第2章

SMS のセキュリティーオプションと管理特権

この章では、SMS および Sun Fire ハイエンドサーバーシステムに関係するセキュリティーと管理特権の概要を説明します。

Sun Fire ハイエンドシステムプラットフォームのハードウェアは、1 つまたは複数の環境にパーティション分割されれば、Solaris オペレーティング環境の複数のイメージを個別に実行できます。こうした環境は、動的システムドメイン (DSD) またはドメインと呼ばれます。

論理的には、ドメインは物理的に分割されたサーバーと同等です。Sun Fire ハイエンドシステムのハードウェアは、ドメイン環境を厳密に分割するように設計されています。こうした設計のため、複数のドメインで共有されているハードウェアに障害が発生しない限り、1 つのドメインでのハードウェアエラーは他のドメインに影響しません。各ドメインが別個のサーバーのように動作できるように、Sun Fire のソフトウェアはドメインを厳密に分割するよう設計および実装されています。

SMS はすべての DSD にサービスを提供します。こうしたサービスを提供する際にも、クライアント DSD から取得したデータが、他者から見えるデータへ漏洩することはありません。これは特に、コンソールの文字 (管理者パスワードを含む) のバッファなどの要注意データや、クライアントの DSD のデータを含む I/O バッファのように、要注意データになりうるデータについて該当します。

SMS では、管理者の特権を制限することで、システムパスワードへの外部からの侵入による損害から保護するだけでなく、管理者の誤りが原因で発生する損害も抑えます。

この章では、以下の項目を説明します。

• セキュリティーオプション

• 管理特権

---

セキュリティーオプション

SMS 1.4 では、以下のセキュリティーオプションを指定できます。

強く推奨

• fomd (フェイルオーバー管理デーモン) の代替手段として、Secure Shell (ssh) を使用する。

• SC とドメイン間の I1 MAN ネットワークでは ARP (Address Resolution Protocol) を無効にする。

オプション

• SC の MAN ドライバからドメインを除外することにより、SC とそのドメイン間の IP トラフィックをすべて無効にする。

fomd の代替手段として ssh を使用すると、SC では /.rhosts ファイルが必要なくなります。Secure Shell では、ユーザー認証を行い、ネットワークトラフィックをすべて暗号化します。これにより、通信の傍受や、なりすましによるシステムへの侵入を防止できます。

ARP スプーフィングと IP ベースの攻撃からセキュリティーを保護するために、すべてのマルチドメイン構成において、MAN ネットワーク上の ARP を無効にすることを強く推奨します。ドメインの分離が重要であるシステムでは、SC と、分離する必要がある特定のドメイン間の IP 接続も無効にすることを推奨します。

上記のセキュリティーのオプションを実装する前に、SC とドメイン上の Solaris オペレーティング環境の構成を変更 (強化) して、システム全体のセキュリティーを強化することを強く推奨します。詳細は、次の Web サイトで入手可能な Sun BluePrints Online の文書を参照してください。

http://www.sun.com/security/blueprints

• Solaris Operating Environment Security - Updated for Solaris 8 Operating Environment

• Solaris Operating Environment Security - Updated for Solaris 9 Operating Environment

上記 3 つのオプションの実装方法についての詳細は、次の Web サイトで入手可能な Sun BluePrints Online の文書を参照してください。この文書には、Solaris Security Toolkit (SST、別名 JASS) の使用方法や、Sun Fire ハイエンドシステムでのすべてのセキュリティー推奨事項に関する詳細な説明も記載されています。

http://www.sun.com/security/blueprints

• Securing the Sun Fire 12K and 15K System Controllers: Updated for SMS 1.4

• Securing the Sun Fire 12K and 15K Domains: Updated for SMS 1.4

---

管理特権

SMS では、ドメインの管理特権とプラットフォームの管理特権が分離されています。たとえば、各ドメインにわたるシステム管理の特権と、プラットフォーム全体にわたるシステム管理の特権を別々に割り当てることができます。また、プラットフォームのオペレータおよびドメインの構成者に相当するユーザーに、特権のサブセットを割り当てることもできます。管理特権の付与は、アクションを開始した個人を監査により特定できるように行います。

