| Systemwalker Centric Manager 解説書 - UNIX/Windows(R)共通 - |
|
目次
索引
|
| 第2章 機能の説明 | > 2.2 セキュリティ |
サーバの利用を制御する方法には、以下があります。
サーバのアクセス制御では、管理対象サーバの資産に対するアクセス許可・拒否を制御し、アクセス監査ログを出力することができます。
また、システム保守作業において、既存のセキュリティ設定を変更することなく保守作業を実施し、保守作業の履歴を管理・点検することができます。
サーバアクセス制御では、以下の3つの機能を提供しています。
管理対象サーバの資産へのアクセスを設定することで不正なアクセスを禁止できます。
また、管理者を含め利用者ごとに、最低限のアクセス許可を与えることでセキュリティレベルを高く保つことができます。
任意アクセス制御機能(Discretionary Access Control、DAC)と呼ばれており、Linuxシステムにおいては2種類のDACが存在します。この機能の特徴は、以下のとおりです。
DACアクセス制御により許可されている資源に対してアクセス監査ログの出力、およびアクセス制御を提供します。このため、OS標準のDACによってもともとアクセスできない資源に対しては、サーバアクセス制御機能でログ出力/アクセス制御はできません。
サーバアクセス制御は、アクセス監査ログ、操作の録画データ、Systemwalkerコンソール監査ログを監査ログとして出力します。
監査ログを分析することで、サーバ資産に対する不正な操作が行われていないことを点検できます。不正な操作が行われていた場合は、アクセス制御の設定を見直し、再度設定することで、サーバ資産の安全性を高めることができます。
アクセス監査ログの詳細は、“Systemwalker Centric Managerリファレンスマニュアル”の“アクセス監査ログファイル”を参照してください。
システム管理者が、Systemwalker Centric Manager の使用状況を監査するログです。運用管理クライアントの [Systemwalker コンソール]から、監査ログ分析機能を使用して点検できます。
詳細は、“Systemwalker Centric Managerリファレンスマニュアル”の“監査ログファイル”を参照してください。
システム保守を行う場合、特権(root権限など)を必要とする作業があります。安全なシステム保守支援機能では、セキュリティ管理者が承認した利用者にのみ特権の利用を許可し、承認された範囲で保守作業することができます。
サーバ操作制御は、システムを保守するシステム管理者、システムをバックアップするバックアップ管理者、システムを監査する監査者などに対して、役割に応じたコマンドを制限することで、誤操作による事故を防止することができます。
サーバ操作制御では、次の機能を提供します。
配付ポリシーに基づき、コマンドが実行可能か否かを判断し、可能であればコマンドを実効ユーザで実行します。
コマンドからターミナルの出力情報、ターミナル(ユーザ)からコマンドへの入力情報を記録する機能です。コマンドの実行状況をビデオで録画するようなイメージです。録画した実行状況は、あとから再生することができます。なお、配付ポリシーの定義によって、コマンドの実行状況を録画しないこともできます。
また、指定されたコマンドを実行した際の実行状況を監査ログとして記録できます。監査ログは、“監査ログを管理する”により、運用管理サーバに収集することができます。
実効ユーザとは
UNIX上の通常の実行コマンドは、実行したユーザの権限で動作しますが、実行ファイルがchmodコマンドなどにより特殊なアクセス権を付与することで、どのユーザ権限で実行してもファイルの所有者やファイルの所有グループの権限で動作させることが可能となります。この特殊なアクセス権のことを「実効ユーザIDを付与されたコマンド」などと呼びます。
|
目次
索引
|