TCP/IP サービスの制限
オープンなネットワーク環境では、すべての端末でネットワーク上の他のコンピュータにサービスを要求できます。TCP/IP プロトコルを使用すると、多数のサービスを提供できます。その中には、rlogin、rcp、rsh、ftp、telnet、rexec など、UNIX ベースのすべてのオペレーティング システムに共通するサービスが含まれます。他のサービスは、社内およびサードパーティのソフトウェアから提供されます。
capamsc141
オープンなネットワーク環境では、すべての端末でネットワーク上の他のコンピュータにサービスを要求できます。TCP/IP プロトコルを使用すると、多数のサービスを提供できます。その中には、rlogin、rcp、rsh、ftp、telnet、rexec など、UNIX ベースのすべてのオペレーティング システムに共通するサービスが含まれます。他のサービスは、社内およびサードパーティのソフトウェアから提供されます。
Privileged Access Manager
は、ホスト コンピュータで TCP/IP の受信処理をインターセプトし、受信プログラムを通常どおり続行するか、または変更するかを判断します。Privileged Access Manager
ではこの判断は、ホストおよびサービスを制御する定義したアクセス ルールに基づいて行われます。データベースで TCP/IP アクセス ルールを作成して、特定のコンピュータからファイル転送、リモート ログイン、リモート シェルなどのサービスを受信するコンピュータとネットワークを指定できます。以下の例では、TCP/IP アクセス ルールを定義し、不正な部外者を効果的にブロックするための設定方法を示します。データベースの作成が完了していない場合は、データベースに定義されていない端末が任意のサービスを受信するように設定できます。その場合は、UACC クラスの HOST レコードを以下のように設定します。
chres UACC HOST defaccess(READ)
ローカル ホストから送信される TCP/IP サービスに関するアクセス ルールを設定する端末を、データベースの HOST クラスのレコードに定義します。各端末に許可するサービスをこのレコードに指定します。たとえば、以下の一連のコマンドでは、端末 ws5 のレコードを定義し、その端末がローカル ホストから TCP/IP サービスを受信できないようにします。
newres HOST ws5authorize HOST ws5 service(*) access(NONE)
以下のコマンドでは、ws5 がローカル コンピュータに対して telnet を実行することを許可します。
authorize HOST ws5 service(telnet)
これらの設定によって、ユーザは、telnet を使用してローカル コンピュータに接続できます。この場合、リモート ユーザは、ローカル システムを使用する前に、ユーザ名とパスワードを指定する必要があります。service のキーワードにアスタリスクを使用すると、端末はローカル コンピュータからすべての TCP/IP サービスを受信することができます。たとえば、以下のコマンドを使用すると、端末 ws5 は、ローカル コンピュータから任意の TCP/IP サービスを呼び出すことができます。
authorize HOST ws5 service(*)
サービスは、ポート番号による指定など複数の方法で指定できます。ポート番号はサービスの識別番号です。すべてのサービスにはポート番号があります。このポート番号は、/etc/services ファイルでサービスに割り当てられています。サービスは以下の方法で指定できます。
- /etc/services ファイルに定義されている名前で指定します。
- ポート番号で指定します。
- ポート番号の範囲として指定します。
- /etc/rpc システム ファイルに設定されている RPC ポートとして指定します。
たとえば、以下のコマンドでは、ws5 に対して、ポート番号が 7045 から 7050 までの TCP/IP サービスの受信を許可しています。
authorize HOST ws5 service(7045-7050)
多くの場合、ホストのグループを定義しこの許可を 1 回で設定する方が、個々のコンピュータに対して許可を与えるよりはるかに効率的です。
Privileged Access Manager
には GHOST クラスがあり、各 GHOST レコードでホストのグループが定義されます。GHOST レコードを定義してホストをそのメンバ リストに追加するには、以下のコマンドを入力します。newres GHOST gh1 mem(ws2, ws3, ws5)authorize GHOST gh1 service(ftp)
newres コマンドによって、メンバ ws2、ws3、および ws5 を含む gh1 というホスト グループが定義されます。authorize コマンドによって、この 3 台の端末すべてに FTP(ファイル転送)サービスの受信が許可されます。
ホスト グループの管理は個々に端末を管理するより簡単ですが、柔軟性を持たせるために、
Privileged Access Manager
では、ネットワーク アクセス ルールの定義もサポートされています。ネットワークは HOSTNET クラスで定義します。例として、以下のような一連のコマンドを考えてみましょう。newres HOSTNET hn1 mask(255.555.0.0) match(192.168.0.0)authorize HOSTNET hn1 service(*) access(NONE)authorize HOSTNET hn1 service(ftp)
- 最初の行の newres コマンドでは、hn1 というネットワークを定義しています。newres コマンドは、mask と match の値によって、IP アドレスの最初の 2 つの修飾子が 192.168 であるコンピュータが hn1 ネットワークに属していることを指定します。
- 2 行目と 3 行目の組み合わせでは、hn1 ネットワークに属するすべての端末に対して FTP を実行する許可が与えられます。ただし、ホスト コンピュータのその他のサービスは許可されません。
TCP/IP アクセス ルールを定義するためにこの製品で使用できるもう 1 つの方法は、名前パターン アクセス ルールです。この製品では、ワイルドカードを使用して HOSTNP クラス(ホスト名パターン)の包括的なレコードを定義できます。
注:
Privileged Access Manager
で行われる文字列マッチングの詳細については、「selang リファレンス
」セクションを参照してください。たとえば、以下の一連のコマンドでは、文字列「lin」で始まり、「.org.com」で終わる名前を持つすべてのホストに、ローカル ホスト上のすべての TCP/IP サービスの受信を許可しています。
newres HOSTNP lin*.org.com authorize HOSTNP lin*.org.com service(*).
注:
NIS によって管理されるホストは、別名ではなく、NIS マップに示されている公式の名前で識別する必要があります。以下のセクションのフローチャートに TCP/IP チェックの流れをまとめて示します。