TERMINAL クラスのデフォルト アクセス権が READ の場合、loopback 端末、ローカル ホスト端末、および端末ホスト名の使用を制限する必要があります。 これらの端末の使用をユーザに許可すると、他のすべてのユーザは、ターゲット ユーザのパスワードを知っている場合に自分のユーザ ID を置換することができます。 例として次の場合を考えてみましょう。
ユーザ U は、ユーザ ID として root を指定し、root のパスワードを入力して、telnet loopback コマンドを実行するだけで、この一連のアクセス ルールを簡単に省略できます。 このようにして、ユーザは、スーパーユーザのログインが許可されていない端末 T からスーパーユーザ セッションを開始できます。 ユーザは、ローカル ホスト、または端末のホスト名を利用することによって、同様にアクセス ルールを無視できます。
このような 3 つの脆弱性を制限するには、以下の定義を使用します。
newres TERMINAL loopback defaccess(N) owner(nobody) newres TERMINAL localhost defaccess(N) owner(nobody) chres TERMINAL hostname defacc(N) owner(nobody)
このセキュリティ違反は、ローカル ホストからの telnet、FTP などの TCP 要求を制限することによっても防止できます。
また、TERMINAL グループのデフォルト アクセス権を NONE に設定して、TERMINAL ルールおよび GTERMINAL ルールを指定することによっても防止できます。
|
Copyright © 2013 CA.
All rights reserved.
|
|