SMS は、サイトで設定された Solaris ユーザーアカウントを使用し、これらアカウントに対して、Solaris の group メンバーシップを使用して管理特権を与えます。この方法により、デフォルトの特権の作成および整理をサイト単位で柔軟に行えます。たとえば、管理者特権を代表する同一の Solaris グループに複数のドメインを割り当てれば、ドメインのグループを 1 セットのドメイン管理者で管理できます。

SMS は、複数の管理役割を個人の管理者に割り当てることも、サイト単位で柔軟に行えます。構成済みの管理特権グループのすべてに属するグループメンバーシップを持つ、単一ユーザーアカウントを設定できます。

プラットフォーム管理者は、プラットフォームのハードウェアを管理します。実行中のドメインで使用中のハードウェアに関しては制限がありますが、プラットフォーム管理者は、最終的にはサーバーのハードウェアの電源を切断することで、実行中のドメインをシャットダウンできます。

各ドメイン管理者は管理するドメインの Solaris コンソールを利用でき、ドメインで実行されるソフトウェア、またはドメインに割り当てられているハードウェアを管理する特権を持ちます。

各種の管理特権のレベルに応じて、プラットフォームオペレータまたはドメイン構成者に対して、状態および監視の特権のサブセットを提供します。

SMS で提供される管理特権では、現行の製品の保守のためにだけ提供されている機能へアクセスできます。

管理特権の構成は、スーパーユーザーが smsconfig -g を使用して自由に変更できます。このとき SMS を停止または再起動する必要はありません。

SMS は、smsconfig コマンドの -a および -r オプションを使用して、SMS のグループへのディレクトリアクセスを設定する Solaris アクセス制御リスト (ACL) ソフトウェアを実装しています。ACL はプラットフォームおよびドメインのディレクトリへのアクセスを制限して、ファイルシステムのセキュリティーを提供します。ACL の詳細については、『Solaris のシステム管理 (セキュリティサービス)』を参照してください。

プラットフォーム管理者グループ

プラットフォーム管理者 (platadmn) グループとして特定されるグループでは、構成の制御、環境の状態を取得する手段、ドメインにボードを割り当てる機能、電源の制御、およびその他の保守プロセッサ機能が提供されます。つまり、プラットフォーム管理者グループは、ドメインの制御およびインストールと保守に関係する各コマンドへのアクセス以外のすべてのプラットフォーム特権を持ちます (図 2-1)。

図 2-1 プラットフォーム管理者の特権

プラットフォームオペレータグループ

プラットフォームオペレータ (platoper) グループは、プラットフォーム特権のサブセットを持ちます。このグループが行えるプラットフォーム制御は、電源の制御だけです。このため、プラットフォームオペレータグループはプラットフォームの電源と状態の特権に制限されます (図 2-2)。

図 2-2 プラットフォームオペレータの特権

プラットフォーム保守グループ

プラットフォーム保守 (platsvc) グループは、プラットフォーム保守コマンドの特権に加えて、プラットフォーム制御およびプラットフォーム構成状態の特権の一部も持ちます (図 2-3)。

図 2-3 プラットフォーム保守の特権

ドメイン管理者グループ

ドメイン管理者 (dmn[domain_id]admn) グループでは、ドメインのコンソールを使用できる権限以外にも、ドメインに直接または間接に影響する操作を実行する権限が提供されます。このため、ドメイン管理グループはドメイン制御、ドメイン状態、およびコンソールを使用できますが、プラットフォーム全体の制御やプラットフォームの資源割り当てはできません (図 2-4)。

