WIXLIB

eTrust Access .co.jp/etrust/eTrust Access Controlとは？ UNIX(Linux, ためのセキュリティ管理インフラ 主要機能 /www.caj.co.jp/etrust/1

�おけるeTrust Access �ある。eTrustAccess ン制御 �ン条件の指定が可能 ログイン可能な端末 ログイン可能な時間帯 �限 ユーザIDの失効 �など SUコマンド制限 t/2

パスワードルール設定 スワードルールの設定が可能 例）パスワードルールの設定例 大文字を最低2文字以上含める aaaなどの文字の反復使用の禁止 ��る 旧パスワード３世代分の使用禁止 � 有効期限は１ヶ月 etrust/ネットワーク制御 �現 ��知と監査ログz アクセス制御z ホスト、ネットワーク単位z �単位z 曜日と時間の指定z �トhttp://www.caj.co.jp/etrust/3

システムリソースの保護 視 �などの改変を検知する 置き換えや改ざんが行われた場合、 その実行を禁止する 例） トロイの木馬 型プログラムの起動抑止 バッファオーバーフロー防止 .co.jp/etrust/ファイル／プロセスの保護 ファイルアクセス制御 �クセス制御 �セスを制限 OSのネイティブなプロセス rust Access Controlのプロセス d, Write, Execute, Delete, Update, Chown, Chmod, Chdir, ALL,Note UFS, HPFS, CDFS, FAT, etrust/4

セキュリティポリシーの集中管理 ィ・ポリシーの一元管理 �定を一元管理 �バにに集約して一元管理 ��るeTrust Access �ある。eTrustAccess ��ザデータhttp://www.caj.co.jp/etrust/5

eTrust Access Controlの中身eTrustAccess �タhttp://www.caj.co.jp/etrust/eTrust Access ��クエストmore w.caj.co.jp/etrust/6

eTrust Access ットhttp://www.caj.co.jp/etrust/eTrust Access Controlではなにができるのか？ �だけを与える。 ��。 ��行間違ったサーバーをShut tp://www.caj.co.jp/etrust/7

��. �ステムeTrust Access ttp://www.caj.co.jp/etrust/8

Ⅱ. ��本 All Deny �けを許可。・ ポート・ 端末・ �・ �ロセスＸ ��の制御ブランド・ユニット ��ーションの制限 限18 Unixでの対応レベルデータ caj.co.jp/etrust/9

Ⅱ. �御プロセス： ログインの絞り込み �全ての穴を閉じた後で �全てを使用不可にした後で ローカルLoginに限定可能 ��限 HTTPでPort８０で端末 ��限 ��19 aj.co.jp/etrust/Ⅱ. リソースの保護 �ーザの権限とパスワードの制御 ③ユーザパスワードの管理 ④OSに依存した特別な権限の排除 �イッチの制限ブランド・ユニット �� �の条件付けz ��③ユーザ名・パスワードの制限 �御ができるhttp://www.caj.co.jp/etrust/10

Ⅱ. リソースの保護 �プリケーション・リソースへの制限 ��定リソースの制限 。ブランド・ユニットデータ �制御 �の制限 caj.co.jp/etrust/Ⅱ. リソースの保護 t Access ControlとUnixの比較 Ｘ ドの制限 stAccess 11

Ⅲ． 監査ログ eTrust Access Controlでなにがとれる ４W１HWhatz Whoz Whenz Wherez co.jp/etrust/Ⅲ． 監査ログeTrust Access ��を介してどこから24Information TitleAccessAdministratorClassCommandCommand TypeDaemonDateDetailsEffective user IDEvent typeFileHost nameLogin user IDObjectProgramReal user IDResourceServiceStatusTerminalTimeTrace InformationUser 実効UIDログインした時のオリジナル �ホスト名プロセスのUNIX 時に起こった状態 www.caj.co.jp/etrust/12

Ⅲ． 監査ログ �レーションを行った場合 1.2.3.4.5. UNIX上での履歴1.2.3.4.5. �残さない ��いeTrust Access ��替わる特定ファイル /JINJI にアクセス成功特定ファイル /KEIRI で /JINJI ro”で /KEIRI ust/Ⅲ． 監査ログ サンプルログ出力例①08 Jul 2002 10:57 D LOGIN root 59 10 TKY001 sedlang②08 Jul 2002 10:58 P LOGIN tanaka 59 2 100.35.110.100 /usr/bin/login③08 Jul 2002 11:37 D FILE tanaka Read 69 2 /test1/test1.txt /bin/ vi④08 Jul 2002 11:37 D FILE tanaka Read 69 2 /test1/test1.txt /bin/cat⑤08 Jul 2002 11:11 D SURROGATE tanaka Read 69 2 USER.root /bin/su100.35.110.100⑥08 Jul 2002 16:14 P LOGIN yamada 59 2 100.50.101.20 /bin/login⑦08 Jul 2002 16:15 P TRACE 210 210 210 0 EXECARGS: 'cp /etc/passwd *'⑧08 Jul 2002 16:15 D FILE yamada Read 55 2 /etc/inetd.conf /bin/cat 100.50.101.20⑨08 Jul 2002 16:16 O LOGOUT yamada 49 2 ��マシンから ��“tanaka”が/test1/test1.txt aka”が/test1/test1.txt ンドを実行するが失敗⑥100.50.101.20 �成功⑧100.50.101.20 .20 rust/13

