PROCESS クラス
PROCESS クラスの各レコードは、プログラム(実行可能ファイル)を定義します。それぞれのアドレス空間で実行するプログラムは、(kill コマンドによって)強制終了またはデバッグされないように保護する必要があります。特に、主要なユーティリティやデータベース サーバは、そのプロセスがサービス妨害(DoS)攻撃の主な標的になりやすいため、保護することをお勧めします。
capamsc141
PROCESS クラスの各レコードは、プログラム(実行可能ファイル)を定義します。それぞれのアドレス空間で実行するプログラムは、(kill コマンドによって)強制終了またはデバッグされないように保護する必要があります。特に、主要なユーティリティやデータベース サーバは、そのプロセスがサービス妨害(DoS)攻撃の主な標的になりやすいため、保護することをお勧めします。
注:
PROCESS クラスにプログラムを定義する場合、FILE クラスにもプログラムを定義することをお勧めします。それにより、承認なく実行可能ファイルを変更(置き換えまたは破損)できなくなり、実行可能ファイルが保護されます。PROCESS クラスは、以下の 2 つのアクセス制御属性を含むようになりました。
- readプロセスの強制終了を許可します
- attachプロセスのアタッチを許可します
両方の属性は、相互に独立しており、同時に設定できます。
注:
現在のリリースで導入されている PROCESS クラスの ATTACH 属性はエンドポイント管理 UI で利用できません。ATTACH アクセス権は、エンドポイント管理 UI でアクセス権 All が PROCESS クラス オブジェクトに対して選択されていても、ルールに対して適用されません。KILL 属性
Privileged Access Manager
では、通常の終了シグナル(SIGTERM)と、アプリケーションがマスクできない 2 つのシグナル(SIGKILL および SIGSTOP)の 3 つの終了シグナル(kill)からプロセスを保護することができます。環境 | シグナル | Number |
Windows | KILL | Win32 API |
UNIX | Terminate Process | 9 |
UNIX および Windows | STOP | マシンによって異なります。 |
UNIX および Windows | TERM | 15 |
SIGHUP や SIGUSR1 などのその他のシグナルは、ターゲットとなるプロセスに渡されます。そのプロセスでは、終了シグナルを無視するかどうか、あるいは何らかの方法でそのシグナルに対処するかどうかを決定します。
PROCESS クラス レコードのキーは、レコードが保護するプログラムの名前です。完全パスを指定します。
ATTACH 属性
PROCESS クラスの ATTACH 属性は、デバッグまたはトレースを目的とする他のプロセスによるアタッチを定義済みのプロセスに許可します。ただし、これらのプロセスが、許可されたユーザによって実行されていることを条件とします。
注:
Linux および AIX オペレーティング システムでのみ、ATTACH 属性がサポートされます。PROCESS クラスを使用して ATTACH 属性を定義するには、権限を付与するプロセスのレコードを作成します。所有者がなく、定義されたアクセス権がないレコードを作成します。Selang ルールを使用し、root で実行されている他のプロセスによってアタッチされるように作成したプロセスに権限を付与できます。
プロセスに対する KILL アクセスを拒否し、同じプロセスに対して ATTACH アクセスを許可した場合、アクセス権 ATTACH を持つプロセスによってそのプロセスを強制終了できます。
PROCESS クラスのプロパティ
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。「
情報のみ
」と記載されているプロパティは変更できません。- ACLリソースへのアクセスを許可されているアクセサ(ユーザおよびグループ)のリスト、およびアクセサのアクセス タイプを定義します。アクセス制御リスト(ACL)の各要素には、以下の情報が含まれます。
- Accessorアクセサを定義します。
- アクセスアクセサに与えられる、リソースに対するアクセス権限を定義します。
- CATEGORYユーザまたはリソースに割り当てる 1 つ以上のセキュリティ カテゴリを定義します。
- COMMENTレコードに含める追加情報を定義します。Privileged Access Managerは、この情報を許可に使用しません。制限:255 文字。
- CREATE_TIME(情報のみ)レコードが作成された日時が表示されます。
- DAYTIMEアクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。日時の制約の単位は 1 分です。
- GROUPSリソース レコードが属する CONTAINER クラスのレコードのリストを定義します。クラス レコードでこのプロパティを変更するには、適切な CONTAINER クラスのレコードで MEMBERS プロパティを変更する必要があります。このプロパティを変更するには、chres コマンド、editres コマンド、またはnewres コマンドの mem+ または mem- パラメータを使用します。
- NACL
リソースの
NACL
プロパティは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ(write など)と共に定義するアクセス制御リストです。ACL、CALACL、PACL も参照してください。NACL の各エントリには、以下の情報が含まれます。Accessor
アクセサを定義します。
- アクセスアクセサに対して拒否されるアクセス タイプを定義します。
このプロパティを変更するには、authorize deniedaccess コマンドまたは authorize- deniedaccess- コマンドを使用します。
NOTIFY
リソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。
Privileged Access Manager
では、指定したユーザに監査レコードを電子メールで送信できます。制限:
30 文字。OWNER
レコードを所有するユーザまたはグループを定義します。
PACL
アクセス要求が特定のプログラム(または名前パターンに一致するプログラム)とそのアクセス タイプを使用して行われる場合に、リソースへのアクセスが許可されるアクセサのリストを定義します。プログラム アクセス制御リスト(PACL)の各要素には、以下の情報が含まれます。
- Accessorアクセサを定義します。
- プログラム指定またはワイルドカード パターン一致によって、PROGRAM クラスのレコードへの参照を定義します。
- アクセスアクセサに与えられる、リソースに対するアクセス権限を定義します。
注:
PACL のリソースの指定にはワイルドカード文字を使用できます。プログラム、アクセサ、およびそのアクセス タイプを PACL に追加するには、selang の authorize コマンドで via(
pgm
) パラメータを使用します。アクセサを PACL から削除するには、authorize- コマンドを使用します。RAUDIT
Privileged Access Manager
が監査ログに記録するアクセス イベントのタイプを定義します。RAUDIT という名前は Resource
AUDIT
の短縮形です。有効な値は以下のとおりです。- すべてすべてのアクセス要求
- success許可されたアクセス要求
- failure拒否されたアクセス要求(デフォルト)
- noneアクセス要求を記録しない
Privileged Access Manager
では、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたか、またはそのリソースをメンバとするグループまたはクラスに適用されたか、については記録されません。監査モードを変更するには、chres コマンドおよび chfile コマンドの audit パラメータを使用します。
SECLABEL
ユーザまたはリソースのセキュリティ ラベルを定義します。
注:
SECLABEL プロパティは、chres コマンドと ch[x]usr コマンドの label[-] パラメータに相当します。SECLEVEL
アクセサまたはリソースのセキュリティ レベルを定義します。
注:
このプロパティは、ch[x]usr コマンドと chres コマンドの level[-] パラメータに相当します。UACC
リソースに対するデフォルトのアクセス権限を定義します。 これは、
Privileged Access Manager
に定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに付与されるアクセス権限を示します。このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドで defaccess パラメータを使用します。
UPDATE_TIME
(情報)レコードが最後に変更された日時を表示します。
UPDATE_WHO
(情報)更新を実行した管理者を表示します。
WARNING
警告モードを有効にするかどうかを指定します。リソースの警告モードを有効にすると、そのリソースに対するアクセス要求はすべて許可され、アクセス要求がアクセス ルールに違反した場合、監査ログにレコードが記録されます。