パスワード攻撃を防止するための PAM SC ツール

パスワードを推測するハッカーによる不正アクセスを防止する方法について説明します。
capamsc141
最も一般的なタイプの不正アクセスは、パスワードを推測するハッカーによるアクセスです。
CA Privileged Access Manager
には、パスワード攻撃を検出し防止するために以下の 2 つのツールが用意されています。
  • serevu
  • pam_seos
パスワード攻撃を防止するもう 1 つの方法は、パスワード ポリシー ルールを設定して、お使いの環境で使用されているパスワードを制御することです。

serevu

serevu デーモンは、指定した回数を超えてログイン試行を実行したユーザのアカウントをロックします。これにより、アカウントへのそれ以上のログイン試行を拒否することによって、潜在的なパスワード攻撃を防止し、「辞書攻撃」も防止します。
通常、ユーザ ロックアウト ユーティリティの使用に伴う危険性は、システムが DoS 攻撃にさらされることです。よくあるタイプの DoS 攻撃は、システム管理者アカウントに侵入しようとします。侵入が数回試みられると、システム管理者のアカウントは無効となり、システム管理者はログインできなくなります。すべての重要なユーザ アカウントに対して類似の攻撃が実行された場合、そのシステムは使用不能になり、復旧する手段はありません。これを回避するために、serevu デーモンでは以下の 2 つの動作モードが提供されています。
  • アカウントは、指定された時間だけ無効になり、その時間が経過すると自動的に復元されます。
  • アカウントは永久に無効になります。
serevu は root アカウントを無効にすることはないため、システムがロックアウトされることはありません。
注:
root ユーザのパスワードに関しては、辞書攻撃が成功しないように、特別に注意を払ってください。

pam_seos

pam_seos は、高度なアカウント管理機能に対して
CA Privileged Access Manager
で使用される PAM (Pluggable Authentication Module)です。
CA Privileged Access Manager
 は、すべてのログイン プログラムのログイン手順で pam_seos を呼び出します。このモジュールは、要求に応じて必要な機能を提供するために動的にロードできる共有オブジェクトです。
以下の 3 つのアクションを実行するように pam_seos を設定できます。
  • ログイン エラーの検出
    アカウント管理コンポーネントは、失敗したすべてのログイン試行を検出し、監査ファイルと特別な失敗ログイン ファイルの両方にその試行をログ記録します。このモジュールは、
    CA Privileged Access Manager
    ではアクセスが拒否されない、UNIX の障害を検出します。
    CA Privileged Access Manager
     は、失敗したログイン試行を特別なファイルに書き込みます。serevu ユーティリティは、このファイルを読み取り、その情報を使用して、ユーザのアクセス権を無効にするかどうか、およびいつ無効にするかを判断します。
  • デバッグ モードの提供
    CA Privileged Access Manager
    がログインを拒否した場合、通常はログイン セッション時に拒否理由を表示しません。pam_seos モジュールのデバッグ モードが設定されている場合、
    CA Privileged Access Manager
    はログイン拒否の理由について簡単な説明を示します。たとえば、「猶予ログイン」は、そのユーザに猶予ログインが残っていないことを意味します。
  • パスワードの有効期限および猶予ログインのチェック
    パスワード管理コンポーネントは、ユーザ パスワードの有効期限および猶予ログインの数をチェックする segrace ユーティリティを呼び出します。ユーザ パスワードの有効期限が切れていて、そのユーザに猶予ログインが残っていない場合、segrace はユーザがパスワードを変更できるように sepass ユーティリティを呼び出します。
注:
  • CA Privileged Access Manager
     は、パスワードの変更が必要な場合にのみ segrace を呼び出します。
  • 失敗したログイン イベントを SSH から取得するには、使用している SSH のバージョンが PAM をサポートするようにコンパイルおよび設定されている必要があります。PAM をサポートしていない SSH を使用している場合、
    CA Privileged Access Manager
    は、ユーザが失敗ログイン ルールに違反しているかどうかを検出できません。
インストール プログラムによって、関連する行が pam.conf 設定ファイルに追加され、古い設定ファイルは /etc/pam.conf.bak として保存されます。
pam_seos モジュールの設定は seos.ini ファイルを介して実行されます。必要な機能に応じて、[pam_seos] セクションにある以下のトークンを設定します。
パスワードの有効期限と猶予ログインのチェックを使用するには、seos.ini ファイルで以下のトークンを設定します。
call_segrace = Yes
ログイン デバッグ モードを使用するには、seos.ini ファイルで以下のトークンを設定します。
debug_mode_for_user = Yes
serevu で pam_seos のログイン失敗検出機能を使用するには、seos.ini ファイルで以下のトークンを設定します。
serevu_use_pam_seos = Yes

制約と制限

このセクションで説明した保護方法には、以下の制約と制限があります。
  • Sun Solaris では、ログインの試みに 5 回失敗すると、serevu に通知されます。
  • pam_seos モジュールの実装は、PAM をサポートしている Sun Solaris、HP-UX、および Linux のバージョンに限定されます。
  • AIX (バージョン 5.3 以降)で PAM を有効にしてから、
    CA Privileged Access Manager
    をインストールします。