国ならびに他の国における登録商標です。本製品は、株式会社モリサワからライセンス供与されたリュウミン L-KL (Ryumin-Light) および中ゴシック BBB (GothicBBB-Medium) の

フォント・データを含んでいます。本製品に含まれる HG 明朝 L と HG ゴシック B は、株式会社リコーがリョービイマジクス株式会社からライセンス供与されたタイプフェー

Sun、Sun Microsystems、docs.sun.com、JumpStart は、米国およびその他の国における米国 Sun Microsystems 社の商標もしくは登録商標です。サンのロゴマークおよび Solaris は、米国 Sun Microsystems 社の登録商標です。

すべての SPARC 商標は、米国 SPARC International, Inc. のライセンスを受けて使用している同社の米国およびその他の国における商標または登録商標です。SPARC 商標が付いた製品は、米国 Sun Microsystems 社が開発したアーキテクチャーに基づくものです。

OPENLOOK、OpenBoot、JLE は、サン・マイクロシステムズ株式会社の登録商標です。 ATO K は、株式会社ジャストシステムの登録商標です。ATO K8 は、株式会社ジャストシステムの著作物であり、ATO K8 にかかる著作権そ

の他の権利は、すべて株式会社ジャストシステムに帰属します。ATOK Server/ATOK12 は、株式会社ジャストシステムの著作物であり、 ATOK Server/ATOK12 にかかる著作権その他の権利は、株式会社ジャストシステムおよび各権利者に帰属します。

本書で参照されている製品やサービスに関しては、該当する会社または組織に直接お問い合わせください。 OPEN LOOK および Sun™ Graphical User Interface は、米国 Sun Microsystems 社が自社のユーザーおよびライセンス実施権者向けに開発

しました。米国 Sun Microsystems 社は、コンピュータ産業用のビジュアルまたはグラフィカル・ユーザーインタフェースの概念の研究開発における米国 Xerox 社の先駆者としての成果を認めるものです。米国 Sun Microsystems 社は米国 Xerox 社から Xerox Graphical User

Interface の非独占的ライセンスを取得しており、このライセンスは米国 Sun Microsystems 社のライセンス実施権者にも適用されます。 U.S. Government Rights—Commercial use. Government users are subject to the Sun Microsystems, Inc. standard license agreement and

applicable provisions of the FAR and its supplements.

本書は、「現状のまま」をベースとして提供され、商品性、特定目的への適合性または第三者の権利の非侵害の黙示の保証を含みそれに限定されない、明示的であるか黙示的であるかを問わない、なんらの保証も行われないものとします。

本書には、技術的な誤りまたは誤植のある可能性があります。また、本書に記載された情報には、定期的に変更が行われ、かかる変更は本書の最新版に反映されます。さらに、米国サンまたは日本サンは、本書に記載された製品またはプログラムを、予告なく改良または変更することがあります。

本製品が、外国為替および外国貿易管理法 (外為法) に定められる戦略物資等 (貨物または役務) に該当する場合、本製品を輸出または日本国外へ持ち出す際には、サン・マイクロシステムズ株式会社の事前の書面による承諾を得ることのほか、外為法および関連法規に基づく輸出手続き、また場合によっては、米国商務省または米国所轄官庁の許可を得ることが必要です。

原典: Solaris Security Toolkit 4.2 Man Page Guide

Part No: 819-1505-10

Revision A

Please

Recycle

Intro 1

add-client 3

audit_public_funcs 7

common_log_funcs 11

common_misc_funcs 15

driver_public_funcs 17

jass-check-sum 21

jass-execute 23

make-jass-pkg 29

rm-client 33

security_drivers 35

iii

iv Solaris Security Toolkit 4.2 マニュアルページガイド • 2005 年 7 月

はじめに

Solaris Security 4.2 ソフトウェアで配布されるマニュアルページは、Solaris™ オペレーティングシステムでは配布されません。ただし、これらのマニュアルページは、 Solaris オペレーティングシステムのマニュアルページの形式に従っています。このマニュアルでは、一部の Solaris オペレーティングシステムのコマンドが参照されています。Solaris Reference Manual Collection または各マニュアルページでは、それらの詳細を調べることができます。Solaris Security Toolkit 4.2 のこれらのマニュアルページを使用すると、Solaris Security Toolkit とその機能に関する情報を取得できます。

概要

マニュアルページの各セクションの簡単な説明と参照先の情報を次に説明します。

■ セクション 1M にはまず、Solaris Security Toolkit 4.2 ソフトウェアのマニュアル

ページとして呼び出すことができる Intro コマンドを挙げています。Intro のマニュアルページには、Solaris Security Toolkit 4.2 ソフトウェアでサポートされる関数とドライバのカテゴリが示されています。さらにこのセクションでは、アルファベット順で、主にシステム保守および管理のために使用されるコマンドを説明しています。

■ セクション 4 では各種ファイルの内容を説明しています。

■ セクション 7 では、固有のデバイスドライバを参照するさまざまな特殊ファイルを

説明しています。

マニュアルページの一般的な形式を次に示します。各マニュアルセクションのマニュアルページは一般的に次の順序に従いますが、必要な項目のみが含まれています。たとえば、拡張機能説明がない場合は、拡張機能説明のセクションはありません。各セクションの詳細については Intro ページを参照し、マニュアルページの一般的な情報については man(1) を参照してください。

名前コマンドや関数の名称と概略が示されています。

形式コマンドや関数の構文が示されています。標準パ

スにコマンドやファイルが存在しない場合は、フルパス名が示されます。オプションと引数の順番は、アルファベット順です。特別な指定が必要な場合を除いて、1 文字の引数、引数のついたオプションの順に書かれています。

