製品情報 >ポリシーテンプレート >
SunOS
SunOS用点検ポリシー一覧
| ID | ポリシー名 | Type | 内容 |
|---|---|---|---|
| 648 | /etc/cron.d/cron.allow | OS | /etc/cron.d/cron.allow |
| 661 | /etc/default/cron | OS | /etc/default/cron |
| 674 | /etc/default/init | OS | /etc/default/init |
| 687 | /etc/default/login | OS | /etc/default/login |
| 700 | /etc/default/passwd | OS | /etc/default/passwd |
| 819 | /etc/inet/inetd.conf | OS | /etc/inet/inetd.conf |
| 949 | /etc/pam.conf | OS | /etc/pam.conf |
| 1066 | /etc/shadow | OS | /etc/shadow |
| 1144 | /etc/system | OS | /etc/system |
| 1157 | /etc/vfstab | OS | /etc/vfstab |
| 1183 | /var/spool/cron/crontabs/root | OS | /var/spool/cron/crontabs/root |
| 1907 | [U-01]rootアカウントリモート接続制限 | 脆弱性 |
rootはシステムを管理する非常に重要なアカウントである。rootアカウントで直接ログインで きるように許可すると、違法侵入者の標的になる恐れがあるため、rootアカウント接続に対す る管理が必要。rootアカウントのリモート接続許可は、攻撃者に良いチャンスを提供すること になるため、rootのリモート接続は禁止する必要がある。 |
| 1981 | [U-02]パスワード複雑性設定 | 脆弱性 |
ユーザアカウント(root及び一般アカウントが該当)パスワードを推測しやすく設定する場合、無許 可者によるシステムアクセスリスクが存在。複数種類の文字を組み合わせた8文字以上のパス ワードを使用するようにし、パスワード複雑性を高めることで無許可者による侵入攻撃発生の可 能性を下げることができる。 |
| 2016 | [U-03]アカウントロック臨界値設定 | 脆弱性 |
侵入者によるパスワード *総当たり攻撃(Brute Force Attack)またはパスワード推測攻撃 (Password Guessing)発生時に、パスワード入力失敗時の入力回数を制限することで自動攻撃を 遮断、攻撃時間を遅らせ、パスワード漏えいリスクを減せられる。 |
| 2083 | [U-04]パスワードファイル保護 | 脆弱性 |
パスワード情報を平文で保存する場合、情報漏えいによる被害が発生する恐れがあるため、パ スワードを暗号化して保護する必要がある。シャドウパスワードを使用して “/etc/ shadow”ファイルに暗号化されたパスワードが保存されるようにして、特定の権限があるユー ザのみ読み込みできるように制限する。 |
| 2159 | [U-06]rootアカウントsu制限 | 脆弱性 |
権限のない一般ユーザがsuコマンドを使ってログインを試みて、パスワード総当り攻撃(Brute Force Attack)またはパスワード推測攻撃(Password Guessing)を通じてroot権限を獲得する恐れ がある。suコマンド使用が許可されたユーザのみrootアカウントで接続できるようにする。 |
| 2208 | [U-07]パスワード最小桁数設定 | 脆弱性 |
パスワード総当たり攻撃(Brute Force Attack)またはパスワード推測攻撃(Password Guessing) を防ぐためにパスワード最小桁数が設定されているか点検する。パスワード最小桁数が設定さ れていないか、短く設定されている場合、推測しやすくなる。 |
| 2276 | [U-07]パスワード最小長さ設定 | 脆弱性 |
パスワード総当たり攻撃(Brute Force Attack)またはパスワード推測攻撃(Password Guessing) を防ぐためにパスワード最小長さが設定されているか点検する。パスワード最小長さが設定さ れていないか、短く設定されている場合、推測しやすくなる。 |
| 2395 | [U-08]パスワード最長有効期限設定 | 脆弱性 |
パスワード最長有効期限を設定していない場合、一定期間経過後にも盗み取られたパスワード での接続が可能。悪意を持つユーザからの持続的な接続を遮断するため、パスワード最長有効期 限を設定し、定期的に変更できるようにする。 |
| 2429 | [U-09]パスワード最短有効期限設定 | 脆弱性 |
パスワード最短有効期限を設定していない場合、ユーザが慣れているにパスワードに変更で き、これを再利用する可能性がある。再利用するとパスワードの定期的変更の意味が薄れる。 パスワードの再利用を防止するため、最近使ったパスワード保存設定を適用することでパス ワードを保護する。 |
| 2511 | [U-11]管理者グループに最低限のアカウントを登録 | 脆弱性 |
