サーバアクセス制御機能を設定する作業の流れを説明します。
サーバ資産に対する操作を制御する作業の流れを説明します。
セキュリティ管理者/監査者については、“セキュリティ管理者/監査者”を参照してください。 |
監査ログの出力設定については、“監査ログの出力設定”を参照してください。 |
スタンダードモードについては、“アクセス制御”を参照してください。 |
事前に、“監査ログ管理の設定例”の“運用管理サーバ側の設定”を参照し、格納ディレクトリの設定を行ってください。また、必要に応じて“収集対象のサーバを限定する”に記述されている設定を実施してください。 |
6.監査ログの正規化/集計を自動化する |
7.ログ集計表を適用・カスタマイズする |
カスタムモードについては、“アクセス制御”を参照してください。 |
セキュリティ管理者/監査者
各管理者/監査者の設定については、“セキュリティ管理者/監査者を設定する”を参照してください。
運用管理サーバのセキュリティ管理者の設定
Systemwalker Centric Managerをインストールした直後には、運用管理サーバのセキュリティ管理者は設定されていません。セキュリティポリシーを作成する場合、セキュリティ管理者の設定が必要です。
設定は、運用管理クライアントの[Systemwalkerコンソール]を使用し、サーバアクセス制御のポリシーを作成する前に行ってください。
登録されたセキュリティ管理者は、以下の設定を行うことができます。
運用管理サーバのセキュリティ監査者の設定
管理対象サーバのセキュリティ管理者/セキュリティ監査者の設定
アクセス監査ログ出力およびアクセス制御の設定
セキュリティポリシーの作成/編集/削除
監査ログ管理の設定
監査ログ出力の設定
セキュリティを維持したままシステム保守を行う場合の承認
運用管理サーバのセキュリティ監査者の設定
Systemwalker Centric Managerをインストールした直後には、運用管理サーバのセキュリティ監査者は設定されていません。
設定は、運用管理サーバのセキュリティ管理者が、運用管理クライアントで[Systemwalkerコンソール]からセキュリティ監査者を設定します。
登録されたセキュリティ監査者は、運用管理サーバでセキュリティポリシー設定内容の参照ができます。また、アクセス監査ログの監査を行うことができます。
管理対象サーバのセキュリティ管理者の設定
運用管理サーバのセキュリティ管理者が、運用管理クライアントで[Systemwalkerコンソール]から管理対象サーバのセキュリティ管理者を設定します。設定は、システム管理者が当該設定をポリシーとして配付/適用することで有効になります。
登録されたセキュリティ管理者は、当該の管理対象サーバで以下のシステム保守コマンドを実行できます。
システム保守承認コマンド
システム保守終了コマンド
システム保守承認状況表示コマンド
管理対象サーバのセキュリティ監査者の設定
運用管理サーバのセキュリティ管理者が、運用管理クライアントで[Systemwalkerコンソール]から管理対象サーバのセキュリティ監査者を設定します。設定は、システム管理者が当該設定をポリシーとして配付/適用することで有効になります。
登録されたセキュリティ監査者は、当該の管理対象サーバで、録画した操作の再生コマンドを実行できます。
監査ログの出力設定
アクセス監査ログ
監査ログの出力先
監査ログの保存日数
操作の録画データ
サーバアクセス制御機能の[録画設定]画面の設定【Linux版】
Systemwalkerコンソール監査ログ
監査ログの出力先
監査ログの保存日数
アクセス制御
サーバアクセス制御では、以下の2種類の設定方法があります。スタンダードモードは配付先のサーバ(ノード)を設定するだけで運用できるモードです。
スタンダードモード
ファイル
suコマンドの実行【Linux版】
レジストリ【Windows版】
ネットワーク接続【Linux版】
コンソールログイン
ネットワークログイン
カスタムモード
ファイル
プロセス
レジストリ【Windows版】
ネットワーク接続【Linux版】
コンソールログイン
ネットワークログイン
カスタムモードは、監査の対象やアクセス制御の対象がプロセスや、ポートなどの単位で詳細に把握できている場合に使用します。
一般ルール・優先ルール
サーバアクセス制御では、以下の2種類のルールがあります。
一般ルール
アクセスの許可/拒否を設定する場合、以下を検討し決定したことを一般ルールと呼びます。
アクセスの許可を基本とする
アクセスの拒否を基本とする
優先ルール
一般ルールに対して、例外の制御(許可/拒否)の設定を行います。これを優先ルールと呼びます。
なお、優先ルールは、一般ルールで制御対象とした動作のみ設定できます。
一般ルール・優先ルールの設定
一般ルール | 優先ルール | 説明 | |
|---|---|---|---|
1 | アクセスを許可することを基本とした場合 | アクセスを拒否するユーザ/グループ/端末を設定 | 業務処理への影響を軽減できますが、セキュリティ強度は、「アクセスを拒否することを基本とした場合」よりも低くなります。 社外からのアクセスのみを拒否したり、特定の利用者のみアクセスを拒否するといった、一部のユーザ/グループ/端末に対して、利用を限定する場合などに使用します。 [試行モード]を利用して業務への影響がないことを確認した後にアクセス制御を行ってください。 |
2 | アクセスを拒否することを基本とした場合 | アクセスを許可するユーザ/グループ/端末を設定 | セキュリティ強度を高くできますが、業務処理への悪影響が考えられます。 [試行モード]を利用して業務への影響がないことを確認した後にアクセス制御を行ってください。 |
スタンダードモード・カスタムモード、優先ルール・一般ルールの関係
以下にアクセス制御の設定について、スタンダードモード・カスタムモードのポリシーと、優先ルール・一般ルールの関係を示します。