このセクションでは、次の特殊文字が使用されています。

[ ] かっこ。このかっこに囲まれたオプショ

ンや引数は省略できます。このかっこが付いていない場合には、引数を必ず指定する必要があります。

… 省略符号。前の引数に変数を付けたり、

引数を複数指定したりできることを意味します (例: filename...)。

| 区切り文字 (セパレータ)。この文字で分

割されている引数のうち、一度に 1 つだけを指定できます。

{ } 大かっこ。この大かっこに囲まれた複数

のオプションや引数は省略できます。かっこ内は 1 組として扱います。

説明コマンドの実行内容を簡潔に定義します。

拡張機能説明コマンドの実行内容をより詳細に説明します。(存

在する場合は) 必要なグループ権限を示します。

コマンド一覧サポートされているコマンド、関数、およびドラ

イバを示します。

オプション各オプションがどのように実行されるかを示しま

す。オプションは「形式」で示されている順に記述されています。オプションの引数はこの項目で説明され、必要な場合はデフォルト値を示します。

使用例コマンドや関数の使用例や使用方法を説明してい

ます。できるだけ、実際に入力するコマンド行とスクリーンに表示される内容を例にしています。例の中には必ず、example% のプロンプトが出てきます。スーパーユーザーの場合は example# のプロンプトになります。

終了ステータスコマンドが呼び出しプログラムまたはシェルに返

す値と、その状態を説明しています。通常、正常終了には 0 が返され、0 以外の値はそれぞれのエラーステータスを示します。

vi Solaris Security Toolkit 4.2 マニュアルページガイド • 2005 年 7 月

ファイルマニュアルページが参照するファイル、関連ファ

イル、およびコマンドが作成または必要とするファイルをすべて示し、各ファイルについて簡単に説明しています。

属性属性タイプとその対応する値を定義することによ

り、コマンド、ユーティリティー、およびデバイスドライバの特性を示しています。詳細は、 attributes(5) を参照してください。

関連項目その他の Solaris Security Toolkit のマニュアル

ページへの参照が示されています。

はじめに vii

viii Solaris Security Toolkit 4.2 マニュアルページガイド • 2005 年 7 月

システム管理 Intro(1M)

名前 Intro - Solaris Security Toolkit の管理を紹介します。

形式 Intro

説明 Solaris Security Toolkit (

JASS (JumpStart Architecture and Security Scripts) とも呼ばれ

る ) で使用できるコマンドについて説明します。

Sun では、Solaris Security Toolkit ソフトウェアを Solaris 8、9、および 10 オペレーティングシステムで使用する場合にのみサポートを提供しています。 Solaris Security Toolkit ソフトウェアは Solaris 2.5.1、Solaris 2.6、および Solaris 7 オペレーティン

グシステムで使用することもできますが、これらのオペレーティングシステムで使用する場合、Sun ではサポートを提供していません。

Solaris Security Toolkit ソフトウェアは、インストールされている Solaris オペレーティングシステムのバージョンを自動的に検出し、そのバージョンに合わせて適切なタスクを実行します。

コマンド一覧 Solaris Security Toolkit 4.2 ソフトウェアでは、次のコマンド、関数、およびドライ

バがサポートされています。

Intro

Solaris Security Toolkit のコマンド、関数、およびドライバの一覧を示します。

add-client

Solaris Security Toolkit がインストールされている JumpStart™ サーバーへの JumpStart クライアントの

追加を容易にします。add-client は add_install_client スクリプトのラッパーです。

audit_public_funcs

audit_public.funcs ファイルにある Solaris

Security Toolkit のすべてのパブリック監査関数の一覧を示します。

common_log_funcs

Solaris Security Toolkit のすべてのログ関数とレポート関数を制御する common_log.funcs ファイル内のすべての共通ログ関数の一覧を示します。

common_misc_funcs

common_misc.funcs ファイル内のさまざまなフレー

ムワークの Solaris Security Toolkit 関数の一覧を表示します。

driver_public_funcs

driver_public.funcs ファイル内の Solaris Security

Toolkit ドライバのすべてのパブリック関数の一覧を表示します。

jass-check-sum

チェックサムを使用することで、最後の Security Toolkit セキュリティー強化以降に加えられたファイル

の変更を特定します。

jass-execute

Solaris Security Toolkit ソフトウェアの機能の大部分を実行します。

最終変更日 2005 年 7 月 29 日 Solaris Security Toolkit 4.2 1

Intro(1) システム管理

make-jass-pkg

rm-client

security_drivers

システムにインストールされているカスタマイズされたバージョンからカスタマイズされた Solaris Security

Toolkit パッケージを作成できるようにします。

Solaris Security Toolkit がインストールされている JumpStart サーバーからの JumpStart クライアントの

削除を容易にします。rm-client は rm_install_client スクリプトのラッパーです。

Drivers ディレクトリの security.drivers ファイ

ルにあるすべての Solaris Security Toolkit ドライバの一覧を表示します。

2 Solaris Security Toolkit 4.2 最終変更日 2005 年 7 月 29 日

システム管理 add-client(1M)

名前 add-client - Solaris Security Toolkit の JumpStart クライアントをインストールしま

す。

形式 add-client -c client-host-name [-i install-server] [-m client-mach-class] [-o

solaris-os-instance] [-s sysidcfg-dir]

add-client -?| -h

add-client -v

説明 add-client は add_install_client スクリプトのラッパーで、このスクリプト

を使うと Solaris Security Toolkit がインストールされている JumpStart サーバーへの JumpStart クライアントの追加が簡単になります。このコマンドは、Solaris Security Toolkit 配布パッケージの bin ディレクトリにあります。

拡張機能説明 SPARC ベースのシステムの場合、add-client コマンドは、JumpStart クライアン

トと Solaris Security Toolkit で必要な構成情報をインストールします。このコマンドは JumpStart サーバーから実行されます。

Dynamic Host Configuration Protocol (DHCP) クライアントを使用する x86 システムの場合、Solaris ( インストール ) メディアに付属する add_install_client スクリプトを使用する必要があります。これは、クライアントに必要な JumpStart 構成の実行など、add-client スクリプトに含まれていない高度な JumpStart 機能を使用する必要がある JumpStart 構成にも当てはまります。

必要なグループ特

このコマンドを実行するには、スーパーユーザー特権が必要です。

権

オプション次のオプションがサポートされています。

-c client-host-name

インストールする JumpStart クライアントの名前を指定します。

-h |-?