システムを管理するrootアカウントが属するグループはシステム運用ファイルに対するアク セス権限が付与されているため、最低限のアカウントのみ登録なければならない。該当グ ループの管理が適切に行われないと、許可されていない一般ユーザが管理者の権限でシステ ムにアクセスでき、ファイル修正及び変更などの悪意を持った作業が可能とより、システム運 用に被害を与える恐れがある。 |
| 2602 | [U-15]Session Timeout設定 | 脆弱性 |
アカウント接続状態で放置される場合、重要システムが権限のないユーザに使われる恐れがあ るため、一定時間イベントが発生しないと接続を終了にするSession Timeoutを設定する必要 ある。 |
| 2741 | [U-19]/etc/shadowファイル所有者及び権限設定 | 脆弱性 |
“/etc/shadow”ファイルはシステムに登録されている全てのアカウントのパスワードを暗号 化状態で保存及び管理している重要ファイルであり、rootアカウントを除いたユーザからのア クセスを制限する必要がある。該当ファイルに対する権限管理が行われない場合、ID及びパス ワードの外部への漏えいリスクが潜在する。 |
| 2817 | [U-21]/etc/(x)inetd.confファイル所有者及び権限設定 | 脆弱性 |
インターネットスーパーデーモンサービス設定ファイルであるinetd.conf(xinetd.d)ファイルに 対するアクセス権限制限の状態を点検する。Inetd.conf(xinetd.d)のアクセス権限が誤って設定さ れている場合、無許可者が意図的に作成したプログラムを登録し、root権限でサービスを実行 させ、既存サービスに影響を与える恐れがある。 |
| 3017 | [U-35]接続IP及びポート制限 | 脆弱性 |
UNIXシステムが提供するTelnet、FTPなどの多くのネットワークサービスを介しての外部の無 許可者による不正アクセス及びシステム侵入を防止するために、TCP Wrapperを利用して限 られたIPアドレスからのみ接続できるように設定する。 |
| 3098 | [U-36]fingerサービス非アクティブ | 脆弱性 |
Finger(ユーザ情報確認サービス)を通じてネットワーク外部から該当システムに登録されている ユーザ情報が確認できるため、使用しない場合は該当サービスを停止する必要がある。 |
| 3158 | [U-36]fingerサービス非活性化 | 脆弱性 |
Finger(ユーザ情報確認サービス)を通じてネットワーク外部から該当システムに登録されている ユーザ情報が確認できるため、使用しない場合は該当サービスを停止する必要がある。 |
| 3265 | [U-38]r系列サービスの非アクティブ | 脆弱性 |
‘r’commandを使ってのリモート接続は *NET Backupまたはその他用途で使用される場合もある が、セキュリティ上非常に脆弱なため、サービスポートが開いている場合、重要情報漏えい及 びシステム障害発生など不正侵入によるリスクがある。 |
| 3325 | [U-38]r系列サービスの非活性化 | 脆弱性 |
‘r’command使ってのリモート接続は *NET Backupまたはその他用途で使用される場合もある が、セキュリティ上非常に脆弱のため、サービスポートが開いている場合、 重要情報漏えい及 びシステム障害発生など侵害発生のリスクがある。 |
| 3401 | [U-40]Dos攻撃に脆弱なサービスを非アクティブ | 脆弱性 |
Dos(サービス拒否攻撃)に脆弱なecho、discard、daytime、chargenサービスは、脆弱性が多 く発表された不要サービスであり、該当のサービス使用を停止する必要がある。もし該当サービ スがアクティブになっている場合、システム情報漏えい及びDos(サービス拒否攻撃)の対象になる恐れ がある。 |
| 3461 | [U-40]Dos攻撃に脆弱なサービスを非活性化 | 脆弱性 |
Dos(サービス拒否攻撃)に脆弱なecho、discard、daytime、chargenサービスは、脆弱性が多 く発表された不要サービスであり、該当 サービス使用を停止する必要がある。もし該当サービ スが活性化されている場合、システム情報漏えい及びDos(サービス拒否攻撃)の対象になる恐れ がある。 |
| 3506 | [U-41]NFSサービス非アクティブ | 脆弱性 |
NFS(Network File System)サービスはroot権限獲得を可能にするなど侵害リスクが高いため、 使用しない場合は停止する。 |
| 3566 | [U-41]NFSサービス非活性化 | 脆弱性 |
NFS(Network File System)サービスはroot権限獲得を可能にするなど侵害リスクが高いため、 使用しない場合は停止する。 |
| 3596 | [U-42]NFSアクセス制御 | 脆弱性 |
NFS(Network File System)使用時には許可されたユーザのみ接続できるようにアクセスを制限 する必要がある。アクセス制限設定が適切に行われない場合、無許可者がroot権限を獲得し、 該当共有システムにリモートでマウントして重要ファイルを変更または盗み取る可能性があ る。 |
| 3686 | [U-43]automountd削除 | 脆弱性 |