Sun Fire ドメインは 18 個まで (A-R) 作成でき、各ドメインは domain_id により識別されます。このため、ドメイン管理者のグループは 18 個あり、それぞれがドメインへのアクセスを厳密に制御します。

図 2-4 ドメイン管理者の特権

ドメイン構成グループ

ドメイン構成 (dmn[domain_id]rcfg) グループは、ドメイン管理者グループの特権のサブセットを持ちます。ドメイン構成グループでは、ドメインにあるボードの電源制御、あるいはドメインで装着または取り外すボードの (再) 構成以外のドメイン制御はできません (図 2-5)。

Sun Fire ドメインは 18 個まで作成でき、各ドメインは domain_id により識別されます。このため、ドメイン管理者のグループは 18 個あり、それぞれがドメインへのアクセスを厳密に制御できます。

図 2-5 ドメイン構成者の特権

スーパーユーザーの特権

スーパーユーザーの特権は、インストール、ヘルプ、および状態の特権に制限されます (図 2-6)。

図 2-6 スーパーユーザーの特権

すべての特権のリスト

以下のリストに、すべてのグループの特権を示します。

表 2-1 すべてのグループ特権のリスト

コマンド	グループの特権
	プラットフォーム管理者	プラットフォーム オペレータ	ドメイン管理者	ドメイン構成者	プラットフォーム 保守担当	スーパーユーザー
addboard	プラットフォーム管理者の特権だけを持つユーザーは、-c assign だけを実行できる。	不可	ドメイン X の管理者特権だけを持つユーザーは、各自のドメインでこのコマンドを実行できる。ボードがドメインに割り当てられていない場合、そのボードはドメインの使用可能構成要素リストになければならない。	ドメイン X の構成者特権だけを持つユーザーは、そのドメインでこのコマンドを実行できる。ボードがドメインに割り当てられていない場合、そのボードはドメインの使用可能構成要素リストになければならない。	不可	不可
addcodlicense	可	不可	不可	不可	不可	不可
addtag	可	不可	不可	不可	不可	不可
cancelcmdsync	可	可	可	可	可	不可
console	不可	不可	可 (自分のドメインだけ)	不可	不可	不可
deleteboard	プラットフォーム管理者の特権だけを持つユーザーは、ボード (複数の場合あり) が assign の状態で、実行中のドメインでアクティブでない場合にだけ -c unassign を実行できる。	不可	ドメイン X の管理者特権だけを持つユーザーは、各自のドメインでこのコマンドを実行できる。ボードがドメインに割り当てられていない場合、そのボードはドメインの使用可能構成要素リストになければならない。	ドメイン X の構成者特権だけを持つユーザーは、各自のドメインでこのコマンドを実行できる。ボードがドメインに割り当てられていない場合、そのボードはドメインの使用可能構成要素リストになければならない。	不可	不可
deletecodlicense	可	不可	不可	不可	不可	不可
deletetag	可	不可	不可	不可	不可	不可
disablecomponent	可 (プラットフォームのみ)	不可	可 (自分のドメインだけ)	可 (自分のドメインだけ)	不可	不可
enablecomponent	可 (プラットフォームのみ)	不可	可 (自分のドメインだけ)	可 (自分のドメインだけ)	不可	不可
flashupdate	可	不可	可 (自分のドメインだけ)	不可	不可	不可
help	可	可	可	可	可	可
initcmdsync	可	可	可	可	可	不可
moveboard	プラットフォーム管理者の特権だけを持つユーザーは、ボードが assign の状態であり、ボードが取り外されるドメインでアクティブでない場合にだけ -c unassign を実行できる。	不可	ユーザーは、関係するドメインの両方に属している必要がある。ドメインに取り付けるボードがまだドメインに割り当てられていない場合、そのボードはドメインの使用可能構成要素リストになければならない。	ユーザーは、関係するドメインの両方に属している必要がある。ドメインに取り付けるボードがまだドメインに割り当てられていない場合、そのボードはドメインの使用可能構成要素リストになければならない。	不可	不可
