Transcription
eTrust Access .co.jp/etrust/eTrust Access Controlとは? UNIX(Linux, ためのセキュリティ管理インフラ 主要機能 /www.caj.co.jp/etrust/1
�おけるeTrust Access �ある。eTrustAccess ン制御 �ン条件の指定が可能 ログイン可能な端末 ログイン可能な時間帯 �限 ユーザIDの失効 �など SUコマンド制限 t/2
パスワードルール設定 スワードルールの設定が可能 例)パスワードルールの設定例 大文字を最低2文字以上含める aaaなどの文字の反復使用の禁止 ��る 旧パスワード3世代分の使用禁止 � 有効期限は1ヶ月 etrust/ネットワーク制御 �現 ��知と監査ログz アクセス制御z ホスト、ネットワーク単位z �単位z 曜日と時間の指定z �トhttp://www.caj.co.jp/etrust/3
システムリソースの保護 視 �などの改変を検知する 置き換えや改ざんが行われた場合、 その実行を禁止する 例) トロイの木馬 型プログラムの起動抑止 バッファオーバーフロー防止 .co.jp/etrust/ファイル/プロセスの保護 ファイルアクセス制御 �クセス制御 �セスを制限 OSのネイティブなプロセス rust Access Controlのプロセス d, Write, Execute, Delete, Update, Chown, Chmod, Chdir, ALL,Note UFS, HPFS, CDFS, FAT, etrust/4
セキュリティポリシーの集中管理 ィ・ポリシーの一元管理 �定を一元管理 �バにに集約して一元管理 ��るeTrust Access �ある。eTrustAccess ��ザデータhttp://www.caj.co.jp/etrust/5
eTrust Access Controlの中身eTrustAccess �タhttp://www.caj.co.jp/etrust/eTrust Access ��クエストmore w.caj.co.jp/etrust/6
eTrust Access ットhttp://www.caj.co.jp/etrust/eTrust Access Controlではなにができるのか? �だけを与える。 ��。 ��行間違ったサーバーをShut tp://www.caj.co.jp/etrust/7
��. �ステムeTrust Access ttp://www.caj.co.jp/etrust/8
Ⅱ. ��本 All Deny �けを許可。・ ポート・ 端末・ �・ �ロセスX ��の制御ブランド・ユニット ��ーションの制限 限18 Unixでの対応レベルデータ caj.co.jp/etrust/9
Ⅱ. �御プロセス: ログインの絞り込み �全ての穴を閉じた後で �全てを使用不可にした後で ローカルLoginに限定可能 ��限 HTTPでPort80で端末 ��限 ��19 aj.co.jp/etrust/Ⅱ. リソースの保護 �ーザの権限とパスワードの制御 ③ユーザパスワードの管理 ④OSに依存した特別な権限の排除 �イッチの制限ブランド・ユニット �� �の条件付けz ��③ユーザ名・パスワードの制限 �御ができるhttp://www.caj.co.jp/etrust/10
Ⅱ. リソースの保護 �プリケーション・リソースへの制限 ��定リソースの制限 。ブランド・ユニットデータ �制御 �の制限 caj.co.jp/etrust/Ⅱ. リソースの保護 t Access ControlとUnixの比較 X ドの制限 stAccess 11
Ⅲ. 監査ログ eTrust Access Controlでなにがとれる 4W1HWhatz Whoz Whenz Wherez co.jp/etrust/Ⅲ. 監査ログeTrust Access ��を介してどこから24Information TitleAccessAdministratorClassCommandCommand TypeDaemonDateDetailsEffective user IDEvent typeFileHost nameLogin user IDObjectProgramReal user IDResourceServiceStatusTerminalTimeTrace InformationUser 実効UIDログインした時のオリジナル �ホスト名プロセスのUNIX 時に起こった状態 www.caj.co.jp/etrust/12
Ⅲ. 監査ログ �レーションを行った場合 1.2.3.4.5. UNIX上での履歴1.2.3.4.5. �残さない ��いeTrust Access ��替わる特定ファイル /JINJI にアクセス成功特定ファイル /KEIRI で /JINJI ro”で /KEIRI ust/Ⅲ. 監査ログ サンプルログ出力例①08 Jul 2002 10:57 D LOGIN root 59 10 TKY001 sedlang②08 Jul 2002 10:58 P LOGIN tanaka 59 2 100.35.110.100 /usr/bin/login③08 Jul 2002 11:37 D FILE tanaka Read 69 2 /test1/test1.txt /bin/ vi④08 Jul 2002 11:37 D FILE tanaka Read 69 2 /test1/test1.txt /bin/cat⑤08 Jul 2002 11:11 D SURROGATE tanaka Read 69 2 USER.root /bin/su100.35.110.100⑥08 Jul 2002 16:14 P LOGIN yamada 59 2 100.50.101.20 /bin/login⑦08 Jul 2002 16:15 P TRACE 210 210 210 0 EXECARGS: 'cp /etc/passwd *'⑧08 Jul 2002 16:15 D FILE yamada Read 55 2 /etc/inetd.conf /bin/cat 100.50.101.20⑨08 Jul 2002 16:16 O LOGOUT yamada 49 2 ��マシンから ��“tanaka”が/test1/test1.txt aka”が/test1/test1.txt ンドを実行するが失敗⑥100.50.101.20 �成功⑧100.50.101.20 .20 rust/13
