| Systemwalker Centric Manager 使用手引書 セキュリティ編 - UNIX/Windows(R)共通 - |
|
目次
索引
|
| 第2部 セキュリティを強化するにはどのような運用をしたらよいか | > 第5章 サーバとクライアントのセキュリティを強化するには | > 5.1 UNIXサーバに対する不正操作を防ぐ |
サーバ操作制御を使用してシステム全体を管理すると、以下のような運用イメージになります。
セキュリティ管理者が、ポリシーを作成します。
システム管理者は、セキュリティ管理者が作成したポリシーを、管理対象サーバに配付します。
管理対象サーバの一般利用者は、"swexec"コマンドを利用して、ポリシーで許可されたコマンドを実行します。
→監査ログが出力されます。
なお、管理者権限が不要なコマンドの実行には"swexec"コマンドを利用する必要はありません。
セキュリティ管理者は、管理対象サーバの監査ログを分析し、サーバ操作制御のポリシーを見直します。
サーバ操作制御機能では、システム全体を信頼できるもとのするため、サーバごとに管理者を置かず、セキュリティ管理者がシステム全体を管理・統制します。
また、システムの点検は、第三者が行うことが望ましいため、セキュリティ管理者とは別に監査者を置きます。
サーバ操作制御機能で想定するユーザ権限モデルを以下に示します。
システム管理者は、DmAdminのロールとして作成され、Systemwalker Centric Managerのすべての操作が使用できます。また、運用管理サーバ上の管理者権限(root権限)も、自動的にDmAdminと同じ権限を使用できます。
セキュリティ管理者は、SecurityAdminのロールとして作成されます。[Systemwalkerコンソール]からのサーバ操作制御に関わる設定メニューを使用する場合は、システム管理者権限に加えセキュリティ管理者の権限も必要です。
監査者は、SecurityAuditorのロールとして作成され、各監視サーバ上で監査を行うための機能が利用できます。監査者は、録画記録の再生、および設定されている配付ポリシーの一覧を出力できるユーザです。
運用管理者は、root権限が必要なコマンドを実行できるユーザです。サーバ操作制御機能を利用することで、rootを初めとした特権ユーザのパスワードを運用管理者が知る必要がなくなります。ただし、実行可能なコマンド、および利用可能な特権ユーザ権限は、セキュリティ管理者が許可する必要があります。
運用管理者よりサーバの操作を制限されたユーザです。
例えば、業務上必要なユーザアカウントの追加、削除のみ可能なユーザです。
サーバの運用時、各ユーザは、「ログを見る」「バックアップを取る」「再起動する」というように役割を与えられます。この役割を定義したものをセキュリティロールと呼びます。
また、役割ごとに使用するコマンドをまとめて定義したものをコマンド群(監視コマンドグループ)と呼びます。
サーバ操作制御機能では、ユーザ権限モデルをセキュリティロールとして管理しています。セキュリティロールは、所属するユーザが実行できるコマンド群を情報として持っており、ユーザは所属するセキュリティロールにより、どのコマンドが実行できるか決定されます。
セキュリティロールおよびコマンド群は、システムの利用環境に合わせて、セキュリティ管理者が検討します。
以下に、ユーザ、セキュリティロール、コマンド群の関係について例を示します。
セキュリティロールとして、「セキュリティ管理者」および「運用管理者」が割り当てられており、「セキュリティ管理者」で使用可能なサーバ操作制御機能と「運用管理者」で使用可能なコマンド群を利用できます。
セキュリティロールとして「監査者」が割り当てられており、サーバ操作制御機能のうち録画記録の再生機能を利用できます。
セキュリティロールとして「運用管理者」が割り当てられており、「運用管理者」で使用可能なコマンド群を利用できます。
セキュリティロールとして「オペレータ」が割り当てられており、「オペレータ」で使用可能なコマンド群を利用できます。
サーバ操作制御機能のポリシーは、コマンド群とコマンド群を利用するセキュリティロールの関係をまとめた定義体で、サーバごとに配付されます。
配付ポリシーを配付後、セキュリティ管理者がユーザ情報の設定コマンドを利用してサーバ上のユーザをセキュリティロールに所属させます。ユーザとセキュリティロールを関連付ける作業により、サーバ操作制御機能が有効になります。
配付ポリシーを作成するときに、システムのセキュリティを重視することで利便性(操作性)が損なわれる場合があります。このため、サーバ操作制御機能は、以下のモードを選択できます。
標準セキュリティモードは、セキュリティを重視した配付ポリシーを定義するためのモードです。簡易セキュリティモードは、利便性を重視した配付ポリシーを定義するためのモードです。
簡易セキュリティモードを使用する場合の問題点については、“コマンド群”の説明を参照してください。
セキュリティモードは、コマンド群と配付ポリシーに設定できます。設定したセキュリティモードは、コマンド群/配付ポリシーを作成したあとでは変更できません。事前に検討し、適切なセキュリティモードを設定してください。
簡易セキュリティモードを使用した場合、操作ミスの防止などには非常に有効ですが、十分なセキュリティを確保するためのポリシー設定を行うことは非常に難しくなります。セキュリティを意識する場合は、通常モードを利用してください。また、パスワードの省略時間内であれば、パスワードを知らない第三者により操作が行われる可能性があるなど、セキュリティレベルが低下します。このため、十分にセキュリティを確保できているシステムや、ごく少数のユーザしか操作を行わないようなシステムを除き、標準セキュリティモードを使用することを推奨します。
コマンド群のセキュリティモードについて、以下に表を示します。
|
セキュリティモード |
コマンド |
テンプレート(注) |
||
|
許可コマンド |
拒否コマンド |
標準 |
簡易 |
|
|
標準 |
○ |
× |
○ |
× |
|
簡易 |
○ |
○ |
○ |
○ |
○:設定可 ×:設定不可
注:サーバで使用するコマンド群を定義するときに、Systemwalker技術情報ホームページで公開されているテンプレートを使用できます。
許可コマンドとは、配付ポリシーに指定したコマンドだけ実行が可能となり、逆に拒否コマンドとは、配付ポリシーに設定したコマンド以外がすべて実行可能となります。一般に拒否コマンドを指定することで、誤操作などの単純な操作ミスを防ぐことは可能ですが、悪意あるユーザの場合は、操作したいコマンドを別名でコピーし、配付ポリシーをかいくぐるなど、簡易モードの配付ポリシーを迂回することが容易にできます。セキュリティモードの選択には、十分注意を払って決定してください。
以上の理由から、コマンド群を標準セキュリティモードで定義する場合、セキュリティを重視した配付ポリシーを作成するため、拒否コマンドを設定できません。また、標準セキュリティモードでは、セキュリティモードが簡易のテンプレートを選択できません。
配付ポリシーのセキュリティモードについて、以下に表を示します。
|
セキュリティモード |
割当監視コマンドグループ |
|
|
標準 |
簡易 |
|
|
標準 |
○ |
× |
|
簡易 |
× |
○ |
○:設定可 ×:設定不可
配付ポリシーを標準セキュリティモードで定義する場合、セキュリティを重視した配付ポリシーを作成するため、配付ポリシーに割り当てるコマンド群は、標準セキュリティモードで定義されているコマンド群となります。
|
目次
索引
|