| Systemwalker Centric Manager 使用手引書 監視機能編 - UNIX共通 - - Microsoft(R) Windows(R) 2000/ Microsoft(R) Windows Server(TM) 2003 - |
|
目次
索引
|
| 第8章 セキュリティを強化して運用する | > 8.3 サーバでの操作を制御する【Solaris版/Linux版】 |
サーバ操作制御機能では、システム全体を信頼できるもとのするため、サーバごとに管理者を置かず、セキュリティ管理者が全体システムを管理・統制します。
また、システムの監査は、第三者が行うことが望ましいため、セキュリティ管理者とは、別に監査者を置きます。
サーバ操作制御機能で想定するユーザ権限モデルを以下に示します。
システム管理者は、DmAdminのロールとして作成され、Systemwalker Centric Managerのすべての操作が使用できます。また、運用管理サーバ上の管理者権限(ルート権限)も、自動的にDmAdminと同じ権限を使用できます。
セキュリティ管理者は、SecurityAdminのロールとして作成されます。[Systemwalkerコンソール]からのサーバ操作制御に関わる設定メニューを使用する場合は、システム管理者権限に加えセキュリティ管理者の権限も必要です。
監査者は、SecurityAuditorのロールとして作成され、各監視サーバ上で監査を行うための機能が利用できます。監査者は、録画記録の再生、および設定されている配付ポリシーの一覧出力ができるユーザです。
運用管理者は、root権限が必要なコマンドを実行できるユーザです。サーバ操作制御機能を利用することで、rootを初めとした特権ユーザのパスワードを運用管理者が知る必要がなくなります。ただし、実行可能なコマンド、および利用可能な特権ユーザ権限は、セキュリティ管理者が許可する必要があります。
運用管理者よりサーバの操作を制限されたユーザです。
例えば、業務上必要なユーザアカウントの追加、削除のみ可能なユーザです。
サーバの運用時、各ユーザは、「ログを見る」「バックアップを取る」「再起動する」というように役割を与えられます。この役割を定義したものをセキュリティロールと呼びます。
また、役割ごとに使用するコマンドをまとめて定義したものをコマンド群(監視コマンドグループ)と呼びます。
サーバ操作制御機能では、ユーザ権限モデルをセキュリティロールとして管理しています。セキュリティロールは、所属するユーザが実行できるコマンド群を情報として持っており、ユーザは所属するセキュリティロールにより、どのコマンドが実行できるか決定されます。
セキュリティロールおよびコマンド群は、システムの利用環境に合わせて、セキュリティ管理者が検討します。
以下に、ユーザ、セキュリティロール、コマンド群の関係について例を示します。
セキュリティロールとして、「セキュリティ管理者」および「運用管理者」が割り当てられており、「セキュリティ管理者」で使用可能なサーバ操作制御機能と「運用管理者」で使用可能なコマンド群を利用できます。
セキュリティロールとして「監査者」が割り当てられており、サーバ操作制御機能のうち録画記録の再生機能を利用できます。
セキュリティロールとして「運用管理者」が割り当てられており、「運用管理者」で使用可能なコマンド群を利用できます。
セキュリティロールとして「オペレータ」が割り当てられており、「オペレータ」で使用可能なコマンド群を利用できます。
サーバ操作制御機能のポリシーは、コマンド群とコマンド群を利用するセキュリティロールの関係をまとめた定義体で、サーバごとに配付されます。
配付ポリシーを配付後、セキュリティ管理者がユーザ情報の設定コマンドを利用してサーバ上のユーザをセキュリティロールに所属させます。ユーザとセキュリティロールを関連付ける作業により、サーバ操作制御機能が有効になります。
配付ポリシーを作成するときに、システムのセキュリティを重視することで利便性(操作性)が損なわれる場合があります。このため、サーバ操作制御機能は、以下のモードを選択できます。
標準セキュリティモードは、セキュリティを重視した配付ポリシーを定義するためのモードです。簡易セキュリティモードは、利便性を重視した配付ポリシーを定義するためのモードです。
簡易セキュリティモードを使用する場合の問題点については、“コマンド群”の説明を参照してください。
