サーバアクセス制御機能を設定する作業の流れを説明します。
サーバ資産に対する操作を制御する作業の流れを説明します。
セキュリティ管理者/監査者については、“セキュリティ管理者/監査者”を参照してください。 |
監査ログの出力設定については、“監査ログの出力設定”を参照してください。 |
スタンダードモードについては、“アクセス制御”を参照してください。 |
事前に、“監査ログ管理の設定例”の“運用管理サーバ側の設定”を参照し、格納ディレクトリの設定を行ってください。また、必要に応じて“収集対象のサーバを限定する”に記述されている設定を実施してください。(注) |
6.監査ログの正規化/集計を自動化する |
7.ログ集計表を適用・カスタマイズする |
カスタムモードについては、“アクセス制御”を参照してください。 |
注)
すでに監査ログ管理を使用している場合、設定は不要です。
“監査ログ管理の設定例”に記述されている運用管理サーバ以外のサーバ種別の設定は不要です。
セキュリティ管理者/監査者
各管理者/監査者の設定については、“セキュリティ管理者/監査者を設定する”を参照してください。
運用管理サーバのセキュリティ管理者の設定
Systemwalker Centric Managerをインストールした直後には、運用管理サーバのセキュリティ管理者は設定されていません。セキュリティポリシーを作成する場合、セキュリティ管理者の設定が必要です。
設定は、運用管理クライアントの[Systemwalkerコンソール]を使用し、サーバアクセス制御のポリシーを作成する前に行ってください。
登録されたセキュリティ管理者は、以下の設定を行うことができます。
運用管理サーバのセキュリティ監査者の設定
管理対象サーバのセキュリティ管理者/セキュリティ監査者の設定
アクセス監査ログ出力およびアクセス制御の設定
セキュリティポリシーの作成/編集/削除
監査ログ管理の設定
監査ログ出力の設定
セキュリティを維持したままシステム保守を行う場合の承認
運用管理サーバのセキュリティ監査者の設定
Systemwalker Centric Managerをインストールした直後には、運用管理サーバのセキュリティ監査者は設定されていません。
設定は、運用管理サーバのセキュリティ管理者が、運用管理クライアントで[Systemwalkerコンソール]からセキュリティ監査者を設定します。
登録されたセキュリティ監査者は、運用管理サーバでセキュリティポリシー設定内容の参照ができます。また、アクセス監査ログの監査を行うことができます。
管理対象サーバのセキュリティ管理者の設定
運用管理サーバのセキュリティ管理者が、運用管理クライアントで[Systemwalkerコンソール]から管理対象サーバのセキュリティ管理者を設定します。設定は、システム管理者が当該設定をポリシーとして配付/適用することで有効になります。
登録されたセキュリティ管理者は、当該の管理対象サーバで以下のシステム保守コマンドを実行できます。
システム保守承認コマンド
システム保守終了コマンド
システム保守承認状況表示コマンド
管理対象サーバのセキュリティ監査者の設定
運用管理サーバのセキュリティ管理者が、運用管理クライアントで[Systemwalkerコンソール]から管理対象サーバのセキュリティ監査者を設定します。設定は、システム管理者が当該設定をポリシーとして配付/適用することで有効になります。
登録されたセキュリティ監査者は、当該の管理対象サーバで、録画した操作の再生コマンドを実行できます。
監査ログの出力設定
アクセス監査ログ
監査ログの出力先
監査ログの保存日数
操作の録画データ
サーバアクセス制御機能の[録画設定]画面の設定【Linux版】
Systemwalkerコンソール監査ログ
監査ログの出力先
監査ログの保存日数
アクセス制御
サーバアクセス制御では、以下の2種類の設定方法があります。スタンダードモードは配付先のサーバ(ノード)を設定するだけで運用できるモードです。
スタンダードモード
ファイル
suコマンドの実行【Linux版】
レジストリ【Windows版】
ネットワーク接続【Linux版】
コンソールログイン
ネットワークログイン
カスタムモード
ファイル
プロセス
レジストリ【Windows版】
ネットワーク接続【Linux版】
コンソールログイン
ネットワークログイン
カスタムモードは、監査の対象やアクセス制御の対象がプロセスや、ポートなどの単位で詳細に把握できている場合に使用します。
一般ルール・優先ルール
サーバアクセス制御では、以下の2種類のルールがあります。
一般ルール
アクセスの許可/拒否を設定する場合、以下を検討し決定したことを一般ルールと呼びます。
アクセスの許可を基本とする
アクセスの拒否を基本とする
優先ルール
一般ルールに対して、例外の制御(許可/拒否)の設定を行います。これを優先ルールと呼びます。