automountdデーモンには、ローカル攻撃者がデーモンに *RPC(Remote Procedure Call)を送 ることができ、これを通じてファイルシステムのマウントオプションを変更してroot権限が獲 得した後、ローカル攻撃者がautomountdプロセス権限で任意のコマンドを実行することがで きる。 |
| 3716 | [U-44]RPCサービス確認 | 脆弱性 |
RPC(Remote Procedure Call)サービスは分散処理環境で開発する際に多くのメリットを提供す るが、次のようなサービスはバッファオーバーフロー(Buffer Overflow)脆弱性が多数存在し、 root権限獲得及び不正侵入によるリスクがあるためサービスを停止する必要がある。 rpc.cmsd、rpc.ttdbserverd, |
| 3795 | [U-45]NIS 、NIS+ 点検 | 脆弱性 |
NIS(Network Information Service)は、重要なシステムDBファイルをネットワークを通じて 共有する。NIS+は、セキュリティ及び便利な機能を追加したNISの次のバージョンである。 セキュリティ上、脆弱なサービスであるNIS、NIS+を使用する場合、root権限獲得が可能にな るため、使用しないことが望ましいが、もしNISを使用する必要がある場合はユーザ情報セ キュリティに多数の問題点が内在しているNISよりは、NIS+を使用することを推奨する。 |
| 3840 | [U-46]tftp、talkサービス非アクティブ | 脆弱性 |
運用体制はftp、tftp、telnet、talkなどのサービスを含んでいるため、システム運用に必要では ない不要サービスを削除することでセキュリティを高めることができ、該当不要サービスの 脆弱性による被害を防ぐことができる。 |
| 3900 | [U-46]tftp、talkサービス非活性化 | 脆弱性 |
運用体制はftp、tftp、telnet、talkなどのサービスを含んでいるため、システム運用に必要では ない不要サービスを削除することでセキュリティ性を高めることができ、該当不要サービスの 脆弱性による被害を防ぐことができる。 |
| 4038 | [U-59]sshリモート接続許可 | 脆弱性 |
Telnet、FTPなどは暗号化されていない状態でデータを転送するため、ID/パスワード及び重要情 報が外部に漏れるリスクがある。従って、リモート接続時にはユーザとシステムとの全ての通 信を暗号化する *SSH(Secure Shell)サービスを使用することを推奨する。 |
| 4222 | [U-66]SNMPサービスCommunity Stringの複雑性設定 | 脆弱性 |
SNMP(Simple Network Management Protocol)サービスは、システム状態をリアルタイムで 把握する*NMS(Network Management System)のためにUNIXシステムにおいて基本的に提供する サービスであり、情報を受けるために一種のパスワードであるCommunity Stringを使用す る。*Community Stringはデフォルトでpublic、privateに設定されている場合が多く、これ を変更しない場合、このStringを使ってシステムの主要情報及び設定を把握することができ る。 |
| 1246 | Auto Boot 設定点検 | OS |
auto-boot-=trueに設定されているかを点検 Boot PROM変数に保存された値がtrueなら、Solarisカーネルをメモリにローディングするプロ セスがスタートされるが、falseの場合、Boot PROMでブートが終了した後、これ以上は プロセスが進まない。 |
| 17 | CPU Device状態点検 | HW | CPU Device状態点検 |
| 1566 | crash dump設定点検 | OS | Crash dump実行後、ファイル自動保存設定点検 |
| 172 | Fibre Channel Adapter Device状態点検 | HW | Fibre Channel Adapter Device状態点検 |
| 240 | I/O Bus Device状態点検 | HW | I/O Bus Device状態点検 |
| 307 | LAN Adapter Device状態点検 | HW | LAN Adapter Device状態点検 |
| 374 | Memory Device状態点検 | HW | Memory Device状態点検 |
| 484 | SCSI I/F Card Device状態点検 | HW | SCSI I/F Card Device状態点検 |
| 1676 | swap設定点検 | OS | swap設定点検 |
| 545 | X.25/ACC Card Device状態点検 | HW | X.25/ACC Card Device状態点検 |
| 1767 | サーバTime zone | OS | 例)日本の場合JST-9 (日本標準時) |
| 560 | システムFAN状態点検 | HW |
/var/adm/messagesファイルからFAN状態の確認可能な特定キーワードを検索して点検 前日点検実行時間から当日点検実行時間が対象 |
| 591 | システム温度状態点検 | HW |
/var/adm/messagesファイルからFAN状態の確認可能な特定キーワードを検索して点検 前日点検実行時間から当日点検実行時間が対象 |
