SMHでらくらくHP-UXシステム管理

第6回：secwebによるセキュリティ属性管理

≫ HP-UX 11i
Knowledge-on-Demand

≫コラム

≫連載
≫特集、特別企画

ドキュメント/ツール

HPラボ

≫Webキャスト

secwebによるセキュリティ属性設定

今回紹介する「Security Attributes Configurationツール(secweb)」は、SMHに備わるツール群のひとつで、HP-UXユーザに関連するさまざまなセキュリティ属性の設定をWebベースで実施する機能を提供します。なおsecwebは、WebベースのSMH以外にも、SAM（端末ベース）やSIM（Webベース）から呼び出すことが可能です。

HP-UXでは、主に以下のようなセキュリティ属性が利用されています。

表：HP-UXで用いられる主なセキュリティ属性
属性の種類	内容
ログイン属性	ログイン時間、同時ログイン数、アカウントをロックするまでに許容されるログインの失敗回数など、ログイン動作の挙動を管理します。
パスワード属性	パスワードの長さ、文字数および文字の種類、パスワード履歴の個数、パスワードが変更できるようになる最短日数、パスワードの期限切れなど、パスワードの挙動を管理します。
ブート属性	システムをシングルユーザモードでブートするための認証ユーザを定義して、ブート認証機能を制御します。
スイッチユーザ (su) 属性	PATH 環境変数の値、su コマンドのルートグループ名、su が特定の環境変数を伝播するかどうかを定義します。
監査属性	ユーザが監査対象かどうかを管理します。
umask 属性	pam_unix または pam_hpsec によって開始されるすべてのセッションの umask() を管理します。

これらにセキュリティ属性について、システム全体でのデフォルト値が設定できるほか、個々のユーザについて個別の設定も可能です。この設定内容は、以下の各ファイルに納められます。

/var/adm/userdb（ユーザ・データベース）
/etc/default/security（システム全体のデフォルト値）
/etc/security.dsc（デフォルト値）

例えばあるユーザのセキュリティ属性を取得する場合、HP-UXシステムはまず、/var/adm/userdbに格納されたユーザ・データベースを検索し、そのユーザに固有の設定値を取得します。もしユーザ固有の設定値がない場合は、/etc/default/securityおよび/etc/security.dscに記されたシステム全体のデフォルト値を参照し、それを用いる仕組みです。

	システムデフォルト値の設定

secwebを利用することで、これらの各ファイルに対する設定作業をWebベースのGUIツールを通じて実施できます。secwebを起動するには、SMHのトップページより「Tools」から「Security Attributes Configuration」の「System Defaults」を選択します。

※	なお、HP-UX 11i v2のSMHは、リリースによってこのメニューが表示されな場合があるので、Webブラウザから以下のURLを直接指定して開いてください（最新のアップデートではこの制限はありません）。 http://＜ホスト名＞:2301/secweb/secweb.cgi

最初に表示される「システムデフォルト」タブでは、/etc/security.dscファイルに格納されたHP-UXシステム全体のセキュリティ属性について、表示や設定が可能です。一方、もうひとつの「ローカルユーザー」タブでは、個々のユーザのセキュリティ属性を管理できます。

図1：secwebの「システムデフォルト」タブ

このタブでは、システム全体のセキュリティ属性が一覧表示され、各属性について「デフォルト」と「システム値」がそれぞれ表示されます。このときシステム値の部分には、値がデフォルトから変更されていない場合は「< default >」、規定範囲をはずれている場合は「< invalid value >」と表示されます。システム値がデフォルトから変更された場合には、その値が表示されます。

なお、スーパーユーザ権限を持たないアカウントからsecwebを利用する場合は、SMHの設定（settings -> System Management Homepage -> Security -> User Groups）で一般ユーザの所属するUNIXグループを設定します。ただし、一般ユーザへのAdministrator権限の付与は慎重に行ってください。