なお、優先ルールは、一般ルールで制御対象とした動作のみ設定できます。
一般ルール・優先ルールの設定
一般ルール | 優先ルール | 説明 | |
|---|---|---|---|
1 | アクセスを許可することを基本とした場合 | アクセスを拒否するユーザ/グループ/端末を設定 | 業務処理への影響を軽減できますが、セキュリティ強度は、「アクセスを拒否することを基本とした場合」よりも低くなります。 社外からのアクセスのみを拒否したり、特定の利用者のみアクセスを拒否するといった、一部のユーザ/グループ/端末に対して、利用を限定する場合などに使用します。 [試行モード]を利用して業務への影響がないことを確認した後にアクセス制御を行ってください。 |
2 | アクセスを拒否することを基本とした場合 | アクセスを許可するユーザ/グループ/端末を設定 | セキュリティ強度を高くできますが、業務処理への悪影響が考えられます。 [試行モード]を利用して業務への影響がないことを確認した後にアクセス制御を行ってください。 |
優先ルールの推奨設定
優先ルールを設定する場合、rootやAdministratorなど明にユーザ名を指定したい場合を除き、グループ名を指定してください。グループ名を指定してアクセス制御を行う場合、OSユーザの追加/削除に伴うアクセス制御ポリシーの更新・再配付が不要となります。
スタンダードモード・カスタムモード、優先ルール・一般ルールの関係
以下にアクセス制御の設定について、スタンダードモード・カスタムモードのポリシーと、優先ルール・一般ルールの関係を示します。
アクセス制御の設定
スタンダードモード
保護対象 | ルール |
|---|---|
ファイル | 一般ルール、優先ルールの順に設定します。 |
レジストリ【Windows版】 | |
コンソールログイン | 優先ルールのみ設定します。 |
ネットワーク接続【Linux版】 | |
suコマンドの実行【Linux版】 | |
ネットワークログイン |
注)例:ユーザAにコンソールログインの「許可」設定(優先ルール)を設定した場合、ユーザA以外にはコンソールログインの「拒否」設定(一般ルール)が自動的に適用されます。
カスタムモード
保護対象 | ルール |
|---|---|
ファイル | 一般ルール、優先ルールの順に設定します。 |
プロセス | |
レジストリ【Windows版】 | |
ネットワーク接続【Linux版】 | |
コンソールログイン | |
ネットワークログイン |
アクセス制御の対象となる操作の一覧は以下のとおりです。
モード | 保護対象種別 | OS | |
|---|---|---|---|
Linuxの場合 | Windowsの場合 | ||
スタンダードモード | コンソールログイン/ログオン | ・コンソールからのログイン ・ログアウト | ・ログオン画面からのログオン ・ユーザ切替からのログオン認証(Windows Server 2008のみ) ・ログアウト |
suコマンドの実行 | suコマンドの実行 | - | |
ネットワーク接続 | telnet、ssh、ftp接続 | × | |
ネットワークログイン | telnet、ssh、ftpによるログイン(注2) | リモートデスクトップ接続によるログオン | |
カスタムモード | プロセス起動 | コマンド、スクリプトの実行 | exeファイルの実行 |
プロセス終了 | kill(コマンド/API)によるプロセスの強制停止(SIGKILL送信) | タスクマネージャ等によるプロセスの強制停止 | |
コンソールログイン/ログオン | ・コンソールからのログイン ・ログアウト | ・ログオン画面からのログオン ・ユーザ切替からのログオン認証(Windows Server 2008のみ) ・ログアウト | |
ネットワークログイン | telnet、ssh、ftpによるログイン(注2) | リモートデスクトップ接続によるログオン | |
ファイル読み込み | ファイルの場合: 読み込み操作 ディレクトリ場合: ファイル一覧取得操作 | ||
ファイル書き込み | ファイルの場合: 書き込み操作 ディレクトリの場合: 配下のファイル作成操作 | ||
ファイル作成 | ファイル/ディレクトリの作成処理 | ||
ファイル削除 | ファイル/ディレクトリの削除処理 | ||
ファイル変名 | ファイル/ディレクトリの変名処理。 ただし、別のディスク(ドライブ)への変名処理の場合、変名元の「ファイル削除」と変名先の「ファイル作成」処理として扱う。 | ||
ファイル属性変更 | ファイル/ディレクトリの属性変更(所有権、パーミッション) | ファイル/ディレクトリの属性変更(アクセス許可(ACL)、読み取り専用、隠しファイル、アーカイブ属性、インデックス属性、圧縮属性、暗号化属性) | |
ネットワーク | IPアドレス、ポート指定のTCP/UDP接続 | × | |