使用方法を表示します。

単一で使用します。 -h または -? に追加で指定されたオプションは無視されます。

-i install-server

JumpStart インストールサーバーの名前を指定します。値を指定しないと、使用可能なオプションのリストが表示されます。システムのネットワークインタフェースが 1 つだけの場合は、デフォルトでそのインタフェースが使用されます。

-m client-mach-class

JumpStart クライアントのマシンクラスを指定します。この値は、uname -n コマンドの出力と同じ形式でなければなりません。指定されていない場合は、デフォルトの sun4u が使用されます。

最終変更日 2005 年 7 月 29 日 Solaris Security Toolkit 4.2 3

add-client(1M) システム管理

-o solaris-os-instance

クライアントにインストールする Solaris オペレーティングシステムのバージョンを指定します。値を指定しないと、使用可能なオプションのリストが表示されます。使用可能なインスタンスが 1 つだけの場合は、デフォルトでそのインスタンスが使用されます。

-s sysidcfg-dir

システムの識別および構成 (sysidcfg) ファイルを格納する代替ディレクトリへのパス名を指定します。デフォルトでは、この値は JASS_HOME/Sysidcfg/Solaris-ver/ ディレクトリに設定されます。このオプションを使用する場合は、JASS_HOME/Sysidcfg ディレクトリへの相対パス名を指定する必要があります。たとえば、JASS_HOME/ Sysidcfg/Hosts/alpha というディレクトリが存在し、そこに sysidcfg ファイルを含める場合は、Hosts/

alpha を指定します。

-v

このプログラムのバージョン情報を表示します。

使用例例 1 デフォルト設定を使用したシステムへのクライアントの追加

sc0:#:> /opt/SUNWjass/bin/add-client -c eng1 -m sun4u Selecting default operating system, Solaris_ver. Selecting default system interface, IP_address. cleaning up preexisting install client "eng1" removing eng1 from bootparams updating /etc/bootparams sc0:#:>

オプションを以下に示します。

Solaris_ver

JASS_HOME_DIR/OS にインストールされている Solaris OS のバージョンのみ。

IP_address

コマンドが実行されたシステムのネットワークインタフェースのみ。ピリオドで区切った 4 組の数値で記述されます ( たとえば、

172.16.0.59)。

eng1

例 2 オプションをすべて使用したシステムへのクライアントの追加

sc0:#:> /opt/SUNWjass/bin/add-client -c eng1 -i jumpserve1 -m

sun4u -o Solaris_9_2003-12 -s Hosts/alpha

cleaning up preexisting install client "eng1" removing eng1 from bootparams updating /etc/bootparams sc0:#:>

JumpStart クライアントのホスト名です。

4 Solaris Security Toolkit 4.2 最終変更日 2005 年 7 月 29 日

システム管理 add-client(1M)

オプションを以下に示します。

eng1

jumpserve1

JumpStart クライアントのホスト名です。

JumpStart クライアントのインストールに使用される sc0 上の

ローカルインタフェースの名前。

終了ステータス次の終了値が返されます。

正常終了。

エラーが発生しました。

属性次の属性の説明については、attributes(5) を参照してください。

属性タイプ属性値

Availability SUNWjass

Interface Stability Unstable

関連項目 add-client(1M)

common_log_funcs(4)

common_misc_funcs(4)

driver_public_funcs(4)

jass-check-sum(1M)

8 Solaris Security Toolkit 4.2 最終変更日 2005 年 7 月 29 日

ファイル形式 audit_public_funcs(4)

jass-execute(1M)

make-jass-pkg(1M)

rm-client(1M)

security_drivers(7)

最終変更日 2005 年 7 月 29 日 Solaris Security Toolkit 4.2 9

audit_public_funcs(4) ファイル形式

10 Solaris Security Toolkit 4.2 最終変更日 2005 年 7 月 29 日

ファイル形式 common_log_funcs(4)

名前 common_log_funcs - common_log.funcs ファイルにあるすべての共通ログ関数

の一覧を示します。

形式

common_log_funcs

説明すべてのログ関数とレポート関数は Drivers ディレクトリの common_log.funcs

ファイルに格納されています。ログ関数とレポート関数は、Solaris Security Toolkit ソフトウェアのすべての操作モードで使用されるため、共通関数と見なされます。たとえば、このファイルには logWarning や logError などの関数が含まれています。