�リティポリシーの一元管理 ��れる。「異種OS」環境でも可能。 ートunix系Linux系一元監査ログ �グ一元監査ログ st/14

eTrust Access Controlの４つの機能 ① 特権ユーザの管理 ② リソースの保護 ③ 監査ログ ④ http://www.caj.co.jp/etrust/15

t7.0Hostname: etrustxxxIP address xxx.xxx.xxx.xxx※eTrust Access ��なWebサーバOS:Redhut7.0Hostname:etrust015IP address:1 xxx.xxx.xxx.xxx※eTrust Access ��OS:Windows2000ServerHostname:iinhi02IP 入 設定ファイルの改竄 デーモンの停止 Webコンテンツの改竄 caj.co.jp/etrust/16

通常のWebサーバ co.jp/etrust/通常のWebサーバ ��般ユーザ http://www.caj.co.jp/etrust/17

通常のWebサーバ j.co.jp/etrust/通常のWebサーバ jp/etrust/18

通常のWebサーバ デモの動き⑥OSのスーパーユーザ 通常のWebサーバ �ド・ユニットhttp://www.caj.co.jp/etrust/19

eTrust Access Control導入サーバ co.jp/etrust/eTrust Access Control導入サーバ デモの動き②eTrust Access �パーユーザ root rust/20

eTrust Access Control導入サーバ ��般ユーザ http://www.caj.co.jp/etrust/eTrust Access Control導入サーバ ��る⑤eTrust Access ��ーザへの切り替えを許可一般ユーザ iinuma .jp/etrust/21

eTrust Access Control導入サーバ デモの動き⑥eTrust Access �般ユーザ iinuma �否User .co.jp/etrust/eTrust Access Control導入サーバ デモの動き⑦eTrust Access ��ーユーザ root �トhttp://www.caj.co.jp/etrust/22

eTrust Access Control導入サーバ �イルを変更するeTrust Access jp/etrust/eTrust Access Control導入サーバ デモの動き⑨eTrust Access �ーパーユーザ root er //www.caj.co.jp/etrust/23

eTrust Access Control導入サーバ デモの動き⑩OSのスーパーユーザ ��るWebサービスを停止するeTrust Access p://www.caj.co.jp/etrust/eTrust Access Control導入サーバ デモの動き⑪eTrust Access �可スーパーユーザ root er jp/etrust/24

eTrust Access Control導入サーバ りシステムへ侵入 設定ファイルの改竄 デーモンの停止 Webコンテンツの改竄 �ーションミスhttp://www.caj.co.jp/etrust/25

デモで使用するeTrust Access Control項目①〜④ Ｘ ドの制限 stAccess �制御特定リソースへのアクセス制御 設定ファイルの改竄 デーモンの停止 Webコンテンツの改竄 26

デモで使用するeTrust Access Control項目④〜⑥ Ｘ ��ユーザの排除 ��トコル・ポート端末の制限eTrustAccess ステムへ侵入 設定ファイルの改竄 デーモンの停止 Webコンテンツの改竄 �ーションミスhttp://www.caj.co.jp/etrust/27

・パスワードの制限 stAccess ControlOSデータログの収集 Ｘ http://www.caj.co.jp/etrust/28

eTrust Access Control クイズブランド・ユニット http://www.caj.co.jp/etrust/eTrust Access る。 か か？ etrust/29

eTrust Access Control �きる。 か か？ ブランド・ユニット59 http://www.caj.co.jp/etrust/eTrust Access Control �ムに � か か？ etrust/30

eTrust Access とができる。 か か？ ブランド・ユニット61 ��すでに導入していれば、eTrust Access Controlは必要ない。 か か？ etrust/31

あるファイルに対して､ eTrust Access スすることができない か か？ ブランド・ユニット63 http://www.caj.co.jp/etrust/eTrust Access LINUXだけである。 か か？ etrust/32

eTrust Access ��とができる。 か か？ ブランド・ユニット65 http://www.caj.co.jp/etrust/eTrust Access ��の作業が増える か か？ etrust/33

eTrust Access Controlではなにができる