Privileged Access Manager Server Control による UNIX の保護方法
PAM SC が、保護が必要なシステム サービスにフックを設定して、サービスが実行される前に制御を引き受ける方法について説明します。
capamsc141
Privileged Access Manager
は、オペレーティング システムの初期化が終了するとただちに開始されます。Privileged Access Manager
によって、保護の必要なシステム サービスにフックが設定されます。このようにして、サービスが実行される前に Privileged Access Manager
に制御が渡されます。サービスをユーザに許可するかどうかが決定されます。たとえば、
Privileged Access Manager
によって保護されているリソースにユーザがアクセスしようとします。このアクセス要求によって、カーネルに対してリソースのオープンを指示するシステム コールが生成されます。Privileged Access Manager
そのシステム コールは によってインターセプトされ、アクセスを許可するかどうかが決定されます。アクセスが許可された場合は、Privileged Access Manager
によって通常のシステム サービスに制御が渡されます。 アクセスが許可されない場合は、システム コールをアクティブにしたプログラムに、permission-denied 標準エラー コードが返されます。システム コールが終了します。これは、データベースに定義されたアクセス ルールとポリシーに基づいて決定されます。データベースには、アクセサとリソースという 2 種類のオブジェクトが定義されています。
アクセサ
とは、ユーザおよびグループのことです。リソース
とは、ファイルやサービスなど、保護対象のオブジェクトのことです。データベース内の各レコードには、アクセサまたはリソースが定義されています。各オブジェクトはクラスに属します。クラスは、同じタイプのオブジェクトの集合です。たとえば、TERMINAL は、
Privileged Access Manager
によって保護されている端末(ワークステーション)であるオブジェクトを含むクラスです。クラスのアクティブ化
Privileged Access Manager
には、CLASS がデータベース内でアクティブまたは非アクティブのいずれであるかに関する情報が格納されます。Privileged Access Manager
を起動すると、アクティブなクラスのリストが SEOS_syscall に渡されます。したがって、Privileged Access Manager
が常にこれらのクラスをインターセプトする必要はありません。Privileged Access Manager
がクラスをインターセプトするのは、ユーザがクラスのアクティビティ ステータスを変更した場合のみです。クラスがアクティブでない場合、リソースへのアクセスはインターセプトされません。FILE、HOST、TCP、CONNECT、および PROCESS クラスについては、アクティブでないクラスのインターセプトを省略できます。
アクセサ エレメント
アクセサ エレメント
(ACEE)は各ユーザを表します。アクセサ エレメントは、データベースに格納されているユーザのレコードをメモリ内に反映したものです。Privileged Access Manager
は、ログイン プロセス時にアクセサ エレメントを作成します。アクセサ エレメントは、ユーザのプロセスと関連付けられます。Privileged Access Manager
によって保護されているシステム サービスをプロセスが要求するたびに、またはプロセスがリソースにアクセスするために暗黙的な要求を発行するたびに、製品はそのリソースのレコードにアクセスします。次に、以前に作成されたアクセサ エレメントの情報(ユーザのセキュリティ レベル、モード、グループなど)から、ユーザがリソースへのアクセスを許可されているかどうかを判断します。