フレームワーク関数を使用すると、ソースコードを変更せずに Solaris Security Toolkit ソフトウェアの動作を柔軟に変更することができます。

拡張機能説明以下に共通ログ関数のリストを示します。

■ logBanner

■ logDebug

■ logError

■ logFailure

■ logFileContentsExist と logFileContentsNotExist

■ logFileExists と logFileNotExists

■ logFileGroupMatch と logFileGroupNoMatch

■ logFileModeMatch と logFileModeNoMatch

■ logFileNotFound

■ logFileOwnerMatch と logFileOwnerNoMatch

■ logFileTypeMatch と logFileTypeNoMatch

■ logFinding

■ logFormattedMessage

■ logInvalidDisableMode

■ logInvalidOSRevision

■ logMessage

■ logNotGlobalZone

■ logNotice

■ logPackageExists と logPackageNotExists

■ logPatchExists と logPatchNotExists

■ logProcessArgsMatch と logProcessArgsNoMatch

■ logProcessExists と logProcessNotExists

■ logProcessNotFound

最終変更日 2005 年 7 月 29 日 Solaris Security Toolkit 4.2 11

common_log_funcs(4) ファイル形式

■ logScore

■ logScriptFailure

■ logServiceConfigExists と logServiceConfigNotExists

■ logServiceDisabled と logServiceEnabled

■ logServiceInstalled と logServiceNotInstalled

■ logServiceOptionDisabled と logServiceOptionEnabled

■ logServiceProcessList

■ logServicePropDisabled と logServicePropEnabled

■ logServiceRunning と logServiceNotRunning

■ logStartScriptExists と logStartScriptNotExists

■ logStopScriptExists と logStopScriptNotExists

■ logSuccess

■ logSummary

■ logUndoBackupWarning

■ logUserLocked と logUserNotLocked

■ logWarning

上記関数の使用方法の詳細については、『Solaris Security Toolkit 4.2 リファレンスマニュアル』の「フレームワーク関数」の章を参照してください。

使用例

例 1 ログ失敗のログ記録

Usage: logFailure "Package SUNWatfsr is installed." Output: [FAIL] Package SUNWatfsr is installed.

例 2 ログファイルの存在のログ記録

Usage: logFileExists /etc/issue Output: [NOTE] File /etc/issue was found.

属性次の属性の説明については、attributes(5) を参照してください。

属性タイプ属性値

Availability SUNWjass

Stability Unstable

12 Solaris Security Toolkit 4.2 最終変更日 2005 年 7 月 29 日

ファイル形式 common_log_funcs(4)

関連項目 add-client(1M)

audit_public_funcs(4)

common_misc_funcs(4)

driver_public_funcs(4)

jass-check-sum(1M)

jass-execute(1M)

make-jass-pkg(1M)

rm-client(1M)

security_drivers(7)

最終変更日 2005 年 7 月 29 日 Solaris Security Toolkit 4.2 13

common_log_funcs(4) ファイル形式

14 Solaris Security Toolkit 4.2 最終変更日 2005 年 7 月 29 日

ファイル形式 common_misc_funcs(4)

名前 common_misc_funcs - common_misc.funcs ファイルにあるさまざまなフレーム

ワーク関数に一覧を表示します。

形式

common_misc_funcs

説明さまざまな関数は、Solaris Security Toolkit ソフトウェアのいくつかの領域内で使用

され、そのほかのフレームワーク関数が提供する機能に特化したものではありません。これらのさまざまな関数は、Drivers ディレクトリの common_misc.funcs ファイルに格納されています。このファイルには、isNumeric や printPretty などの共通ユーティリティー関数が含まれています。

フレームワーク関数を使用すると、ソースコードを変更せずに Solaris Security Toolkit ソフトウェアの動作を柔軟に変更することができます。

拡張機能説明以下に共通のいろいろな関数のリストを示します。

■ adjustScore

■ checkLogStatus

■ clean_path

■ extractComments

■ get_driver_report

■ get_lists_conjunction

■ get_lists_disjunction

■ invalidVulnVal

■ isNumeric

■ printPretty

■ printPrettyPath

■ strip_path

上記関数の使用方法の詳細については、『Solaris Security Toolkit 4.2 リファレンスマニュアル』の「フレームワーク関数」の章を参照してください。

属性次の属性の説明については、attributes(5) を参照してください。

属性タイプ属性値

Availability SUNWjass

Stability Unstable

関連項目 add-client(1M)

audit_public_funcs(1M)

最終変更日 2005 年 7 月 29 日 Solaris Security Toolkit 4.2 15

common_misc_funcs(4) ファイル形式

common_log_funcs(4)

driver_public_funcs(4)

jass-check-sum(4)

jass-execute(1M)

make-jass-pkg(1M)

rm-client(1M)

security_drivers(7)

16 Solaris Security Toolkit 4.2 最終変更日 2005 年 7 月 29 日

ファイル形式 driver_public_funcs(4)

名前 driver_public_funcs - driver_public.funcs ファイルにあるドライバ関数の一

覧を示します。

形式 driver_public_funcs

説明 Solaris Security Toolkit ドライバ機能を制御するすべての関数は、

driver_public.funcs ファイルの Drivers ディレクトリにあります。このファイルには、add_pkg や copy_a_file などの関数が含まれています。

拡張機能説明スクリプトをカスタマイズまたは作成する場合は、次の関数を使用して標準の操作

を実行してください。

■ add_crontab_entry_if_missing

■ add_option_to_ftpd_property

■ add_patch

■ add_pkg

■ add_to_manifest

■ backup_file

■ backup_file_in_safe_directory

■ change_group

■ change_mode

■ change_owner

■ check_and_log_change_needed

■ check_os_min_version

■ check_os_revision

■ check_readOnlyMounted

■ checksum

■ convert_inetd_service_to_fmri

■ copy_a_dir

■ copy_a_file

■ copy_a_symlink

■ copy_files

■ create_a_file

■ create_file_timestamp

■ disable_conf_file

■ disable_file

■ disable_rc_file

■ disable_service

最終変更日 2005 年 7 月 29 日 Solaris Security Toolkit 4.2 17

driver_public_funcs(4) ファイル形式

■ enable_service

■ find_sst_run_with

■ get_expanded_file_name

■ get_stored_keyword_val

■ get_users_with_retries_set

■ is_patch_applied と is_patch_not_applied

■ is_service_enabled

■ is_service_installed

■ is_service_running

■ is_user_account_extant

■ is_user_account_locked

■ is_user_account_login_not_set

■ is_user_account_passworded

■ lock_user_account

■ make_link

■ mkdir_dashp

■ move_a_file

■ rm_pkg

■ set_service_property_value

■ set_stored_keyword_val

■ unlock_user_account

■ update_inetcon_in_upgrade

■ warn_on_default_files

■ write_val_to_file

上記関数の使用方法の詳細については、『Solaris Security Toolkit 4.2 リファレンスマニュアル』の第 2 章「フレームワーク関数」を参照してください。

