警告モード
内容
capamsc141
内容
警告モードとは、リソースに適用できるプロパティであると同時に、クラスに適用できるオプションです。警告モードがリソースまたはクラスに適用されている場合にアクセス ルールのアクセス違反が発生すると、
PAM Server Control
は、エントリにリターン コード「W」を付けて監査ログに記録します。ただし、製品はリソースへのアクセスを許可します。クラスが警告モードの場合は、そのクラス内のすべてのリソースが警告モードになります。警告モードは、
PAM Server Control
が Full Enforcement モードの場合にのみ有効です。Full Enforcement モードは、
PAM Server Control
for UNIX がサポートする唯一のモードです。PAM Server Control
for Windows は、監査のみモードもサポートしています。警告モードは、アクセス ポリシーを導入または変更する場合に使用できます。警告モードを使用する場合は、ポリシーを有効にする前に、監査ログで対象となるポリシーの結果を事前に確認することができます。監査ログを表示するには、seaudit コマンドを使用します。
クラスにプロパティ
warning
がある場合は、クラスを警告モードに設定できます。リソース グループまたはクラスが警告モードの場合に、アクセス ルール違反が発生すると、PAM Server Control
は、以下の手順に従います。- アクセスを許可します。
- (リソース グループまたはクラスではなく)そのリソースを参照するエントリを監査ログに記録します。
リソースの警告モードの設定とクラスの警告モードの設定は独立しています。リソースを警告モードに設定した場合、そのリソースが属するクラスから警告モードを削除したとしても、そのリソースは警告モードのままとなります。
リソースまたはクラスを警告モードに設定できるのは、リソースまたはクラスにプロパティ
warning
がある場合のみで、必ずしもすべてのリソースまたはクラスにこのプロパティがあるわけではありません。リソースの警告モードの設定
リソースを警告モードに設定することで、アクセス ルールを適用することなく、アクセス ルールの効果を監視できます。
リソースを警告モードに設定するには、以下の手順に従います。
- PAM Server Controlエンドポイント管理で、警告モードに設定するリソースを編集します。適切な[変更]ページが表示されます。
- [監査]タブをクリックします。リソースに対する[監査モード]ページが表示されます。
- [警告モード]を選択し、[保存]をクリックします。変更したリソースが警告モードになります。
警告モードでは、アクセスが許可されてもアクセス ルール違反が発生した場合は、
PAM Server Control
によって必ず警告レコードが監査ログに記録されます。したがって、この目的でリソースに audit プロパティを設定する必要はありません。例: ファイルを警告モードに設定する
以下の selang の例では、ファイル c:\myfile を警告モードに設定します。
chres FIlE c:\myfile warning
例: ファイルから警告モードをクリアする
以下の selang の例では、ファイル c:\myfile の警告モードを無効にします。
chres FIlE c:\myfile warning-
myfile の警告モードは無効になるので、
PAM Server Control
によって myfile に対するアクセス ルールが適用されます。例: 端末を警告モードに設定する
以下の selang の例では、端末 myterminal を警告モードに設定します。
chres terminal myterminal warning
この場合、
PAM Server Control
は権限のあるユーザによる端末 myterminal からのアクセスを許可します。ただし、製品は、その端末からのアクセスが通常拒否されるユーザについて監査レコードをログに記録します。クラスを警告モードに設定する
capamsc141
個々のレコードを警告モードに設定するのではなく、クラス内のすべてのレコードを警告モードに設定することができます。警告モードを使用することで、アクセス ルールを適用することなく、アクセス ルールの効果を監視できます。
クラスを警告モードに設定する方法
- エンドポイント管理で、以下のことを実行します。
- [設定]をクリックします。
- [クラスのアクティブ化]をクリックします。
- [警告]モードに設定するクラスの[警告]列のチェック ボックスをオンにします。
- [保存]をクリックします。確認メッセージが表示され、 のオプションが正常に更新されたことが通知されます。
警告モードが指定されたリソースの確認
警告モードは、
PAM Server Control
を実装する際の一時的な手段として使用します。ユーザが必要とするリソースへの必要なアクセス権を持っていることを確認したら、警告モードをオフにします。そうすると、PAM Server Control
は関連するルールの適用を開始します。警告モードであるリソースを確認するために、警告モードであるすべてのリソースを示すレポートを作成します。
レポートを作成するには、以下のコマンドを入力します。
sereport -f pathname.html -r 6
PAM Server Control
によってレポートが作成されます。sereport ユーティリティの詳細については「
リファレンス ガイド
」を参照してください。警告モードであるクラスの確認
capamsc141
警告モードは、 を実装する際の一時的な手段として使用する必要があります。ユーザが必要とするリソースへの必要なアクセス権を持っていることを確認したら、警告モードをオフにします。そうすると、 は関連するルールの適用を開始します。
警告モードになっているクラスを確認するために、 でこのデータを表示することができます。
このデータを表示するには、以下の selang コマンドを入力します。
setoptions cwarnlist
は、警告モードになっているクラスを示す表を表示します。
setoptions の詳細については、「selang リファレンス ガイド」を参照してください。
システム メンテナンスの実行方法
capamsc141
システムをアップグレードしたり、新しいアプリケーションをインストールするために、特定の時間にシステム メンテナンスを実行しなければならない場合があります。システム メンテナンス中は、 ルールを警告モードに設定する必要があります。メンテナンスが必要なリソースへのユーザ アクセスに影響しないことが確認できたら、警告モードをオフにする必要があります。そうすると、 は関連ルールの適用を開始します。
システム メンテナンスの実行時に警告モードを使用するには、以下の操作を行います。
- メンテナンスを開始する前に、以下の selang ルールを使用して、該当するクラスを警告モードに設定します。setoptions class(NAME) flags(W)
- メンテナンスを実行します。
- メンテナンスの実行後、seretrust ユーティリティを実行します。seretrust ユーティリティは selang コマンドを生成します。このコマンドは、データベースで定義されているプログラムおよびセキュア ファイルを再度 trusted 状態にするために必要です。
- selang コマンドを実行して、データベース内で定義されたプログラムを再度 trust 状態にします。
- 以下の selang ルールを使用して、ポリシー適用を有効にするために、クラスから警告モードを削除します。setoptions class(NAME) flags-(W)
- 監査ログ ファイルを確認します。監査ログには、メンテナンスによる影響を受けたリソースの警告が含まれています。
seretrust ユーティリティの詳細については「リファレンス ガイド」を参照してください。