UNIX エンドポイント管理ガイド › ログイン コマンドの制御 › 端末を使用するユーザ権限の定義

端末を使用するユーザ権限の定義

侵入者によるシステムへのアクセスをブロックする最も効果的な方法の 1 つは、端末（つまり、ログイン元）を保護することです。 ユーザがログインしたホストまたは端末（X 端末やコンソールなど）がログイン元になります。

最新アーキテクチャの端末は、UNIX が開発された当時のテレタイプ マシンとは異なります。 ほとんどのサイトでは、擬似端末サーバ（PTS）または X Window マネージャによって「擬似端末」が割り当てられます。セキュリティ システムに関して、端末の名前は意味のない記号になっています。 CA ControlMinder は、端末とみなされるものを保護します。 CA ControlMinder では、以下の 3 つの方法のいずれかで端末を定義した場合は、ログインの段階で端末の保護が実行されます。

• ユーザが X 端末から XDM ログイン ウィンドウを使用してログインする場合、CA ControlMinder では、ホスト名に（/etc/hosts、NIS、または DNS から）変換された X 端末の IP アドレスが、ログイン要求に使用された端末として認識されます。 ホスト名への変換に失敗した場合、またはホスト名ではなく IP アドレスを使用したい場合、CA ControlMinder では IP アドレスの使用を保護することもできます。
• ユーザがダム端末からログインする場合は、TTY 名によって端末が識別されます。
• ユーザがネットワークから（telnet、rlogin、rsh などを使用して）ログインする場合は、ホスト名に（/etc/hosts、NIS、または DNS によって）変換された要求元 IP アドレスが端末名として認識されます。

特定のホストに対するログイン ルールは、TERMINAL クラスで該当するホストを定義し、適切なユーザおよびグループをオブジェクトのアクセス リストに追加することによって定義できます。 各ログイン元の TERMINAL オブジェクトで日時制限を設定し、そのホストまたは端末からログインできる曜日や時間帯を制限することもできます。 また、TERMINAL クラスにワイルドカードを使用して、パターン（ホスト名または IP アドレス）と一致するホストを定義することもできます。

通常、スーパーユーザやシステム管理者などの上位の権限を持つユーザについては、セキュリティで保護された場所にある端末を使用するように制限する必要があります。 このように制限すると、スーパーユーザとしてシステムに侵入を試みる侵入者やハッカーが、自分のリモート端末からシステムに侵入することができません。システムにアクセスするには、セキュリティで保護された場所にある許可された端末の 1 台を使用しなければなりません。

ネットワーク経由のログインでは、ユーザが実際にホスト コンソールからアクセスしているという保証はありません。 ユーザは、ホストに接続された端末からアクセスしているか、要求元ホストからサービスを受信することを許可されているネットワーク内の他のノードからアクセスしている可能性があります。 別のホストからのログインをユーザに許可すると、そのユーザは特定の端末のみでなく、その端末によって許可されている他の端末からもログインできるようになります。 部門間の独立性を確実に維持するには、端末グループを定義し、各部問のユーザが、自分の所属する部門の端末グループからのみ操作を行えるように制限します。

端末の権限は、他のリソースと異なり、情報にアクセスする権限が多く与えられているユーザの端末ほど、権限を制限する必要があります。 セキュリティが確保されていないリモート端末からは誰も root ユーザとしてログインできないように、スーパーユーザの端末アクセス権を最も制限する必要があります。

CA ControlMinder では、端末を定義するときに、端末定義の所有者を明示的に指定する必要があります。 理由は、セキュリティ管理者として root ユーザがデフォルトで端末の所有者になった場合、その端末はスーパーユーザとしてのログインが可能な端末になるからです。 多くの場合、これは望ましい状態ではありません。 このような間違いによって知らないうちにセキュリティホールができないように、CA ControlMinder では、端末を定義するときに、端末の所有者を定義する必要があります。

端末 tty34 を定義するには、以下のコマンドを使用します。

newres TERMINAL tty34 defaccess(none) owner(userA)

このコマンドは、端末 tty34 のレコードを作成し、デフォルトのアクセス権を NONE に設定して、所有者として userA を定義しています。 端末の所有者である userA には、端末 tty34 からシステムにログインする権限が自動的に与えられます。

すべてのユーザに対して端末 tty34 からのログインを禁止するには、所有者として「nobody」を指定します。

newres TERMINAL tty34 defaccess(none) owner(nobody)

特定の端末からログインする権限をユーザに与えるには、以下のコマンドを入力します。

authorize TERMINAL tty34 uid(USR1)

このコマンドにより、USR1 は端末 tty34 からログインできる権限が与えられます。

端末を使用する権限をグループに与えることもできます。 たとえば、以下のコマンドでは、端末 tty34 を使用する権限をグループ DEPT1 のメンバに与えています。

authorize TERMINAL tty34 gid(DEPT1)

端末のグループ（端末グループ）を定義するには、以下のコマンドを入力します。

newres GTERMINAL TERM.DEPT1 owner(ADM1)

メンバ端末を端末グループ TERM.DEPT1 に追加するには、以下のコマンドを入力します。

chres GTERMINAL TERM.DEPT1 mem(tty34, tty35)

この端末グループを使用する権限を USR1 に与えるには、以下のコマンドを入力します。

authorize GTERMINAL TERM.DEPT1 uid(USR1)

このコマンドでは、tty34 および tty35 の両方を使用する権限を USR1 に与えています。