使用例

例 1 単一パッチの追加

add_patch 123456-01

例 2 パッチリストの追加

add_patch -M ${JASS_PATCH_DIR}/OtherPatches patch_list.txt

18 Solaris Security Toolkit 4.2 最終変更日 2005 年 7 月 29 日

ファイル形式 driver_public_funcs(4)

属性次の属性の説明については、attributes(5) を参照してください。

属性タイプ属性値

Availability SUNWjass

関連項目 add-client(1M)

audit_public_funcs(4)

common_log_funcs(4)

common_misc_funcs(4)

jass-check-sum(1M)

jass-execute(1M)

make-jass-pkg(1M)

rm-client(1M)

security_drivers(7)

最終変更日 2005 年 7 月 29 日 Solaris Security Toolkit 4.2 19

driver_public_funcs(4) ファイル形式

20 Solaris Security Toolkit 4.2 最終変更日 2005 年 7 月 29 日

システム管理 jass-check-sum(1M)

名前 jass-check-sum - Security Toolkit の最後のセキュリティー強化以降に行われたファ

イルの変更を特定します。

形式 jass-check-sum

説明この Solaris Security Toolkit スクリプトは、ファイルのチェックサムが最後に

JASS_REPOSITORY (/var/opt/SUNWjass/run/*/jass-checksums.txt) に保存されてから変更があったファイルを特定します。

ファイルの最新のチェックサムを現在のファイルと比較するだけです。これにより、ファイルが Solaris Security Toolkit によって設定された後で変更されたかどうかを判断できます。該当する設定がすでに元に戻されている場合は、その設定はスキップされます。

拡張機能説明

必要なグループ特

このコマンドを実行するには、スーパーユーザー特権が必要です。

権

オプションなし。

使用例

例 1 Solaris Security Toolkit ファイルのチェック

sc0: #:> /opt/SUNWjass/bin/jass-check-sum

Checking for file signature conflicts associated with Toolkit run: 20040621172054

File Name Saved CkSum Current CkSum

-----------------------------------------------------------------/etc/passwd 685593234:456 1703916610:489 /etc/shadow 3216256103:185 3154547236:190

sc0:#:>

終了ステータス次の終了値が返されます。

正常終了。

エラーが発生しました。

ファイルこのコマンドでは次の JASS_REPOSITORY ファイルが使用されます。

/var/opt/SUNWjass/run/run-id/jass-checksums.txt

テスト対象ファイルと比較されるファイルのリストが含まれます。

最終変更日 2005 年 7 月 29 日 Solaris Security Toolkit 4.2 21

jass-check-sum(1M) システム管理

属性次の属性の説明については、attributes(5) を参照してください。

属性タイプ属性値

Availability SUNWjass

Interface Stability Evolving

関連項目 add-client(1M)

audit_public_funcs(4)

common_log_funcs(4)

common_misc_funcs(4)

driver_public_funcs(4)

jass-execute(1M)

make-jass-pkg(1M)

rm-client(1M)

22 Solaris Security Toolkit 4.2 最終変更日 2005 年 7 月 29 日

システム管理 jass-execute(1M)

名前 jass-execute - Solaris Security Toolkit の機能を実行します。

形式 jass-execute [-r root_directory -p os_version] [-q|-o output_file] [-m e-

mail_address] [-V [3|4] ] [-d driver]

jass-execute -u [-b|-f|-k] [-q|-o output_file] [-m e-mail_address] [-V [3|4]]

jass-execute -a driver [-V [0|1|2|3|4] ] [-q|-o output_file] [-m e-

mail_address]

jass-execute -c [-q|-o output_file] [-m e-mail_address] [-V [3|4]]

jass-execute -H

jass-execute -l

jass-execute -h|-?

jass-execute -v

説明 jass-execute は、使用されているオプションに応じて Solaris Security Toolkit

(JASS とも呼ばれる ) のさまざまな機能を実行します。jass-execute コマンドと

そのさまざまなオプションの使用法の詳細は、『Solaris Security Toolkit 4.2 管理マニュアル』の第 3 章「セキュリティーソフトウェアのアップグレード、インストール、および実行」を参照してください。

拡張機能説明 jass-execute コマンドの -a および -d オプションを使用してドライバを指定す

る必要があります。ドライバは、Solaris OS システムを強化、最小化、および監査するために、Solaris Security Toolkit ソフトウェアで使用されます。一連のドライバと関連ファイルによって、セキュリティープロファイルが構成されます。

