8.3.5.2 監査者としての使用方法

Systemwalker Centric Manager 使用手引書監視機能編 - UNIX共通 - - Microsoft(R) Windows(R) 2000/ Microsoft(R) Windows Server(TM) 2003 -

目次索引

第8章セキュリティを強化して運用する

> 8.3 サーバでの操作を制御する【Solaris版/Linux版】

> 8.3.5 サーバ操作制御機能を使用する【Solaris版/Linux版】

8.3.5.2 監査者としての使用方法

サーバ操作制御機能を利用している場合の各種操作の監査は、以下のとおり行う必要があります。

◆不正なポリシー設定が行われていないかを監査する

Systemwalkerコンソールなどの監査ログを用いて、サーバ操作制御のポリシー設定が行われた日時や、実際に操作を行ったユーザ情報を確認することができます。これらの情報を参照し、ポリシー変更を行ったユーザを特定し、確かにポリシー変更が行われたかを確認することで、不正なポリシーが配付されていないかを確認することが可能です。また、完全を期すために、運用管理サーバと、実際に操作が行われた運用管理クライアント双方の監査ログを確認することで、より厳密な監査が行えるようになります。

Systemwalkerコンソールなどの監査ログの出力方法については、“Systemwalkerコンソールなどの監査ログを出力・収集する”を参照してください。

◆管理対象サーバのコマンド実行を監査する

管理対象のサーバ上に出力されたサーバ操作制御の監査ログを用いて監査を行うには、通常監査ログ管理機能により監査ログを運用管理サーバ上に定期的に転送したあと、運用管理サーバ上に収集、格納された監査ログを用いて、不正なコマンドの実行が試みられていないか、または操作ミスがないかなどを目的に、監査を行います。しかし、監査ログ管理機能による定期的な収集を行っていない場合や、管理対象サーバ上で直接監査者が監査ログを参照する必要がある場合は、実効ユーザがrootである監視コマンドグループを作成し、配付、適用することで監査者が監査ログから監査を行うことが可能となります。作成する監視コマンドグループの例と、実際の監査を行うための手順例を以下に示します。

【サーバ操作制御の監査ログを監査者が監査するための監視コマンドグループ設定例】

監視コマンドグループ名	AuditCommands
セキュリティモード	任意 (「標準」モードを推奨)
許可コマンド	コマンド名	パラメタ	実効ユーザ
	/bin/ls	<監査ログ出力先ディレクトリ>	root
	/bin/cat	<監査ログ出力先ディレクトリ>/*.log	root

許可コマンドの使用目的について

lsコマンド(ファイルリストの出力コマンド)は、監査ログファイル名を参照するために必要となります。ただし、ポリシー設定内容を把握している場合は、本設定は不要です。必要な場合だけ追加してください。
監査ログを参照するためのコマンドとして、catコマンド(ファイルの内容を出力するコマンド)を使用しています。本コマンド以外にもテキストファイルを参照するコマンドが存在しますが、これらcatコマンド以外のテキスト参照プログラムは、shellコマンドの起動など、より高度な操作が可能な反面、セキュリティを低下させる可能性がありますので、利用に際して細心の注意が必要です。

上記の監視コマンドグループ設定を含むポリシーが配付、適用されている管理対象サーバで、監視コマンドグループ設定が利用可能なセキュリティロールに所属するユーザにより監査を行う場合、以下のように監査ログを参照することができます。

【監査ログの監査手順】

監査者(上記ポリシーに設定されているロールに所属するユーザ)で監査対象のサーバへログインします。

swexecコマンドを用いて、監査ログ出力先のディレクトリに存在するファイルを確認するため、以下の例のようにコマンドを実行します。

$ swexec ls /var/opt/FJSVsvcnt/audit
password%
mp_svcnt_audit            mp_svcnt_audit060612.log  mp_svcnt_audit060614.log
mp_svcnt_audit.lock       mp_svcnt_audit060613.log  mp_svcnt_audit060615.log

監査を実施したい日時の監査ログファイルをcatコマンドで以下のように参照します。

$ swexec cat /var/opt/FJSVsvcnt/audit/mp_svcnt_audit060615.log
password%
"2006/06/15 09:52:37.228 +0900",,,"root","swsvcntout","policy","swsvcntout /tmp/asdf/ ",S,"MPSVCNTL","0 UX:FJSVsvcnt: INFO: 90019: ",
"2006/06/15 09:52:58.969 +0900",,,"root","swsvcntout","policy","swsvcntout -u /tmp/asdf/ ",S,"MPSVCNTL","0 UX:FJSVsvcnt: INFO: 90019: ",
"2006/06/15 10:00:14.241 +0900",,,"root","swrec","command","swrec ",B,"MPSVCNTL",,
・・・

swexecなどのサーバ操作制御機能のコマンドを使用した際に出力される監査ログの詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

監査ログを監査する場合の確認ポイントについて

監査ログから監査を行う場合、確認すべきポイントは管理対象サーバの業務利用目的などにより異なりますが、以下に、監査を行う場合のチェックポイントとなる例をいくつか示します。

不正アクセスの確認

以下の手順で、不正アクセスがないか確認します。

監査ログから操作の失敗が連続している行を探し出します。
該当箇所の操作内容を詳細に確認し、妥当な操作かを監査者の知識から判断します。

システム異常の原因調査

以下の手順で、システム異常の原因を調査します。

システム異常が発生した時刻を他のログ（シスログ/イベントログなど）で確認します。
同時刻帯の操作ログから、成功した操作のログを参照し、操作ミスによるシステムへの影響がないかを確認します。

複数サーバ/クライアントを監査

以下の手順で、複数サーバ/クライアントを監査します。監査ログ管理機能により監査ログが収集されている場合などに有効に監査が行えます。

監査ログとして出力されているファイル名から、以下の情報を確認します。
- 運用管理サーバに収集された操作ログが、どのサーバ/クライアントから収集されたのか
- いつごろ出力されたログか
特定のサーバの監査ログから監査を行いたい時間を中心に、サーバ/クライアントの監査ログを参照し、システム全体の運用状況を監査します。

◆録画データを再生して監査する

サーバ操作制御の監査ログには、運用管理者やオペレータが録画コマンド(swrec)を明示的に使用した場合は、監査ログにswrecが実行されたことが記録されます。また、ポリシーの設定により、swexecが実行された場合の操作内容をすべて録画する設定がされている場合は、swexecの実行時にすべての情報が録画されています。監査者は、監査ログからより詳細な情報を確認したい場合、録画データの再生コマンド(swplay)を利用することで、より詳細な監査を行うことが可能です。

再生コマンドの使用方法、および再生コマンドを使用した際に出力される監査ログの詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

目次索引