コマンド フィルタ リスト(CFL)の設定
コマンド フィルタリングでは、ソケット フィルタと同様に、ホワイトリストとブラックリストを使用して適切なポリシーを設定します。
capam33
コマンド フィルタリングでは、ソケット フィルタと同様に、ホワイトリストとブラックリストを使用して適切なポリシーを設定します。
- ブラックリストは、ユーザが入力できないコマンドのリストです。ユーザがそのコマンドを入力しようとした場合に、Privileged Access Managerはそのコマンドの処理をフラグ(ログ)、アラート、修復、および停止することができます。その他のすべてのコマンドは許可されています。
- ホワイトリストは、ユーザが入力できるコマンドのリストです。その他のすべてのコマンドは禁止されています。
コマンド フィルタのホワイトリストは、メインフレーム TN3270 および TN5250 アプレット用に設定できません。
ユーザ インターフェースで CFL テンプレートを使用するか、または CSV をインポートすることによって、コマンド フィルタ リスト(CFL)を作成します。CSV を使用したソケット フィルタ リストのインポートの詳細については、「コマンド フィルタ リストのインポートおよびエクスポート」を参照してください。
CFL テンプレートの使用
SFL テンプレートを使用してソケット フィルタ リストを作成および管理するには、以下の手順に従います。以下の手順に従います。
- メニュー バーから[ポリシー]-[ポリシー フィルタ管理]を選択します。
- [コマンド フィルタ]ページが表示されます。
- [追加]ボタンを選択します。[コマンド フィルタの追加]ウィンドウが表示されます。
- 作成するソケット フィルタ リストの名前を[名前]に入力します。
- リストのタイプを指定します。
- [ブラックリスト]では、リストされているコマンド文字列のみが拒否されます。ブラックリストに記載されている CLI コマンドをユーザがデバイスに対してサブミットすると、そのユーザ リクエストは拒否されます。この拒否は文字ごとに適用されます。つまり、違反の条件に一致する十分な数文字(リテラルのキーワードまたは正規表現)が入力されると、指定されたアクション(警告/ブロック)が適用されます。ブラックリストを指定しているユーザに対してポリシーを設定する必要があります。
- [ホワイトリスト]では、リストされているコマンド文字列のみが許可されます。ホワイトリストに記載されている CLI コマンドをユーザがデバイスに対してサブミットすると、そのコマンドは許可されます。入力された行の文字列ごとに、この許可が適用されます。承認テストはラインフィード/Enter/キャリッジ リターンの後に行われます。ホワイトリストを指定しているユーザに対してポリシーを設定する必要があります。
コマンド フィルタのホワイトリストは、メインフレーム TN3270 および TN5250 アプレット用に設定できません。 - 新しいキーワードを追加するには[+](プラス)アイコンを選択します。
- [キーワード]フィールドに、コマンド文字列を入力します。作成したリストの種類に応じて:
- ブラックリストを作成する場合、各キーワードをテストするには、1 つまたは複数のコントロールを選択しなければなりません。
- アラート– このチェック ボックスをオンにすると、キーワード違反が発生するごとに、監視している管理者に電子メールによるアラートが送信されます。
- ブロック– このチェック ボックスをオンにすると、キーワードが含まれているコマンド ラインはただちに取り消され、実行されません。
- 正規表現– [キーワード]フィールドで、入力された実際のコマンドに適用される正規表現を指定している場合に、このチェック ボックスをオンにします。ユーザによって入力されるコマンドは、正規表現に準拠するたびに、コマンドは違反としてフラグが立てられます。
- [正規表現]と[アラート]の両方が選択されている場合は、セキュリティ上の理由により、アラート メッセージの本文に[キーワード]の正規表現文字列は含まれません。キーワードが正規表現で単にリテラル文字の一致ではない場合、[正規表現]チェックボックスを選択する必要があります。[アラート]または[ブロック]のいずれかを選択しない限り、処理は実行できません。アラートとブロックは、違反が発生したローカル ノードのセッション ログに違反内容を記録します。たとえば、標準ユーザがクラスタ内のセカンダリ サイト ノードからアクセス方法にログインした後に違反を行った場合、その違反は特定のセカンダリ サイト クラスタ ノードのセッション ログにのみ記録されます。さらに、アラートに関する電子メールを受信する場合、管理メール アドレスを設定し、違反が発生した特定のクラスタ ノードで監視を開始する必要があります。詳細については、「監視の電子メールの設定」を参照してください。重要:ブラックリストの[キーワード]フィールドに正規表現を使用して入力する場合は、行頭のメタ文字(通常は「^」)で始めます。ただし、ブラックリストのキーワードの文字列は文字ごとに評価され、行末のメタ文字(通常は「$」)が解釈されることはないため、行末のメタ文字は不要です。例:「who -a」と正確に一致するユーザのキー入力を禁止する以下の正規表現のいずれかを[キーワード]フィールドに入力します。
- 正:^who -a
- 正:^who -a$
- 誤:who -a
- 誤:who -a$
- ホワイトリストを作成する場合、各キーワードをテストするには、以下を選択できます。
- 正規表現– [キーワード]フィールドで、入力された実際のコマンドに適用される正規表現を指定している場合に、このチェック ボックスをオンにします。Perl ベースの Oracle® java.util.regex API でサポートされている構文に従っている正規表現が許可されています。コマンドは、このホワイトリスト内の 1 つ以上の正規表現またはコマンドに適合している場合にのみ正常に実行されます。[ホワイトリスト]の[キーワード]フィールドに正規表現を使用して入力する場合、行頭メタ文字(通常は「^」)または行末メタ文字(通常は「$」)が含まれているかどうかは関係ありません。これらのメタ文字は暗黙的に含まれています。ユーザが入力した文字列は、これらの両方のメタ文字が自動的に適用されています。例:「who」に正確に一致するユーザ入力を許可する以下の正規表現のいずれかのキーワード フィールドの内容を入力します。
- 正:who
- ^who
- ^who$
- who$
例:[Ll][Ss] +この正規表現は、UNIX コマンドlsの大文字と小文字のバリエーションを許可していますが、この表現が受け付けられるには末尾に空白文字が追加されている必要があります。例:?? [Ll][Ss] +\-[LlAa][LlAa]?この正規表現は、前の例のバリアントであり、ls-alに基づいていて、大文字と小文字のバリエーションも許可されています。ただし、alの 2 文字の順序は任意であり、コマンドと引数の間には 2 つ以上の空白文字が必要です。コマンド フィルタ文字列は行頭メタ文字および行末メタ文字で固定されているため、この例では末尾のスペースは禁止されています。
- [OK]ボタンをクリックして、設定を保存します。このリストはPrivileged Access Managerで有効になり、[コマンド フィルタ]リスト ページで検査または編集できるようになりました。
コマンド フィルタ リストの検索
[検索]
フィールドを使用して、サブ文字列の文字に一致する既存コマンド フィルタ リストを検索できます。この検索では、その[名前]
フィールドに一致が存在する場合、およびそのリストの[キーワード]
フィールドのいずれかに一致が存在する場合にリストがフラグ付けされます。