インストール資源のセキュリティについて説明します。
ISIサーバのセキュリティ強化
本製品をインストールした後、以下のセキュリティ強化を行ってください。
Interstage Application Serverがインストール済みの環境に本製品をインストールした場合、セキュリティ強度を高めるため、Interstage Application Serverについても運用開始前に強化セキュリティモードの設定を推奨します。
Formatmanagerの変換テーブルの配置先をデフォルトの配置先ディレクトリから変更した場合、Interstage運用グループから参照および更新できるようにアクセス権限を設定してください。
インストール後の作業でユーザが環境設定ファイルや定義ファイルを作成した場合、Interstage運用グループから参照および更新できるようにアクセス権限を設定してください。
また、ISIの環境設定ファイルでディレクトリ指定できる設定項目の値をデフォルトのディレクトリから変更した場合、ディレクトリに対してグループとアクセス権限を適切に設定してください。グループにはInterstage運用グループを指定してください。
[実行例]
chgrp isgroup /opt/FJSVesi/etc/def/soap/headercoop.properties chmod 660 /opt/FJSVesi/etc/def/soap/headercoop.properties
管理者権限を必要とするコマンドを一般ユーザでの利用
Systemwalker Centric Managerのサーバ操作制御機能を利用することで、管理者権限を持たない特定のユーザに対して、管理者権限を必要とする特定のコマンドの実行を許可することが可能です。
詳細は、“Interstage Application Server セキュリティシステム運用ガイド”の“root権限を必要とするコマンドの一般ユーザでの利用”を参照してください。
ポイント
ISIの運用環境にSystemwalker Centric Managerをインストールする必要があります。このとき、Systemwalker Centric Managerのインストール種別は業務サーバを選択してください。
ISIクライアントのセキュリティ強化
一般ユーザによる資源の改ざんを防ぐために、NTFS形式のドライブにインストールした場合、ISIのインストール資源のアクセス権を変更することができます。必要に応じて実施してください。
以下は、ISIインストールディレクトリを、Windowsのエクスプローラのプロパティから参照したセキュリティの状態の例です。Everyoneを削除し、特定の一般ユーザだけにアクセス権を付与することにより、不特定の一般ユーザからのアクセスを防ぐ権限に変更することができます。
また、すべての一般ユーザに対して、以下のディレクトリ以外のwrite権を外すことを推奨します。
“<INSDIR>\etc”
“<INSDIR>\var”
“<INSDIR>\FM\F5FCTFLTJ”
“<INSDIR>\FM\F5FCTFLTJ\lib”
“<INSDIR>\FM\F5FCTFLTJ\log”
図6.17 [ISIインストールディレクトリのプロパティ]画面の例