レジストリ読み込み | - | ・レジストリキーのサブキー一覧、値一覧取得処理。 ・レジストリ値の参照処理。 | |
レジストリ書き込み | - | ・レジストリ値の設定、作成、削除、変名。 ・サブキーの作成・削除・変名 | |
レジストリ作成 | - | ・レジストリキーの作成。 ・レジストリキーの変名(変名先が制御対象の場合) | |
レジストリ削除 | - | ・レジストリキーの削除。 ・レジストリキーの変名(変名元が制御対象の場合) | |
注1) 以下のアクセス制御の保護対象種別は、RHEL6でサポートしていないため、ポリシーを配付しても設定が無視されます。
スタンダードモード
suコマンドの実行
ネットワーク接続
コンソールログイン
ネットワークログイン
カスタムモード
プロセス
ネットワーク接続
コンソールログイン
ネットワークログイン
注2) ネットワークログインでサポートするサービスは以下です。
telnetによるログインの場合、intelnet.dサービス
sshによるログインの場合、sshdサービス
ftpによるログインの場合、vsftpdサービス
試行モード
[試行モード]は、アクセス制御の設定に基づき、サーバへのアクセスの許可・拒否の判定を実施して判定結果をアクセス監査ログに出力するモードです。実際にアクセスが拒否されることはありません。
このため、アクセス制御を[試行モード]で実行することで、アクセス制御の設定を変更したときの業務への影響を確認できます。
監視画面通知
[監視画面通知]は、アクセス制御設定のルールに該当する操作が行われたときに[Systemwalkerコンソール]にメッセージを通知します。監視機能と連動することで、即座に不正なアクセスを確認できます。
[Systemwalkerコンソール]に通知されるメッセージを以下に示します。
アクセスを許可していない制御対象にアクセスした場合
FJSVsvac: WARNING: 00001 : A control target that is not allowed to be accessed has been accessed. |
アクセスを許可している制御対象にアクセスした場合
FJSVsvac: WARNING: 00002 : A control target has been accessed. |
コマンドのエラーメッセージ
サーバアクセス制御により、強制アクセス制御を行った結果、通常正常に終了するはずのコマンドがアクセス制御機能により必要な権限を得ることができずに異常終了することがあります。このような場合は、実行したコマンドにより以下のようなエラーメッセージが表示される場合があります。
例:ls(1)コマンドによりアクセス拒否されたディレクトリを参照した場合
ls: <アクセス先ディレクトリ>: 許可がありません |
例:コンソールログインが拒否されている場合にX Window Systemの画面からログインを行った場合
あなたのセッションは 10秒以上続きませんでした。 もしあなた自身がログアウトしていない場合、インストールに問題があるか、ディスクの空き容量が足りないかもしれません。フェイルセーフなセッションからログインし、この問題を解決できるかどうか確認してください。 |
Red Hat Enterprise Linux 5の場合とRed Hat Enterprise Linux 6の場合の動作差異
OSがRed Hat Enterprise Linux 5の場合とRed Hat Enterprise Linux 6の場合でアクセス制御に以下の動作差異があります。
項目 | RHEL5 | RHEL6 |
|---|---|---|
ファイルアクセス制御の保護対象の指定方法 |
| アクセス制御ポリシーにおける保護対象はファイル/ディレクトリに分けて指定する必要があります。
|
アクセス制御ポリシー配付時の保護対象の存在有無による動作 | アクセス制御ポリシー配付時に保護対象に指定されたファイル/ディレクトリが存在する/しないにかかわらず、アクセス制御は有効になります。 |
【運用方法】 削除・作成が繰り返されるファイル/ディレクトリをアクセス制御したい場合、親ディレクトリを保護対象に指定してください。 |
サーバアクセス制御の再開方法 |
|
|
アクセス監査ログの出力項目 |
|
|
ファイル/ディレクトリの変名操作 |
|
|
su/sudoコマンドによるユーザ権限の変更 | su/sudoコマンドを使用して異なるユーザ権限で操作した場合、異なるユーザ権限に対してアクセス制御が行われます。 | su/sudoコマンドを使用して異なるユーザ権限で操作した場合でも、ログインしたユーザの権限でアクセス制御が行われます。 |
注意
【Windows Server 2012以降の場合】
