リファレンス ガイド › ユーティリティ › eacpg_gen ユーティリティ - ベスト プラクティス ポリシーの定義

eacpg_gen ユーティリティ - ベスト プラクティス ポリシーの定義

Linux で有効

eacpg_gen は、ポリシー生成プログラムとも呼ばれます。 このユーティリティにはメニュー方式が採用されており、CA ControlMinder アプリケーションのポリシーを容易に定義できます。 ポリシー生成プログラムは、CA ControlMinder ルールが設定されていないテスト システムで使用できます。 重要な電子資産に対してセキュリティのベスト プラクティスを適用することによって、エンタープライズ アプリケーションやオペレーティング システム、および機密データを保護することを目的としています。

アプリケーション セルは、「default-deny」パラダイムを使用して作成されます。 このポリシーは、UNIX の chroot() jail の概念に似ています。 このようなポリシーを生成してインターネットを利用するアプリケーションに適用すると、アプリケーションの使用によってホストのセキュリティが侵害されるリスクを飛躍的に減少させることができます。

1 つのアプリケーション セルは、あるアプリケーションをブロックする 1 つのアクセス制御リスト（ACL）ルールに相当します。 eacpg_gen は、アプリケーションごとに複数のアプリケーション セルを生成します。 アプリケーション セルによって、アクセスが特定のリソースのみに制限されます。 セル ポリシーで保護されたプロセスは、ポリシーによって明確にアクセスが許可されたリソース以外にはアクセスできません。 これにより、潜在的な攻撃者による権限のないディスク領域への書き込みや、権限のないバイナリ ファイルの実行を防止できます。

注： このユーティリティを実行する前に、secadmin および group secadmin がデータベースに存在していることを確認してください。

ポリシーの生成にはいくつか重要な手順があります。

• 初期化
• アプリケーションの検査
• アプリケーションのテスト
• ポリシーの生成
• ポリシーの適用
• ポリシーのテスト

このコマンドの形式は以下のようになります。

eacpg_gen ¥

[-u user] ¥
[-g group] ¥
[-p path] ¥
[-o owner] ¥
[-w wheel] ¥
[-m machine] ¥
[-a] ¥
[-s file] ¥
[-# step] ¥
[-x]

-u user

プロセスを実行するユーザを指定します。

-g group

プロセスを所有するグループの名前を指定します。

-p path

プログラムの完全パスを指定します

-o owner

ポリシーの所有者を指定します。

-w wheel

'secadmins' グループとして設定します（推奨）。

-m machine

コンピュータ名を指定します。

-a

生成されたルールを適用するかどうかを設定します。

-s file

ポリシー ルールを保存する場所の完全パスおよびファイル名を指定します。

-# step 1-2

2 に設定する必要があります。

-x

warn モードと fail モードを切り替えます。

例： ポリシー生成プログラムの実行

1. （初期化）。 ポリシー生成プログラムを実行します。

   eacpg_gen
   

2. プロンプトで「y」と入力し、システムを warn モードにします。
3. ポリシー生成プログラムに実行可能ファイルの完全パスを指定します。以下に例を示します。

   /work/WebServers/apache_1.3.26/bin/htppd
   

4. デフォルトのユーザ名を使用します。
5. デフォルトのグループ名を使用します。
6. プロンプトで「y」と入力し、情報が正しいかどうかを確認します。

   （アプリケーションの検査）。 ポリシー生成プログラムによって、ポリシーの作成対象となるプロセスについてのデータ収集が開始されます。

7. 画面に表示される情報を確認し、Enter キーを押します。
8. （アプリケーションのテスト）。 アプリケーションを起動します。 例：

   ./apachectl start
   

9. アプリケーションを停止します。 例：

   ./apachectl stop
   

   注： この時点では、アプリケーションを起動した後、停止しています。 もう一度アプリケーションを起動して、通常使用のデータを収集することをお勧めします。 検査にかける時間には、特に制限はありません。実行時間が長くなるほど、ポリシー生成プログラムが収集するデータが増加し、完成後のポリシーがより正確になります。 十分なデータを収集したら、次の手順に進みます。

10. （ポリシーの生成）。 ポリシーをファイルに保存します（「filename.txt」と入力し、Enter キーを押します）。
11. （ポリシーの適用）。 「y」と入力してポリシーを適用します。
12. 「y」と入力してシステムを Fail モードに設定し、ポリシーの実施を開始します。
13. （ポリシーのテスト）。 ポリシーをテストします。

    以下に、evil.html という名前のファイルに対して行ったポリシー テストのサンプル画面を示します。

    Linux:/srv/www/htdocs: #telnet localhost 80
    Trying ::1...
    telnet: connect to address ::1: Connection refused
    Trying 127.0.0.1...
    Connected to localhost.
    Escape character is '^]'.
    GET /evil.html
    <!DOCTYPE HTML PUBLIC “-//IETF//DTD HTML 2.0//EN”>
    <HTML><HEAD>
    <TITLE>403 Forbidden</TITLE>
    <HEAD><BODY>
    <H1>Forbidden</H1>
    You don't have permission to access /evil.html
    on the server. <P>
    <HR>
    <ADDRESS>Apache/1.3.26 Server at linux.local Port 80</ADDRESS>
    </BODY></HTML>
    Connection closed by foreign host.
    Linux:/srv/www/htdocs# []
    

    ポリシーが適用されたため、evil.html というファイルは無効になりました。 これは、ファイルが通常使用のプロファイルの範囲外であったためです。