Jump to content 日本-日本語

製品  >  ソフトウェア  >  HP-UX   >  Knowledge-on-Demand

HP-UX 11i Install Time Security

HP-UX/Integrityサーバー お問い合せ
コンテンツに進む

はじめに


このページでは、HP-UX 11i v2から採用されたInstall Time Security機能についてまとめます。また、Install Time Securityが使用するホスト要塞化ツールBastilleについても解説します。

なお、HP-UX 11i v1ではInstall Time Securityの機能はサポートされていませんが、このページで触れられているホスト要塞化ツールやその他のセキュリティツールについては、11i v1用のものも用意されています。

Install Time Securityについて


HP-UX 11i v2から、Install Time Securityという機能が導入されました。これにより、OSインストール時に数種類のセキュリティ設定が選択できます。もちろん、インストール後にセキュリティ設定を運用状況に合わせて、細かく再設定することも可能です。

Install Time Securityは、以下のツールを使用して設定を行います。
  • bastille (HP-UXのセキュリティを強化する要塞化ツール)
  • Security Patch Check (HP-UXシステムにインストールされているファイルセットやパッチを分析し報告。bastilleは Security Patch Checkを 定期的に自動実行するよう設定します。)
  • IPFilter (オープンソースをベースとしたステートフルなシステムファイアウォール)
  • SecureShell (業界標準の暗号化機能を使った安全なネットワーク・アクセス)
HP-UX 11i v1ではInstall Time Securityはサポートされていませんが、上記のツールを個別に使用して、セキュリティの設定を行なうことができます。

Install Time Securityで選択可能な設定


以下は、Install Time Securityで選択可能な項目です。それぞれの設定内容は以下のとおりです。

Sec00Tools Bastille、SSH、Security Patch Check および IPFilterのインストールのみを行います。(設定は行われません。従来のHP-UXと同等)
Sec10Host 約50のhostベースのロックダウンを行います。(telnet、ftpの通信は許可されます)
Sec20MngDMZ いくつかのセキュアなプロトコル(SSH、IDS、WBEM、Webminなどからの通信)のみを接続可能にします。(pingリクエストも受け付けません)
Sec30DMZ SSH以外の受信コネクションをブロックします。

Install Time Securityは以下のツールを利用し、設定を行う
  Bastille
  Security Patch Check
  IPFilter
  SecureShell
インストール後も、システム管理者が各ツールを使い設定の変更可能
Sec00Toolsの場合は、各ツールのインストールのみ
Install Time Securityは以下のツールを利用し、設定を行う

Install Time Securityは、HP-UX 11i v2またはv3のインストール時、または アップデート時に指定することができます。
  • HP-UX 11i v2 インストール時の選択画面例

    HP-UX 11i v2 インストール時の選択画面例

  • HP-UX 11i v2 へのアップデート時(Update-UX実行時)の選択画面例

    HP-UX 11i v2 へのアップデート時(Update-UX実行時)の選択画面例

ホスト要塞化ツール bastilleについて


bastilleは HP-UXのセキュリティをより強固に設定する要塞化ツールです。bastilleは、以下のような特徴があります。
  • HP-UX 11.0 、HP-UX 11i v1、v2およびv3で利用可能
  • Perlベースのセキュリティ強化/ロックダウン ツール
  • 対話式に設問に答えるだけで、カスタムなセキュリティ設定が可能
  • HP-UX OEに含まれます。また hp web サイト www.software.hp.comからも無償でダウンロード可能

    HP-UX OEに含まれます。また hp web サイト www.software.hp.comからも無償でダウンロード可能

bastilleの注意点


ここでは、ホスト要塞化ツールを使用する際に注意する点についてまとめます。
  • bastilleの 対話モードは X-Window displayが必要です。キャラクター端末モード(bastille -c)は Linux専用でhp-uxではサポートされていません。
  • bastille -r および bastille -b の実行には、X-Window displayは必要ありません。(コマンドラインで実行されます)
  • bastille -r により、セキュリティの設定は bastilleが実行される前の設定に 戻されます。
    Install Time SecurityでSec01Host、Sec02MngDMZ、Sec03DMZの設定を行った場合、 最初の bastille -rでは telnet可能状態になりますが、rootのtelnetログインが consoleからのみに制限される状態に戻ります。ご注意ください。
    (この場合でも、sshコマンドで rootのネットワーク経由でのログイン および 一般ユーザでtelnetログイン後のsuコマンドによる管理者権限の取得 は可能です)
  • bastilleの対話モードでは、常にすべての設問が表示されるわけではありません。 セキュリティレベルを低くする設定は、表示されないケースがあります。
    例えば、shadowパスワードが無効である場合にはそれを設定する設問 [Would you like to hide the encrypted passwords on this system?] が現れますが、既にshadowパスワードが有効になっているシステムでは、 この設問は表示されません。
  • revert機能でセキュリティ設定を戻す際、状態によっては一部変更を手動で戻さなければならない場合があります。ファイル/var/opt/sec_mgmt/bastille/TOREVERT.txtには、revert後に行わなければならない設定が記録されますので、revert後は必ずこのファイルをチェックし、必要があれば指定された設定を行なって下さい。

bastille関連リンク


マニュアル
HP-UX Bastille Softwareの、User GuideとRelease Notesについて参照出来ます。
HPサポートセンター
企業向けサーバー管理者向けに、HP-UXサーバーのサポート情報を提供します。
HP-UXシステム/ワークグループの管理(2006年3月)
以前のBastille実装内容を、参考までに日本語で理解したい場合に役立ちます。
尚、Bastilleの最新情報については上記Release Notes等を参照ください。

その他の情報


Security Patch CheckerについてのFAQに関してはこちら

お問い合わせ

ご購入前のお問い合わせ


ご購入後のお問い合わせ

HPEサポートセンター
製品の標準保証でご利用いただける無償のサービスです。

ショールーム

ショールーム 導入をご検討のお客様へ
業務アプリケーションの継続・標準化・開発性とシステム担当者様、システム開発者様が抱える悩み・疑問に対する解決策実体験して頂けます。
印刷用画面へ
プライバシー ご利用条件・免責事項