パスワード攻撃の防止
最も一般的なタイプの不正アクセスは、パスワードを推測するハッカーによるアクセスです。には、パスワード攻撃を検出し防止するために以下の 2 つのツールが用意されています。
capamsc141
最も一般的なタイプの不正アクセスは、パスワードを推測するハッカーによるアクセスです。
CA Privileged Access Manager
には、パスワード攻撃を検出し防止するために以下の 2 つのツールが用意されています。- serevu
- pam_seos
パスワード攻撃を防止するもう 1 つの方法は、パスワード ポリシー ルールを設定して、お使いの環境で使用されているパスワードを制御することです。
serevu
serevu デーモンは、指定した回数を超えてログイン試行を実行したユーザのアカウントをロックします。これにより、アカウントへのそれ以上のログイン試行を拒否することによって、潜在的なパスワード攻撃を防止し、「辞書攻撃」も防止します。
通常、ユーザ ロックアウト ユーティリティの使用に伴う危険性は、システムが DoS 攻撃にさらされることです。よくあるタイプの DoS 攻撃は、システム管理者アカウントに侵入しようとします。侵入が数回試みられると、システム管理者のアカウントは無効となり、システム管理者はログインできなくなります。すべての重要なユーザ アカウントに対して類似の攻撃が実行された場合、そのシステムは使用不能になり、復旧する手段はありません。これを回避するために、serevu デーモンでは以下の 2 つの動作モードが提供されています。
- アカウントは、指定された時間だけ無効になり、その時間が経過すると自動的に復元されます。
- アカウントは永久に無効になります。
serevu は root アカウントを無効にすることはないため、システムがロックアウトされることはありません。
注:
root ユーザのパスワードに関しては、辞書攻撃が成功しないように、特別に注意を払ってください。pam_seos
pam_seos は、高度なアカウント管理機能に対して
CA Privileged Access Manager
で使用される PAM (Pluggable Authentication Module)です。CA Privileged Access Manager
は、すべてのログイン プログラムのログイン手順で pam_seos を呼び出します。このモジュールは、要求に応じて必要な機能を提供するために動的にロードできる共有オブジェクトです。以下の 3 つのアクションを実行するように pam_seos を設定できます。
- ログイン エラーの検出アカウント管理コンポーネントは、失敗したすべてのログイン試行を検出し、監査ファイルと特別な失敗ログイン ファイルの両方にその試行をログ記録します。このモジュールは、CA Privileged Access Managerではアクセスが拒否されない、UNIX の障害を検出します。CA Privileged Access Managerは、失敗したログイン試行を特別なファイルに書き込みます。serevu ユーティリティは、このファイルを読み取り、その情報を使用して、ユーザのアクセス権を無効にするかどうか、およびいつ無効にするかを判断します。
- デバッグ モードの提供CA Privileged Access Managerがログインを拒否した場合、通常はログイン セッション時に拒否理由を表示しません。pam_seos モジュールのデバッグ モードが設定されている場合、CA Privileged Access Managerはログイン拒否の理由について簡単な説明を示します。たとえば、「猶予ログイン」は、そのユーザに猶予ログインが残っていないことを意味します。
- パスワードの有効期限および猶予ログインのチェックパスワード管理コンポーネントは、ユーザ パスワードの有効期限および猶予ログインの数をチェックする segrace ユーティリティを呼び出します。ユーザ パスワードの有効期限が切れていて、そのユーザに猶予ログインが残っていない場合、segrace はユーザがパスワードを変更できるように sepass ユーティリティを呼び出します。
注:
- CA Privileged Access Managerは、パスワードの変更が必要な場合にのみ segrace を呼び出します。
- 失敗したログイン イベントを SSH から取得するには、使用している SSH のバージョンが PAM をサポートするようにコンパイルおよび設定されている必要があります。PAM をサポートしていない SSH を使用している場合、CA Privileged Access Managerは、ユーザが失敗ログイン ルールに違反しているかどうかを検出できません。
インストール プログラムによって、関連する行が pam.conf 設定ファイルに追加され、古い設定ファイルは /etc/pam.conf.bak として保存されます。
pam_seos モジュールの設定は seos.ini ファイルを介して実行されます。必要な機能に応じて、[pam_seos] セクションにある以下のトークンを設定します。
パスワードの有効期限と猶予ログインのチェックを使用するには、seos.ini ファイルで以下のトークンを設定します。
call_segrace = Yes
ログイン デバッグ モードを使用するには、seos.ini ファイルで以下のトークンを設定します。
debug_mode_for_user = Yes
serevu で pam_seos のログイン失敗検出機能を使用するには、seos.ini ファイルで以下のトークンを設定します。
serevu_use_pam_seos = Yes
制約と制限
このセクションで説明した保護方法には、以下の制約と制限があります。
- Sun Solaris では、ログインの試みに 5 回失敗すると、serevu に通知されます。
- pam_seos モジュールの実装は、PAM をサポートしている Sun Solaris、HP-UX、および Linux のバージョンに限定されます。
- AIX (バージョン 5.3 以降)で PAM を有効にしてから、CA Privileged Access Managerをインストールします。