Windows Server 2012以降では、プロセス終了のアクセス制御/ログ出力、コンソールログイン/ネットワークログインのアクセス制御は使用できないため、プロセス終了の[許可][拒否][ログ出力のみ]設定およびコンソールログイン/ネットワークログインの[拒否]設定は無効になります。
このため、アクセス制御ポリシーにおいて、以下の条件のどれかを満たすルールをWindows Server 2012のサーバに配付した場合、イベントログに警告メッセージが出力されます。
スタンダードモード
保護対象種別が「コンソールログイン」で、かつ[許可]を選択した場合、[許可]に指定したユーザ以外への[拒否]設定
保護対象種別が「コンソールログイン」で、かつ[拒否]を選択した場合、指定したユーザへの「拒否」設定
保護対象種別が「ネットワークログイン」で、かつ[許可]を選択した場合、[許可]に指定したユーザ以外への[拒否]設定
保護対象種別が「ネットワークログイン」で、かつ[拒否]を選択した場合、指定したユーザへの「拒否」設定
カスタムモード
保護対象種別が「プロセス」の「一般ルール」で、かつ[終了]のチェックボックスにチェックが入っている場合
保護対象種別が「プロセス」の「優先ルール」である場合
保護対象種別が「コンソールログイン」の「一般ルール」で、かつ[拒否]を選択している場合
保護対象種別が「コンソールログイン」の「優先ルール」で、かつ[拒否]を選択している場合
保護対象種別が「ネットワークログイン」の「一般ルール」で、かつ[拒否]を選択している場合
保護対象種別が「ネットワークログイン」の「優先ルール」で、かつ[拒否]を選択している場合
以下が出力されるメッセージです。
FJSVsvac: WARNING: 01013: サポートされていない保護対象種別を含む[アクセス制御]ポリシーが配付されました。 |
Windows Server 2012以降では、安全なシステム保守支援機能が使用できないため、以下の操作は行えません。
[保守作業の承認]画面で、Windows Server 2012のホスト名を指定して[OK]ボタンをクリックして承認番号を発行する
Systemwalkerコンソールの[操作]-[サーバアクセス制御]-[保守承認状況の表示/回収]で表示される[サーバの選択]画面で、Windows Server 2012のホスト名を指定して[OK]ボタンをクリックし、保守承認状況を表示する。
【Red Hat Enterprise Linux 6の場合】
SELinuxを使用して、ファイルのアクセス制御を行っています。ユーザ定義のSELinuxポリシーと競合する可能性があるため、ユーザ定義のSELinuxポリシーを動作させている場合は停止させてください。また、必要に応じて停止させたSELinuxのポリシーファイルを退避させてください。
サーバアクセス制御の使用を停止し、他のユーザ定義のSELinuxポリシーの使用を再開する場合、退避させたポリシーを再度ロードしてください。
サーバアクセス制御の機能使用中に、他のユーザ定義のSELinuxポリシーを使用しようとした場合、以下の現象が発生する可能性があります。
他のユーザ定義のSELinuxポリシーのロードが失敗する。
他のユーザ定義のSELinuxポリシーのロード後、どちらかのポリシーの動作が正常に動作しない。
OSをRed Hat Enterprise Linux 5からRed Hat Enterprise Linux 6にバージョンアップした場合、Systemwalker Centric Managerの再インストールが必要となるため、他のプラットフォームと同様に、サーバアクセス制御のポリシーの再配付が必要です。また、ファイル以外の保護対象種別のアクセス制御を設定していた場合、それらのアクセス制御は有効になりません。
アクセス制御ポリシーを配付した場合、以下のようなメッセージがシステムログに出力されることがありますが、動作には問題ありません。
kernel: SELinux: Context system_u:object_r:fjsvsvact_???_????_t:s0 became invalid (unmapped).
? : 0~9の数字
SELinuxをPermissiveモードで動作させていた場合、拒否のアクセス制御は動作しません。アクセス制御ポリシーにおいてアクセス許可されていないユーザが制御対象のファイル/ディレクトリにアクセスした場合、出力されるアクセス監査ログの[アクセス制御結果]の項目には、“F”が出力されます。
ポリシーの配付先ノードがRed Hat Enterprise Linux 6のとき、以下のどちらかの条件を満たした場合、ポリシー配付に失敗することがあります。
初回ポリシー配付の場合、アクセス制御ポリシーの優先ルールに設定したユーザ/グループ数が多い場合
2回目以降のポリシー配付の場合、前回配付したポリシーと比較して、アクセス制御ポリシーの優先ルールに設定したユーザ/グループ数の増減数(重複を除く)が多い場合
