root権限を奪われても大丈夫です
コンピュータ・アソシエイツ『eTrust Access Control』
コンピュータ・アソシエイツ(株)のブースでは、ファイルやディレクトリ、アプリケーションへのアクセスを制御するソフトウェア『eTrust Access Control』などを展示していた。
 |
|---|
| 『eTrust Access Control』の管理コンソール。ユーザーごとに権限設定を行なう |
『eTrust Access Control』は、Windows、UNIX、Linuxに対応したファイルへのアクセス制御ソフト。ファイルやディレクトリ、アプリケーションの読み込み、書き込み、実行の権限をユーザー、グループ単位で設定する。UNIXなどでは、特権ユーザーはすべてのファイルやディレクトリを操作することができるため、管理者が誤ってファイルを削除してしまう事故や、クラッカーによる不正アクセスで特権ユーザー権限を奪われた場合、システムのすべてをコントロールされてしまうが、同製品で設定したアクセスポリシーは特権ユーザーに対しても有効なため、重要なデータは操作不可にできる。
 |
 |
 | ||
|---|---|---|---|---|
| 普通のWebサーバでファイルを書き換えてみる | すると、当然サイトは書き換えられてしまう。 | 同じシェルスクリプトを『eTrust Access Control』をインストールしたサーバで実行したが、“許可がありません”というエラーが表示される | ||
| デモ環境は、2つのLinuxサーバ環境を用意し、1つは『eTrust Access Control』をインストール(青いターミナル)、もう1つはインストールしていない(赤いターミナル)というもので、Webサーバの書き換えをroot権限で行なった | ||||
また、suコマンドでrootになったユーザーの操作についてもログイン時のユーザーの操作として記録する機能や、管理ユーザーにはsuできない設定にするなどのユーザー管理機能も提供されている。
同製品は複数の監視プロセスを常に動作させており、仮に侵入されて監視プロセスを停止させても、ほかの監視プロセスが自動的に新しいプロセスを生成するため、システムをシャットダウンしない限り無効にはできないという。
