Systemwalker Centric Manager 導入手引書 - UNIX共通 - |
目次 索引 |
第2章 運用管理サーバの環境構築 |
Solaris 10では、標準でIP Filterというファイアウォール機能がインストールされており、設定次第で有効にすることができます。Solaris 10のファイアウォール機能を利用している環境にSystemwalker Centric Managerをインストールする場合には、以下のどちらかの対応が必要です。
ファイアウォール機能が有効になっているか確認する
Solaris 10でファイアウォール機能が有効になっているかどうかは、以下のコマンドなどで確認できます。
詳細は、Solaris 10のマニュアルを参照してください。
# /usr/bin/svcs -a STATE STIME FMRI legacy_run Mar_08 lrc:/etc/rcS_d/S29wrsmcfg legacy_run Mar_08 lrc:/etc/rc2_d/S10lu legacy_run Mar_08 lrc:/etc/rc2_d/S20sysetup legacy_run Mar_08 lrc:/etc/rc2_d/S40llc2 ・・・ online 17:06:23 svc:/network/ipfilter:default ・・・ ※ “svc:/network/ipfilter:default”エントリがonlineになっている場合に有効
ファイアウォール機能により、どの通信が制限されているかを確認するには、以下のコマンドなどで確認可能です。
詳細は、Solaris 10のマニュアルを参照してください。
# /usr/sbin/ipfstat -io pass out quick on lo0 all block out log quick on hme0 from any to any port = 80 pass in quick on lo0 all block in log quick on hme0 from any to any port = 80
Solaris 10標準のファイアウォールの設定を変更し、必要な通信だけを許可する設定を行う場合は、以下の手順に従ってください。
本手順は、一般的な設定を記載しています。導入している環境により、設定内容を修正してください。
この例では、ループバックデバイス(lo0)と通信用のインタフェース(hme0)とします。ネットワーク性能を低下させないため、できるだけファイルの先頭に記載します。
ループバックデバイスからパケットを受信する場合、およびループバックデバイスへパケットを送信する場合の通信を許可します。“lo0”は、ループバックデバイス名です。確認は、ifconfig(1M)を参照してください。
pass out quick on lo0 all pass in quick on lo0 all
自サーバ内での通信を使用する機能は以下のとおりです。
【運用管理サーバ自身も監視対象とする場合】
pass in log proto icmp from any to any keep state pass out log proto icmp from any to any keep state
ICMP通信を使用する機能は以下のとおりです。
“必須のポート設定”および“使用する機能により必要なポート設定”を参照の上、必要な通信を許可してください。設定例については、“ファイアウォール機能の設定例”を参照してください。
pass out quick on hme0 proto プロトコル from any to any port = ポート番号 keep state
例) 送信ポート9294/tcpの通信を許可する場合
pass out quick on hme0 proto tcp from any to any port = 9294 keep state
pass in quick on hme0 proto プロトコル from any to any port = ポート番号 keep state
例) 受信ポート162/udpの通信を許可する場合
pass in quick on hme0 proto udp from any to any port = 162 keep state
※ リカバリフロー機能を使用するすべての運用管理クライアントからの接続を許可してください。
pass in quick on hme0 proto tcp from 運用管理クライアントのIPアドレス to any keep state
例) 運用管理クライアント(192.168.0.1)からのtcp接続を許可する場合
pass in quick on hme0 proto tcp from 192.168.0.1 to any keep state
pass in quick on hme0 proto tcp from クライアントのIPアドレス to any keep state
例) クライアント(192.168.0.1)からのtcp接続を許可する場合
pass in quick on hme0 proto tcp from 192.168.0.1 to any keep state
拒否したポートについては、ipmon(1M)で確認できるようにロギングします。
block in log on hme0 from any to any block out log on hme0 from any to any
ファイアウォールの設定を有効にするには、以下のコマンドを実行します。
# /usr/sbin/ipf -Fa -E -f /etc/ipf/ipf.conf
設定が反映されていることを確認するには、以下のコマンドを実行します。
# /usr/sbin/ipfstat -io pass out quick on lo0 all pass out log quick on hme0 proto tcp from any to any port = telnet keep state pass out quick on hme0 proto tcp/udp from any to any port = uxpopagt pass out log proto icmp from any to any keep state block out log quick on hme0 all pass in quick on lo0 all pass in log quick on hme0 proto tcp from any to any port = telnet keep state pass in quick on hme0 proto tcp/udp from any to any port = uxpopagt pass in quick on hme0 proto tcp from any to any port = 8002 keep state pass in log proto icmp from any to any keep state block in log quick on hme0 all
サーバの外部などでファイアウォールが存在し、Solaris 10に標準で添付されているファイアウォールを使用しなくてもセキュリティが確保できる場合は、ファイアウォール機能自身を無効化することができます。
その場合は、以下の手順を実施します。
# /usr/sbin/ipf -Fa
なお、次回リブート時にも恒久的に無効化したい場合は、上記の手順に加え、以下のファイルも削除してください。
上記ファイルについては、削除(コマンドでは“rm(1)”)ではなく、リネーム(コマンドでは“mv(1)”)により、別名で保存することをお勧めします。
上記ファイルを削除、またはリネームした後は、リブートを行い、ファイアウォールの設定が無効になっていることをipfstat(1M)で確認してください。
目次 索引 |