Drivers ディレクトリには、デフォルトで次の標準的なドライバが用意されています。

■ [secure|hardening|config].driver

次の製品固有のドライバは、特定の Sun 製品やその構成のセキュリティー強化に使用されます。

■ server-[secure|hardening|config].driver

■ suncluster3x-[secure|hardening|config].driver

■ sunfire_15k_sc-[secure|hardening|config].driver

注 – [name]-secure.driver は、jass-execute コマンドに対する引数としてのみ使

用します。

ドライバの詳細については、『Solaris Security Toolkit 4.2 リファレンスマニュアル』の第 4 章「ドライバ」を参照してください。

最終変更日 2005 年 7 月 29 日 Solaris Security Toolkit 4.2 23

jass-execute(1M) システム管理

必要なグループ特

このコマンドを実行するには、スーパーユーザー特権が必要です。

権

オプション次のオプションがサポートされています。

- a driver

システムがセキュリティープロファイルに適合しているかどうかを判断します。

- c、- d、- h、- H、- l、- p、- r、または -u オプションと一緒には使用しないでください。

- b

前回の強化後に手動で変更されたファイルをバックアップした後、システムを元の状態に復元します。

-u オプションのみと一緒に使用します。

-c

クリーンオプションを指定します。Solaris Security Toolkit の前回実行時からの保存ファイルを削除します。

- d driver

スタンドアロンモードで実行されるドライバを指定します。

- a、- b、- c、- f、- h、- H、- k、または -u オプションと一緒には使用しないでください。

- f

強化後に手動でファイルが変更されていても、強化中に行われた変更を強制的にリセットします。

-u オプションのみと一緒に使用します。

- H

システム上の Solaris Security Toolkit アプリケーションの履歴を表示します。

- h |-?

jass-execute の使用方法を表示します。

単一で使用します。 -h|-? に追加で指定されたオプションは無視されます。

- k

強化後にファイルに手動で行われた変更を保持します。

-u オプションのみと一緒に使用します。

- l

最後にシステムにインストールされた Solaris Security Toolkit アプリケーションを表示します。

- m e-mail_address

社内サポートに使用する電子メールアドレスを指定します。

- o output_file

出力ファイルそれ自体だけでなく、出力ファイルへの完全パスを指定します。

24 Solaris Security Toolkit 4.2 最終変更日 2005 年 7 月 29 日

システム管理 jass-execute(1M)

- p os_version

- q

- r root_directory

Solaris の OS バージョンを指定します。形式は uname -r と同じです。

-r root_directory オプションと一緒に使用しなければなりません。

非出力モードを指定します。このコマンドの実行中、メッセージは表示されません。出力は JASS_REPOSITORY/ に格納されます。

jass-execute の実行中に使用されるルートディレクトリを指定します。デフォルトでは、ルートファイルシステムは

/ です。このルートディレクトリは Solaris Security Toolkit 環境変数 JASS_ROOT_DIR で定義されます。セ

キュリティー強化の対象の Solaris OS は / を介して指定できます。たとえば、別の OS ディレクトリのセキュリティーを強化する場合は、一時的に /mnt にマウントし、

-r オプションで /mnt を指定します。

-p os_version オプションと一緒に使用しなければなりま

せん。

最終変更日 2005 年 7 月 29 日 Solaris Security Toolkit 4.2 25

jass-execute(1M) システム管理

- u

- V verbosity_level

例外が発生したとき、希望のアクションを入力するようにプロンプトで要求して、操作を元に戻します。

- a、- c、- d、- h、- l、または -H オプションと一緒には使用しないでください。

監査の詳細レベルを指定します。次の 5 つの詳細レベル (0 ～ 4) があります。

0 最終モード。このモードでは、検証全体の総合

結果を示す 1 行のみの出力が生成されます。 PASS または FAIL の結果だけが必要な場合に、このモードは便利です。

1 統合モード。このモードでは、各監査スクリプ

トごとに、その結果を示す 1 行の出力が生成されます。また、監査終了時にスコアの総合計が生成されるだけでなく、各スクリプトの終了時にもスコアの小計が生成されます。

2 要約モード。このモードは、統合詳細レベルの

内容に、各監査スクリプト内の個々のチェックの結果を組み合わせたモードです。 1 つの監査スクリプト内で成功したチェックと失敗したチェックを即座に判定する場合に、このモードは便利です。このモードの形式も、1 行に 1 つの結果が表示されます。

3 完全モード。初めての複数行詳細モードです。

このモードでは、実行されているチェック、そのチェックの目的、および結果の判定方法がもっとよくわかるように、バナーとヘッダが出力されます。このモードはデフォルトの詳細レベルで、Solaris Security Toolkit の検証機能を初めて使用するユーザーに適しています。

4 デバッグモード。このモードは、完全詳細モー

ドを拡張したモードで、logDebug ログ関数によって生成される項目がすべて含まれます。現在、このモードは Solaris Security Toolkit 監査スクリプトでは使用されていませんが、完全を期すためと、管理者がコード内部にデバッグ文を埋めこめるように用意されています。

- v

26 Solaris Security Toolkit 4.2 最終変更日 2005 年 7 月 29 日

このプログラムのバージョン情報を表示します。

システム管理 jass-execute(1M)

使用例例 1 Solaris Security Toolkit アプリケーションの構成

sc0:#:> /opt/SUNWjass/bin/jass-execute -r /mnt -p 5.9 -o

output.txt -m support@mycompany.com -d secure.driver

[NOTE] The following prompt can be disabled by setting JASS_NOVICE_USER to 0. [WARN] Depending on how the Solaris Security Toolkit is configured, it is both possible and likely that by default all remote shell and file transfer access to this system will be disabled upon reboot effectively locking out any user without console access to the system. Are you sure that you want to continue? (YES/NO) [NO] YES [NOTE] Executing driver, secure.driver [NOTE] Recording output to output.txt sc0:#:>

例 2 以前の Jass アプリケーションを元に戻す

sc0:#:>

/opt/SUNWjass/bin/jass-execute -u -b -q -m

support@mycompany.com -V 3

[WARN] Creating backup copies of some files may cause unintended affects. [WARN] This is particularly true of /etc/hostname.[interface] files as well as crontab files in /var/spool/cron/crontabs. [NOTE] Executing driver, undo.driver

