サーバの利用を制御する方法には、以下があります。
サーバへのアクセスを制御する(サーバアクセス制御機能)
サーバへのアクセスを制御する
サーバのアクセス制御では、管理対象サーバの資産に対するアクセス許可・拒否を制御し、アクセス監査ログを出力することができます。
また、システム保守作業において、既存のセキュリティ設定を変更することなく保守作業を実施し、保守作業の履歴を管理・点検することができます。
サーバアクセス制御では、以下の3つの機能を提供しています。
アクセス制御
監査ログ出力
安全なシステム保守支援機能
管理対象サーバの資産へのアクセスを設定することで不正なアクセスを禁止できます。
また、管理者を含め利用者ごとに、最低限のアクセス許可を与えることでセキュリティレベルを高く保つことができます。
OSが標準で提供しているアクセス制御機能とサーバアクセス制御で提供するアクセス制御機能について説明します。
OSが標準で提供しているアクセス制御機能
任意アクセス制御機能(Discretionary Access Control、DAC)と呼ばれており、Linuxシステムにおいては2種類のDACが存在します。この機能の特徴は、以下の通りです。
資源の所有者(ファイルの場合は、ファイルの持ち主)が自由にアクセス制御を変更することができる
システムの管理者(rootユーザ)は、所有者が設定したアクセス制御を無視してすべての資源にアクセス可能
サーバアクセス制御で提供するアクセス制御機能
DACアクセス制御により許可されている資源に対してアクセス監査ログの出力、およびアクセス制御を提供します。このため、OS標準のDACによってもともとアクセスできない資源に対しては、サーバアクセス制御機能でログ出力/アクセス制御はできません。
サーバアクセス制御は、アクセス監査ログ、操作の録画データ、Systemwalkerコンソール監査ログを監査ログとして出力します。
監査ログを分析することで、サーバ資産に対する不正な操作が行われていないことを点検できます。不正な操作が行われていた場合は、アクセス制御の設定を見直し、再度設定することで、サーバ資産の安全性を高めることができます。
アクセス監査ログ
管理対象サーバの資産へのアクセス情報
ファイルへのアクセス
レジストリへのアクセス
プロセスの起動/強制停止
ネットワークへのアクセス
ログイン
安全なシステム保守支援機能を使用した際の作業情報
アクセス制御のポリシーが適用された際のポリシーの内容
アクセス監査ログの詳細は、“Systemwalker Centric Managerリファレンスマニュアル”の“アクセス監査ログファイル”を参照してください。
操作の録画データ【Linux版】
安全なシステム保守支援機能を使用した際の操作内容
Systemwalkerコンソール監査ログ
運用管理クライアントのサーバアクセス制御の操作内容や操作結果
サーバアクセス制御機能のコマンド実行時の情報
システム管理者が、Systemwalker Centric Manager の使用状況を監査するログです。運用管理クライアントの[Systemwalker コンソール]から、監査ログ分析機能を使用して点検できます。
詳細は、“Systemwalker Centric Managerリファレンスマニュアル”の“監査ログファイル”を参照してください。
システム保守を行う場合、特権(root、Administrator権限など)を必要とする作業があります。安全なシステム保守支援機能では、セキュリティ管理者が承認した利用者にのみ、特権の利用を許可し、承認された範囲で保守作業することができます。
