第2章 |
|
この章では、SMS および Sun Fire ハイエンドサーバーシステムに関係するセキュリティーと管理特権の概要を説明します。
Sun Fire ハイエンドシステムプラットフォームのハードウェアは、1 つまたは複数の環境にパーティション分割されれば、Solaris オペレーティング環境の複数のイメージを個別に実行できます。こうした環境は、動的システムドメイン (DSD) またはドメインと呼ばれます。
論理的には、ドメインは物理的に分割されたサーバーと同等です。Sun Fire ハイエンドシステムのハードウェアは、ドメイン環境を厳密に分割するように設計されています。こうした設計のため、複数のドメインで共有されているハードウェアに障害が発生しない限り、1 つのドメインでのハードウェアエラーは他のドメインに影響しません。各ドメインが別個のサーバーのように動作できるように、Sun Fire のソフトウェアはドメインを厳密に分割するよう設計および実装されています。
SMS はすべての DSD にサービスを提供します。こうしたサービスを提供する際にも、クライアント DSD から取得したデータが、他者から見えるデータへ漏洩することはありません。これは特に、コンソールの文字 (管理者パスワードを含む) のバッファなどの要注意データや、クライアントの DSD のデータを含む I/O バッファーのように、要注意データになりうるデータについて該当します。
SMS では、管理者の特権を制限することで、システムパスワードへの外部からの侵入による損害から保護するだけでなく、管理者の誤りが原因で発生する損害も抑えます。
fomd (フェイルオーバー管理デーモン) の代わりに Secure Shell (ssh) を使用する。
SC とドメイン間の I1 MAN ネットワークでは ARP (Address Resolution Protocol) を無効にする。
fomd の代替手段として ssh を使用すると、SC では /.rhosts ファイルが必要なくなります。Secure Shell では、ユーザー認証を行い、ネットワークトラフィックをすべて暗号化します。これにより、通信の傍受や、なりすましによるシステムへの侵入を防止できます。
ARP スプーフィングと IP ベースの攻撃からセキュリティーを保護するために、すべてのマルチドメイン構成において、MAN ネットワーク上の ARP を無効にすることを強く推奨します。ドメインの分離が重要であるシステムでは、SC と、分離する必要がある特定のドメイン間の IP 接続も無効にすることを推奨します。
上記のセキュリティーのオプションを実装する前に、SC とドメイン上の Solaris オペレーティング環境の構成を変更 (強化) して、システム全体のセキュリティーを強化することを強く推奨します。詳細は、次の Web サイトで入手可能な Sun BluePrints Online の文書を参照してください。
http://www.sun.com/security/blueprints
Solaris Operating Environment Security - Updated for Solaris 8 Operating Environment
Solaris Operating Environment Security - Updated for Solaris 9 Operating Environment
3 つのセキュリティー対策を実装するときには、Solaris Security Toolkit (SST、JASS とも呼ばれる) を使用します。実装の具体的な手順と、Sun Fire ハイエンドシステムに推奨されるすべてのセキュリティー対策の詳細については、以下に示す Sun BluePrints Online の記事を参照してください。これらの記事は次の Web サイトで閲覧できます。
http://www.sun.com/security/blueprints
Securing the Sun Fire 12K and 15K System Controllers:Updated for SMS 1.4
Securing the Sun Fire 12K and 15K Domains:Updated for SMS 1.4
SMS では、ドメインの管理特権とプラットフォームの管理特権が分離されています。たとえば、各ドメインにわたるシステム管理の特権と、プラットフォーム全体にわたるシステム管理の特権を別々に割り当てることができます。また、プラットフォームのオペレータおよびドメインの構成者に相当するユーザーに、特権のサブセットを割り当てることもできます。管理特権の付与は、アクションを開始した個人を監査により特定できるように行います。