Please select a Solaris Security Toolkit run to restore through:

1. June 28, 2004 at 19:11:49 (/var/opt/SUNWjass/run/20040628191149)

2. June 21, 2004 at 17:20:54 (/var/opt/SUNWjass/run/20040621172054)

3. June 17, 2004 at 10:45:23 (/var/opt/SUNWjass/run/20040617104523) Choice (’q’ to exit)? 1 [NOTE] Restoring to previous run from /var/opt/SUNWjass/run/ 20040628191149 sc0:#:>

例 3 定義済みプロファイルに対するシステムの監査

sc0:#:>

/opt/SUNWjass/bin/jass-execute -a secure.driver -V 2 -o

output.txt -m support@mycompany.com

jass-execute [NOTE] Executing driver, secure.driver jass-execute [NOTE] Recording output to output.txt sc0:#:>

例 4 最後にインストールされた Solaris Security Toolkit アプリケーションの表

示

sc0:#:>

# ./jass-execute -l This information is only applicable for applications of the Solaris Security Toolkit starting with version 0.3. The last application of the Solaris Security Toolkit was:

1. June 28, 2004 at 19:11:49 (20040628191149) (UNDONE) sc0:#:>

/opt/SUNWjass/bin/jass-execute -l

最終変更日 2005 年 7 月 29 日 Solaris Security Toolkit 4.2 27

jass-execute(1M) システム管理

終了ステータス次の終了値が返されます。

正常終了。

エラーが発生しました。

セキュリティー違反が発生しました。

jass-execute の別のインスタンスが実行中です。

ユーザー要求による終了。

属性次の属性の説明については、attributes(5) を参照してください。

属性タイプ属性値

Availability SUNWjass

Interface Stability Evolving

関連項目 add-client(1M)

jass-check-sum(1M)

make-jass-pkg(1M)

rm-client(1M)

28 Solaris Security Toolkit 4.2 最終変更日 2005 年 7 月 29 日

システム管理 make-jass-pkg(1M)

名前 make-jass-pkg - Solaris Security Toolkit (JASS) パッケージストリームファイルを作

成します。

形式 make-jass-pkg [-b new-base-dir] [-e excl-list] [-m new-email-

address] [-p package-name] [-q] [-t new-title]

make-jass-pkg -v

make-jass-pkg -?|-h

説明 make-jass-pkg コマンドは、Solaris Security Toolkit から Solaris パッケージスト

リームファイルを作成します。作成されたファイルは、pkgadd コマンドを使用してインストールし、pkgrm コマンドを使用して削除することができます。インストールされたファイルに関する情報は、pkginfo コマンドを使用すると取得できます。

拡張機能説明

必要なグループ特

このコマンドを実行するには、スーパーユーザー特権が必要です。

権

オプション次のオプションがサポートされています。

-b new-base-dir

-e excl-list

代替インストールベースディレクトリを指定します。

パッケージから最上位ファイルまたはディレクトリを除外します。a|b|c|d のように、リストをパイプ (|) で区切って指定します。

-h |-?

使用方法を表示します。

単一で使用します。 -h または -? に追加で指定されたオプションは無視されます。

-m new-email-address

社内サポートに使用する電子メールアドレスを指定します。

-p package-name

カスタムパッケージ名を指定します。デフォルトは

JASScustm です。

-q

非出力モードを指定します。このコマンドの実行時は、メッセージは表示されません。

-t new-title

新しいパッケージタイトルを指定します。デフォルトのタイトルは「Solaris Security Toolkit」です。

-v

このプログラムのバージョン情報を表示します。

最終変更日 2005 年 7 月 29 日 Solaris Security Toolkit 4.2 29

make-jass-pkg(1M) システム管理

使用例例 1 デフォルトを使用したパッケージストリームファイルの作成

sc0: #:> /opt/SUNWjass/bin/make-jass-pkg

[NOTE] Creating the package’s prototype file. This may take a few minutes. [NOTE] Excluded file: ./jass-include-list.tmp [NOTE] Creating the package’s info file. [NOTE] Creating the package in a scratch directory. ## Building pkgmap from package prototype file. ## Processing pkginfo file. WARNING: parameter <PSTAMP> set to "eng120040623143146" WARNING: parameter <CLASSES> set to "none" ## Attempting to volumize 360 entries in pkgmap. part 1 -- 2934 blocks, 357 entries ## Packaging one part. /opt/SUNWjass/SUNWjass/pkgmap /opt/SUNWjass/SUNWjass/pkginfo . .[list of files...] . /opt/SUNWjass/SUNWjass/reloc/rules.SAMPLE /opt/SUNWjass/SUNWjass/install/tsolinfo ## Validating control scripts. ## Packaging complete. [NOTE] Creating the package’s stream format (package file). The following packages are available: 1 JASScustm Solaris Security Toolkit 4.1.0 (Solaris) 4.1.0 Select package(s) you wish to process (or ’all’ to process all packages). (default: all) [?,??,q]: Transferring <JASScustm> package instance [NOTE] The package has been created as JASScustm.pkg. sc0: #:>

30 Solaris Security Toolkit 4.2 最終変更日 2005 年 7 月 29 日

システム管理 make-jass-pkg(1M)

例 2 パッケージストリームファイルの作成とオプションの指定

sc0: #:> /opt/SUNWjass/bin/make-jass-pkg -b /opt/SUNWjass/otherdir -e / opt/SUNWjass/test -m eng_support@mycompany.com -p MYJASS -t MyToolkit