poweron	可	不可	可 (自分のドメインだけ)	可 (自分のドメインだけ)	不可	不可
poweroff	可	不可	可 (自分のドメインだけ)	可 (自分のドメインだけ)	不可	不可
rcfgadm	プラットフォーム管理者の特権だけを持つユーザーは、-x assign を実行できる。このユーザーは、ボード (複数の場合あり) が assign の状態で、実行中のドメインでアクティブでない場合にだけ -x unassign を実行できる。	不可	ドメイン X の管理者特権だけを持つユーザーは、各自のドメインでこのコマンドを実行できる。ボードがドメインに割り当てられていない場合、そのボードはドメインの使用可能構成要素リストになければならない。	ドメイン X の構成者特権だけを持つユーザーは、各自のドメインでこのコマンドを実行できる。ボードがドメインに割り当てられていない場合、そのボードはドメインの使用可能構成要素リストになければならない。	不可	不可
reset	不可	不可	可 (自分のドメインだけ)	不可	不可	不可
resetsc	可	不可	不可	不可	不可	不可
runcmdsync	可	可	可	可	可	不可
savecmdsync	可	可	可	可	可	不可
setbus	可	不可	可 (自分のドメインだけ)	可 (自分のドメインだけ)	不可	不可
setcsn	可	不可	不可	不可	可	不可
setdatasync	可	可	可	可	可	不可
setdate	可	不可	可 (自分のドメインだけ)	不可	不可	不可
setdefaults	可	不可	可 (自分のドメインだけ)	不可	不可	不可
setfailover	可	不可	不可	不可	不可	不可
setkeyswitch	不可	不可	可 (自分のドメインだけ)	不可	不可	不可
setobpparams	不可	不可	可 (自分のドメインだけ)	可 (自分のドメインだけ)	不可	不可
setupplatform	可	不可	不可	不可	不可	不可
showboards	可	可	可 (自分のドメインだけ)	可 (自分のドメインだけ)	可	不可
showbus	可	可	可 (自分のドメインだけ)	可 (自分のドメインだけ)	可	不可
showcmdsync	可	可	可	可	不可	不可
showcodlicense	可	可	不可	不可	不可	不可
showcodusage	可	可	不可	不可	不可	不可
showcomponent	可	可	可 (自分のドメインだけ)	可 (自分のドメインだけ)	可	不可
showdatasync	可	可	可	可	可	不可
showdate	可 (プラットフォームのみ)	可 (プラットフォームのみ)	可 (自分のドメインだけ)	可 (自分のドメインだけ)	可 (プラットフォームのみ)	不可
showdevices	不可	不可	可 (自分のドメインだけ)	可 (自分のドメインだけ)	不可	不可
showenvironment	可	可	可 (自分のドメインだけ)	可 (自分のドメインだけ)	可	不可
showfailover	可	可	不可	不可	可	不可
showkeyswitch	可	可	可 (自分のドメインだけ)	可 (自分のドメインだけ)	可	不可
showlogs	可 (プラットフォームのみ)	可 (プラットフォームのみ)	可 (自分のドメインだけ)	可 (自分のドメインだけ)	可 (プラットフォームのみ)	不可
showobpparams	不可	不可	可 (自分のドメインだけ)	可 (自分のドメインだけ)	不可	不可
showplatform	可	可	可 (自分のドメインだけ)	可 (自分のドメインだけ)	可	不可
showxirstate	不可	不可	可 (自分のドメインだけ)	不可	不可	不可
smsbackup	不可	不可	不可	不可	不可	可
smsconfig	不可	不可	不可	不可	不可	可
smsconnectsc	可	不可	不可	不可	不可	不可
smsrestore	不可	不可	不可	不可	不可	可
smsversion	不可	不可	不可	不可	不可	可
testemail	可	不可	不可	不可	可	不可

Copyright © 2003, Sun Microsystems, Inc. All rights reserved.