端末を使用するユーザ権限の定義

侵入者によるシステムへのアクセスをブロックする最も効果的な方法の 1 つは、端末(つまり、ログイン元)を保護することです。ユーザがログインしたホストまたは端末(X 端末やコンソールなど)がログイン元になります。
capamsc141
侵入者によるシステムへのアクセスをブロックする最も効果的な方法の 1 つは、端末(つまり、ログイン元)を保護することです。ユーザがログインしたホストまたは端末(X 端末やコンソールなど)がログイン元になります。
最新アーキテクチャの端末は、UNIX が開発された当時のテレタイプ デバイスとは異なります。ほとんどのサイトでは、擬似端末サーバ(PTS)または X Window マネージャによって擬似端末が割り当てられます。セキュリティ システムに関して、端末の名前は意味のない記号になっています。
Privileged Access Manager
は、端末とみなされるものを保護します。以下の 3 つの方法のいずれかで端末を定義した場合に、ログインの段階で端末の保護が実行されます。
  • ユーザが X 端末から XDM ログイン ウィンドウを使用してログインする場合、
    Privileged Access Manager
    では、ホスト名に(/etc/hosts、NIS、または DNS から)変換された X 端末の IP アドレスが、ログイン要求に使用された端末として認識されます。ホスト名への変換に失敗した場合、またはホスト名ではなく IP アドレスを使用したい場合、IP アドレスの使用を保護することもできます。
  • ユーザがダム端末からログインする場合は、TTY 名によって端末が識別されます。
  • ユーザがネットワークから(Telnet、rlogin、rsh などを使用して)ログインする場合は、ホスト名に(/etc/hosts、NIS、または DNS によって)変換された要求元 IP アドレスが端末名として認識されます。
特定のホストに対するログイン ルールを定義するには、TERMINAL クラスで該当するホストを定義します。オブジェクトのアクセス リストに、適切なユーザおよびグループを追加します。各ログイン元で、このホストまたは端末からログインできる曜日や時間帯を制限することもできます。これを行うには、TERMINAL オブジェクトに対する曜日と時間帯の制限を設定します。TERMINAL クラスにワイルドカードを使用して、パターン(ホスト名または IP アドレス)と一致するホストを定義します。
通常、スーパーユーザやシステム管理者などの上位の権限を持つユーザについては、セキュリティで保護された場所にある端末を使用するように制限されます。このように制限すると、スーパーユーザとしてシステムに侵入を試みる侵入者やハッカーが、自分のリモート端末からシステムに侵入することができません。システムにアクセスするには、セキュリティで保護された場所にある許可された端末の 1 台を使用しなければなりません。
ネットワーク経由のログインでは、ユーザが実際にホスト コンソールからアクセスしているという保証はありません。ユーザは、ホストに接続された端末からアクセスしているか、要求元ホストからサービスを受信することを許可されているネットワーク内の他のノードからアクセスしている可能性があります。別のホストからのログインをユーザに許可すると、そのユーザは特定の端末のみでなく、その端末によって許可されている他の端末からもログインできるようになります。部門間の独立性を確実に維持するには、端末グループを定義します。各部門のユーザが、自分の所属する部門の端末グループからのみ操作を行えるように制限します。
端末の権限は、他のリソースと異なり、情報にアクセスする権限が多く与えられているユーザの端末ほど、権限を制限する必要があります。スーパーユーザの端末アクセス権を最も制限する必要があります。この制限により、セキュリティが確保されていないリモート端末からは誰も root ユーザとしてログインできないようにします。
Privileged Access Manager
では、端末を定義するときに、端末定義の所有者を明示的に指定する必要があります。この理由は、セキュリティ管理者として root ユーザがデフォルトで端末の所有者になった場合、その端末はスーパーユーザとしてのログインが可能な端末になるからです。多くの場合、これは望ましい状態ではありません。このような間違いによって知らないうちにセキュリティホールが発生しないように、
Privileged Access Manager
では、端末を定義するときに、端末の所有者を定義する必要があります。
端末 tty34 を定義するには、以下のコマンドを使用します。
newres TERMINAL tty34 defaccess(none) owner(userA)
このコマンドは、端末 tty34 のレコードを作成し、デフォルトのアクセス権を NONE に設定して、所有者として userA を定義しています。端末の所有者である userA には、端末 tty34 からシステムにログインする権限が自動的に与えられます。
すべてのユーザに対して端末 tty34 からのログインを禁止するには、所有者として「nobody」を指定します。
newres TERMINAL tty34 defaccess(none) owner(nobody)
特定の端末からログインする権限をユーザに与えるには、以下のコマンドを入力します。
authorize TERMINAL tty34 uid(USR1)
このコマンドにより、USR1 は端末 tty34 からログインできる権限が与えられます。
端末を使用する権限をグループに与えることもできます。たとえば、以下のコマンドでは、端末 tty34 を使用する権限をグループ DEPT1 のメンバに与えています。
authorize TERMINAL tty34 gid(DEPT1)
端末のグループ(端末グループ)を定義するには、以下のコマンドを入力します。
newres GTERMINAL TERM.DEPT1 owner(ADM1)
メンバ端末を端末グループ TERM.DEPT1 に追加するには、以下のコマンドを入力します。
chres GTERMINAL TERM.DEPT1 mem(tty34, tty35)
この端末グループを使用する権限を USR1 に与えるには、以下のコマンドを入力します。
authorize GTERMINAL TERM.DEPT1 uid(USR1)
このコマンドでは、tty34 および tty35 の両方を使用する権限を USR1 に与えています。