[NOTE] Creating the package’s prototype file. This may take a few minutes. [NOTE] Creating the package’s info file. [NOTE] Creating the package in a scratch directory. ## Building pkgmap from package prototype file. ## Processing pkginfo file. WARNING: parameter <PSTAMP> set to "eng120040623150621" WARNING: parameter <CLASSES> set to "none" ## Attempting to volumize 363 entries in pkgmap. part 1 -- 5612 blocks, 359 entries ## Packaging one part. /opt/SUNWjass/SUNWjass/pkgmap /opt/SUNWjass/SUNWjass/pkginfo . . .[list of files] /opt/SUNWjass/SUNWjass/reloc/rules.SAMPLE /opt/SUNWjass/SUNWjass/install/tsolinfo ## Validating control scripts. ## Packaging complete. [NOTE] Creating the package’s stream format (package file). The following packages are available: 1 MYJASS Solaris Security Toolkit 4.1.0 / MyToolkit (Solaris) 4.1.0 Select package(s) you wish to process (or ’all’ to process all packages). (default: all) [?,??,q]: Transferring <MYJASS> package instance [NOTE] The package has been created as MYJASS.pkg. sc0: #:>

終了ステータス次の終了値が返されます。

正常終了。

エラーが発生しました。

属性次の属性の説明については、attributes(5) を参照してください。

属性タイプ属性値

Availability SUNWjass

Interface Stability Evolving

関連項目 add-client(1M)

jass-check-sum(1M)

jass-execute(1M)

最終変更日 2005 年 7 月 29 日 Solaris Security Toolkit 4.2 31

make-jass-pkg(1M) システム管理

rm-client(1M)

32 Solaris Security Toolkit 4.2 最終変更日 2005 年 7 月 29 日

システム管理 rm-client(1M)

名前 rm-client - Solaris Security Toolkit の JumpStart クライアントを削除します。

形式 rm-client [-c] client-host-name

rm-client -? | -h

rm-client -v

説明 rm-client は、Solaris Security Toolkit がインストールされている JumpStart サー

バーからの JumpStart クライアントの削除を容易にします。rm-client コマンドは rm_install_client スクリプトのラッパーで、Solaris Security Toolkit 配布パッケージの bin ディレクトリにあります。

拡張機能説明

必要なグループ特

このコマンドを実行するには、スーパーユーザー特権が必要です。

権

オプション次のオプションがサポートされています。

-c client-host-name

インストールされていた JumpStart クライアントと、 Solaris Security Toolkit で必要であった構成情報をすべて

削除します。

-h |-?

使用方法を表示します。

単一で使用します。 -h または -? に追加で指定されたオプションは無視されます。

使用例

-v

例 1 クライアントの削除

sc0: #:>

removing eng1 from bootparams

/opt/SUNWjass/bin/rm-client -c eng1

このプログラムのバージョン情報を表示します。

オプションを以下に示します。

eng1

削除するクライアントのホスト名

終了ステータス次の終了値が返されます。

正常終了。

エラーが発生しました。

最終変更日 2005 年 7 月 29 日 Solaris Security Toolkit 4.2 33

rm-client(1M) システム管理

属性次の属性の説明については、attributes(1M) を参照してください。

属性タイプ属性値

Availability SUNWjass

Interface Stability Unstable

関連項目 add-client(1M)

jass-check-sum(1M)

jass-execute(1M)

make-jass-pkg(1M)

34 Solaris Security Toolkit 4.2 最終変更日 2005 年 7 月 29 日

デバイスインタフェースおよびネットワークインタフェース security_drivers(7)

名前 security_drivers - security.drivers ファイルにある標準的な Solaris Security

Toolkit ドライバを一覧します。

形式

secure.driver

server-secure.driver

suncluster3x-secure.driver

sunfire_15k_sc-secure.driver

説明 security_drivers は、security.drivers ファイルにあり Solaris Security

Toolkit で使用されるドライバのコレクションの一覧を示します。

拡張説明次のリストで、標準的なドライバを簡単に説明します。

■ secure.driver は、クライアントのインストール用ルールで使用されるデフォ

ルトのドライバです。すべての強化機能を実装します。

■ desktop-secure.driver は、secure.driver に基づいて、サーバーシステムのセ

キュリティー確保に必要なものを明確に示します。

■ suncluster3x-secure.driver は、Sun™ Cluster 3.x ソフトウェアリリースを

強化するベースライン構成を提供します。

■ sunfire_15k_sc-secure.driver は、Sun Fire ハイエンドシステムコントロー

ラのセキュリティーを確保するためにサポートされている唯一のメカニズムです。

上記ドライバの使用方法の詳細については、『Solaris Security Toolkit 4.2 リファレンスマニュアル』の第 4 章「ドライバ」を参照してください。

使用例

例 1 secure.driver ファイルの内容

DIR="‘/bin/dirname $0‘"

export DIR

. ${DIR}/driver.init

. ${DIR}/config.driver

. ${DIR}/hardening.driver

属性次の属性の説明については、attributes

属性タイプ属性値

Availability SUNWjass

Stability Unstable

(5) を参照してください。

最終変更日 2005 年 7 月 29 日 Solaris Security Toolkit 4.2 35

security_drivers(7) デバイスインタフェースおよびネットワークインタフェース

関連項目 add-client(1M)

audit_public_funcs(4)

common_log_funcs(4)

common_misc_funcs(4)

driver_public_funcs(4)

jass-check-sum(1M)

jass-execute(1M)

make-jass-pkg(1M)

rm-client(1M)

36 Solaris Security Toolkit 4.2 最終変更日 2005 年 7 月 29 日

Sun Microsystems Solaris Security Toolkit Guide

Specifications and Main Features

Frequently Asked Questions

User Manual