このページの本文へ

【RSA Conference 2003 Japan Vol.4】各社の新製品・新サービスも続々登場──展示会場レポート

2003年06月05日 00時00分更新

文● 編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

root権限を奪われても大丈夫です
コンピュータ・アソシエイツ『eTrust Access Control』

コンピュータ・アソシエイツ(株)のブースでは、ファイルやディレクトリ、アプリケーションへのアクセスを制御するソフトウェア『eTrust Access Control』などを展示していた。

『eTrust Access Control』管理コンソール
『eTrust Access Control』の管理コンソール。ユーザーごとに権限設定を行なう

『eTrust Access Control』は、Windows、UNIX、Linuxに対応したファイルへのアクセス制御ソフト。ファイルやディレクトリ、アプリケーションの読み込み、書き込み、実行の権限をユーザー、グループ単位で設定する。UNIXなどでは、特権ユーザーはすべてのファイルやディレクトリを操作することができるため、管理者が誤ってファイルを削除してしまう事故や、クラッカーによる不正アクセスで特権ユーザー権限を奪われた場合、システムのすべてをコントロールされてしまうが、同製品で設定したアクセスポリシーは特権ユーザーに対しても有効なため、重要なデータは操作不可にできる。

Webサーバのファイルを削除して別のふぁいるを書き込むスクリプトを実行 サイトが書き換えられたようす 『eTrust Access Control』を使うと、rootであっても削除も書き込みもできない
普通のWebサーバでファイルを書き換えてみるすると、当然サイトは書き換えられてしまう。同じシェルスクリプトを『eTrust Access Control』をインストールしたサーバで実行したが、“許可がありません”というエラーが表示される
デモ環境は、2つのLinuxサーバ環境を用意し、1つは『eTrust Access Control』をインストール(青いターミナル)、もう1つはインストールしていない(赤いターミナル)というもので、Webサーバの書き換えをroot権限で行なった

また、suコマンドでrootになったユーザーの操作についてもログイン時のユーザーの操作として記録する機能や、管理ユーザーにはsuできない設定にするなどのユーザー管理機能も提供されている。

同製品は複数の監視プロセスを常に動作させており、仮に侵入されて監視プロセスを停止させても、ほかの監視プロセスが自動的に新しいプロセスを生成するため、システムをシャットダウンしない限り無効にはできないという。

カテゴリートップへ

ピックアップ