�リティポリシーの一元管理 ��れる。「異種OS」環境でも可能。 ートunix系Linux系一元監査ログ �グ一元監査ログ st/14
eTrust Access Controlの4つの機能 ① 特権ユーザの管理 ② リソースの保護 ③ 監査ログ ④ http://www.caj.co.jp/etrust/15
t7.0Hostname: etrustxxxIP address xxx.xxx.xxx.xxx※eTrust Access ��なWebサーバOS:Redhut7.0Hostname:etrust015IP address:1 xxx.xxx.xxx.xxx※eTrust Access ��OS:Windows2000ServerHostname:iinhi02IP 入 設定ファイルの改竄 デーモンの停止 Webコンテンツの改竄 caj.co.jp/etrust/16
通常のWebサーバ co.jp/etrust/通常のWebサーバ ��般ユーザ http://www.caj.co.jp/etrust/17
通常のWebサーバ j.co.jp/etrust/通常のWebサーバ jp/etrust/18
通常のWebサーバ デモの動き⑥OSのスーパーユーザ 通常のWebサーバ �ド・ユニットhttp://www.caj.co.jp/etrust/19
eTrust Access Control導入サーバ co.jp/etrust/eTrust Access Control導入サーバ デモの動き②eTrust Access �パーユーザ root rust/20
eTrust Access Control導入サーバ ��般ユーザ http://www.caj.co.jp/etrust/eTrust Access Control導入サーバ ��る⑤eTrust Access ��ーザへの切り替えを許可一般ユーザ iinuma .jp/etrust/21
eTrust Access Control導入サーバ デモの動き⑥eTrust Access �般ユーザ iinuma �否User .co.jp/etrust/eTrust Access Control導入サーバ デモの動き⑦eTrust Access ��ーユーザ root �トhttp://www.caj.co.jp/etrust/22
eTrust Access Control導入サーバ �イルを変更するeTrust Access jp/etrust/eTrust Access Control導入サーバ デモの動き⑨eTrust Access �ーパーユーザ root er //www.caj.co.jp/etrust/23
eTrust Access Control導入サーバ デモの動き⑩OSのスーパーユーザ ��るWebサービスを停止するeTrust Access p://www.caj.co.jp/etrust/eTrust Access Control導入サーバ デモの動き⑪eTrust Access �可スーパーユーザ root er jp/etrust/24
eTrust Access Control導入サーバ りシステムへ侵入 設定ファイルの改竄 デーモンの停止 Webコンテンツの改竄 �ーションミスhttp://www.caj.co.jp/etrust/25
デモで使用するeTrust Access Control項目①〜④ X ドの制限 stAccess �制御特定リソースへのアクセス制御 設定ファイルの改竄 デーモンの停止 Webコンテンツの改竄 26
デモで使用するeTrust Access Control項目④〜⑥ X ��ユーザの排除 ��トコル・ポート端末の制限eTrustAccess ステムへ侵入 設定ファイルの改竄 デーモンの停止 Webコンテンツの改竄 �ーションミスhttp://www.caj.co.jp/etrust/27
・パスワードの制限 stAccess ControlOSデータログの収集 X http://www.caj.co.jp/etrust/28
eTrust Access Control クイズブランド・ユニット http://www.caj.co.jp/etrust/eTrust Access る。 か か? etrust/29
eTrust Access Control �きる。 か か? ブランド・ユニット59 http://www.caj.co.jp/etrust/eTrust Access Control �ムに � か か? etrust/30
eTrust Access とができる。 か か? ブランド・ユニット61 ��すでに導入していれば、eTrust Access Controlは必要ない。 か か? etrust/31
あるファイルに対して、 eTrust Access スすることができない か か? ブランド・ユニット63 http://www.caj.co.jp/etrust/eTrust Access LINUXだけである。 か か? etrust/32
eTrust Access ��とができる。 か か? ブランド・ユニット65 http://www.caj.co.jp/etrust/eTrust Access ��の作業が増える か か? etrust/33
eTrust Access Controlではなにができる