SMS は、サイトで設定された Solaris ユーザーアカウントを使用し、これらアカウントに対して、Solaris の group メンバーシップを使用して管理特権を与えます。この方法により、デフォルトの特権の作成および整理をサイト単位で柔軟に行えます。たとえば、管理者特権を代表する同一の Solaris グループに複数のドメインを割り当てれば、ドメインのグループを 1 セットのドメイン管理者で管理できます。
SMS は、複数の管理役割を個人の管理者に割り当てることも、サイト単位で柔軟に行えます。構成済みの管理特権グループのすべてに属するグループメンバーシップを持つ、単一ユーザーアカウントを設定できます。
プラットフォーム管理者は、プラットフォームのハードウェアを管理します。実行中のドメインで使用中のハードウェアに関しては制限がありますが、プラットフォーム管理者は、最終的にはサーバーのハードウェアの電源を切断することで、実行中のドメインをシャットダウンできます。
各ドメイン管理者は管理するドメインの Solaris コンソールを利用でき、ドメインで実行されるソフトウェア、またはドメインに割り当てられているハードウェアを管理する特権を持ちます。
各種の管理特権のレベルに応じて、プラットフォームオペレータまたはドメイン構成者に対して、状態および監視の特権のサブセットを提供します。
SMS で提供される管理特権では、現行の製品の保守のためにだけ提供されている機能へアクセスできます。
管理特権の構成は、スーパーユーザーが smsconfig -g を使用して自由に変更できます。このとき SMS を停止または再起動する必要はありません。
SMS は、smsconfig コマンドの -a および -r オプションを使用して、SMS のグループへのディレクトリアクセスを設定する Solaris アクセス制御リスト (ACL) ソフトウェアを実装しています。ACL はプラットフォームおよびドメインのディレクトリへのアクセスを制限して、ファイルシステムのセキュリティーを提供します。ACL の詳細については、『Solaris のシステム管理 (セキュリティサービス)』を参照してください。
プラットフォーム管理者 (platadmn) グループとして特定されるグループでは、構成の制御、環境の状態を取得する手段、ドメインにボードを割り当てる機能、電源の制御、およびその他の保守プロセッサ機能が提供されます。つまり、プラットフォーム管理者グループは、ドメインの制御およびインストールと保守に関係する各コマンドへのアクセス以外のすべてのプラットフォーム特権を持ちます (図 2-1)。
プラットフォームオペレータ (platoper) グループは、プラットフォーム特権のサブセットを持ちます。このグループが行えるプラットフォーム制御は、電源の制御だけです。このため、プラットフォームオペレータグループはプラットフォームの電源と状態の特権に制限されます (図 2-2)。
プラットフォーム保守 (platsvc) グループは、プラットフォーム保守コマンドの特権に加えて、プラットフォーム制御およびプラットフォーム構成状態の特権の一部も持ちます (図 2-3)。
ドメイン管理者 (dmn[domain_id]admn) グループでは、ドメインのコンソールを使用できる権限以外にも、ドメインに直接または間接に影響する操作を実行する権限が提供されます。このため、ドメイン管理グループはドメイン制御、ドメイン状態、およびコンソールを使用できますが、プラットフォーム全体の制御やプラットフォームの資源割り当てはできません (図 2-4)。
Sun Fire ドメインは 18 個まで (A-R) 作成でき、各ドメインは domain_id により識別されます。このため、ドメイン管理者のグループは 18 個あり、それぞれがドメインへのアクセスを厳密に制御します。
ドメイン構成 (dmn[domain_id]rcfg) グループは、ドメイン管理者グループの特権のサブセットを持ちます。ドメイン構成グループでは、ドメインにあるボードの電源制御、あるいはドメインで装着または取り外すボードの (再) 構成以外のドメイン制御はできません (図 2-5)。
Sun Fire ドメインは 18 個まで (A-R) 作成でき、各ドメインは domain_id により識別されます。このため、ドメイン管理者のグループは 18 個あり、それぞれがドメインへのアクセスを厳密に制御できます。
スーパーユーザーの特権は、インストール、ヘルプ、および状態の特権に制限されます (図 2-6)。
Copyright © 2004, Sun Microsystems, Inc. All rights reserved.