アクセス制御の設定
スタンダードモード
保護対象 | ルール |
|---|---|
ファイル | 一般ルール、優先ルールの順に設定します。 |
レジストリ【Windows版】 | |
コンソールログイン | 優先ルールのみ設定します。 |
ネットワーク接続【Linux版】 | |
suコマンドの実行【Linux版】 | |
ネットワークログイン |
注)例:ユーザAにコンソールログインの「許可」設定(優先ルール)を設定した場合、ユーザA以外にはコンソールログインの「拒否」設定(一般ルール)が自動的に適用されます。
カスタムモード
保護対象 | ルール |
|---|---|
ファイル | 一般ルール、優先ルールの順に設定します。 |
プロセス | |
レジストリ【Windows版】 | |
ネットワーク接続【Linux版】 | |
コンソールログイン | |
ネットワークログイン |
アクセス制御の対象となる操作の一覧は以下のとおりです。
モード | 保護対象種別 | OS | |
Linuxの場合 | Windowsの場合 | ||
スタンダードモード | コンソールログイン/ログオン | ・コンソールからのログイン ・ログアウト | ・ログオン画面からのログオン ・ユーザ切替からのログオン認証(Windows2008のみ) ・ログアウト |
suコマンドの抑止 | suコマンドの実行 | - | |
ネットワークを経由した接続 | telnet、ssh、ftp接続 | × | |
ネットワークログイン | telnet、ssh、ftpによるログイン | リモートデスクトップ接続によるログオン | |
カスタムモード | プロセス起動 | コマンド、スクリプトの実行 | exeファイルの実行 |
プロセス終了 | kill(コマンド/API)によるプロセスの強制停止(SIGKILL送信) | タスクマネージャ等によるプロセスの強制停止 | |
コンソールログイン/ログオン | ・コンソールからのログイン ・ログアウト | ・ログオン画面からのログオン ・ユーザ切替からのログオン認証(Windows2008のみ) ・ログアウト | |
ネットワークログイン | telnet、ssh、ftpによるログイン | リモートデスクトップ接続によるログオン | |
ファイル読み込み | ファイルの場合: 読み込み操作 ディレクトリ場合: ファイル一覧取得操作 | ||
ファイル書き込み | ファイルの場合: 書き込み操作 ディレクトリの場合: 配下のファイル作成操作 | ||
ファイル作成 | ファイル/ディレクトリの作成処理 | ||
ファイル削除 | ファイル/ディレクトリの削除処理 | ||
ファイル変名 | ファイル/ディレクトリの変名処理。 ただし、別のディスク(ドライブ)への変名処理の場合、変名元の「ファイル削除」と変名先の「ファイル作成」処理として扱う。 | ||
ファイル属性変更 | ファイル/ディレクトリの属性変更(所有権、パーミッション) | ファイル/ディレクトリの属性変更(アクセス許可(ACL)、読み取り専用、隠しファイル、アーカイブ属性、インデックス属性、圧縮属性、暗号化属性) | |
ネットワーク | IPアドレス、ポート指定のTCP/UDP接続 | × | |
レジストリ読み込み | - | ・レジストリキーのサブキー一覧、値一覧取得処理。 ・レジストリ値の参照処理。 | |
レジストリ書き込み | - | ・レジストリ値の設定、作成、削除、変名。 ・サブキーの作成・削除・変名 | |
レジストリ作成 | - | ・レジストリキーの作成。 ・レジストリキーの変名(変名先が制御対象の場合) | |
レジストリ削除 | - | ・レジストリキーの削除。 ・レジストリキーの変名(変名元が制御対象の場合) | |
試行モード
[試行モード]は、アクセス制御の設定に基づき、サーバへのアクセスの許可・拒否の判定を実施して判定結果をアクセス監査ログに出力するモードです。実際にアクセスが拒否されることはありません。
このため、アクセス制御を[試行モード]で実行することで、アクセス制御の設定を変更したときの業務への影響を確認できます。
監視画面通知
[監視画面通知]は、アクセス制御設定のルールに該当する操作が行われたときに[Systemwalkerコンソール]にメッセージを通知します。監視機能と連動することで、即座に不正なアクセスを確認できます。
[Systemwalkerコンソール]に通知されるメッセージを以下に示します。
アクセスを許可していない制御対象にアクセスした場合
FJSVsvac: WARNING: 00001 : A control target that is not allowed to be accessed has been accessed. |
アクセスを許可している制御対象にアクセスした場合
FJSVsvac: WARNING: 00002 : A control target has been accessed. |
コマンドのエラーメッセージ
サーバアクセス制御により、強制アクセス制御を行った結果、通常正常に終了するはずのコマンドがアクセス制御機能により必要な権限を得ることができずに異常終了することがあります。このような場合は、実行したコマンドにより以下のようなエラーメッセージが表示される場合があります。
例:ls(1)コマンドによりアクセス拒否されたディレクトリを参照した場合
ls: <アクセス先ディレクトリ>: 許可がありません |
例:コンソールログインが拒否されている場合にX Window Systemの画面からログインを行った場合
あなたのセッションは 10秒以上続きませんでした。 もしあなた自身がログアウトしていない場合、インストールに問題があるか、ディスクの空き容量が足りないかもしれません。フェイルセーフなセッションからログインし、この問題を解決できるかどうか確認してください。 |