セキュリティモードは、コマンド群と配付ポリシーに設定できます。設定したセキュリティモードは、コマンド群/配付ポリシーを作成したあとでは変更できません。事前に検討し、適切なセキュリティモードを設定してください。
簡易セキュリティモードを使用した場合、操作ミスの防止などには非常に有効ですが、十分なセキュリティを確保するためのポリシー設定を行うことは非常に難しくなります。セキュリティを意識する場合は、標準モードを利用してください。また、パスワードの省略時間内であれば、パスワードを知らない第三者により操作が行われる可能性があるなど、セキュリティレベルが低下します。このため、十分にセキュリティを確保できているシステムや、ごく少数のユーザしか操作を行わないようなシステムを除き、標準セキュリティモードを使用することを推奨します。
コマンド群のセキュリティモードについて、以下に表を示します。
|
セキュリティモード |
コマンド |
テンプレート(注) |
||
|
許可コマンド |
拒否コマンド |
標準 |
簡易 |
|
|
標準 |
○ |
× |
○ |
× |
|
簡易 |
○ |
○ |
○ |
○ |
○:設定可 ×:設定不可
注:サーバで使用するコマンド群を定義するときに、Systemwalker技術情報ホームページで公開されているテンプレートを使用できます。
許可コマンドとは、配付ポリシーに指定したコマンドだけ実行が可能となり、逆に拒否コマンドとは、配付ポリシーに設定したコマンド以外がすべて実行可能となります。一般に拒否コマンドを指定することで、誤操作などの単純な操作ミスを防ぐことは可能ですが、悪意あるユーザの場合は、操作したいコマンドを別名でコピーし、配付ポリシーをかいくぐるなど、簡易モードの配付ポリシーを迂回することが容易に出来ます。セキュリティモードの選択には、十分注意を払って決定してください。
以上の理由から、コマンド群を標準セキュリティモードで定義する場合、セキュリティを重視した配付ポリシーを作成するため、拒否コマンドを設定できません。また、標準セキュリティモードでは、セキュリティモードが簡易のテンプレートを選択できません。
配付ポリシーのセキュリティモードについて、以下に表を示します。
|
セキュリティモード |
割当監視コマンドグループ |
|
|
標準 |
簡易 |
|
|
標準 |
○ |
× |
|
簡易 |
× |
○ |
○:設定可 ×:設定不可
配付ポリシーを標準セキュリティモードで定義する場合、セキュリティを重視した配付ポリシーを作成するため、配付ポリシーに割り当てるコマンド群は、標準セキュリティモードで定義されているコマンド群となります。
サーバ操作制御機能の使用方法について説明します。
サーバ操作制御機能を利用するオペレータは、swexecコマンドを使用することで、セキュリティ管理者が許可しているコマンドを実行できます。
管理対象のサーバにおいて、ユーザ"user1"が本機能を利用してshutdownコマンドを実行する例を示します。
|
user1% swexec shutdown -i 6 -g 0 -y |
上記の例では、user1が、swexecコマンドのオプションに、通常rootアカウントでしか実行できないshutdownコマンドを指定しています。セキュリティ管理者が、user1に対してshutdownコマンドの実行を許可している場合、user1は、user1のパスワードを入力することでshutdownコマンドを実行できます。
swexecコマンドでパスワードを入力し、root権限のコマンドが実行できる状態のとき、user1を実行ユーザとよび、実行ユーザが配付ポリシーに沿って特権ユーザ(本例ではroot権限)に成り代わりコマンドを実行する際、特権ユーザのことを、実効ユーザ(実際にコマンドを実行する際に効果を発揮するユーザ)と呼びます。コマンドの実行に際しては、実行ユーザ(user1)が誰(実効ユーザ)に成り代わって何のコマンド(shutdownコマンド)を実行したかを監査ログとして出力します。出力された監査ログは、監査ログ管理機能で収集することで、被管理サーバ上での改ざんなどがあった場合でも、監査に対する影響を最小にすることが可能です。
また、swrecコマンド、swplayコマンドを使用することで、操作を録画・再生できます。
各コマンドの詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
|
目次
索引
|