ja:documentation:pandorafms:cybersecurity:07_safety_functions

差分

このページの2つのバージョン間の差分を表示します。

この比較画面へのリンク

両方とも前のリビジョン 前のリビジョン
次のリビジョン		 前のリビジョン
ja:documentation:pandorafms:cybersecurity:07_safety_functions [2025/08/30 22:53] – [Technical details] junichija:documentation:pandorafms:cybersecurity:07_safety_functions [2026/01/09 09:03] (現在) – [セキュリティ機能] junichi
行 3: 行 3:
 {{indexmenu_n>70}} {{indexmenu_n>70}}
  
-[[ja:documentation:start|Pandora FMS ドキュメント一覧に戻る]]+[[ja:documentation:pandorafms:start|Pandora FMS ドキュメント一覧に戻る]]
  
 <wrap #ks1 /> <wrap #ks1 />
行 57: 行 57:
  
 <file> <file>
-ldap:addc.mydomain+ldap://addc.mydomain
 </file> </file>
  
行 223: 行 223:
 === SimpleSAMLphp 2.0 のインストール === === SimpleSAMLphp 2.0 のインストール ===
  
-You must download SimpleSAMLphp version 2.3.2 from its official repository:+Download SimpleSAMLphp version 2.3.2 from its official repository:
  
-公式リポジトリから SimpleSAMLphp バージョン 2.3.2 をダウンロードする必要があります。+公式リポジトリから SimpleSAMLphp バージョン 2.3.2 をダウンロードます。
  
 <WRAP center round download 90%> <WRAP center round download 90%>
  
-https://github.com/simplesamlphp/simplesamlphp/releases/tag/v2.3.2+[[https://github.com/simplesamlphp/simplesamlphp/releases/tag/v2.3.2|https://github.com/simplesamlphp/simplesamlphp/releases/tag/v2.3.2]]
  
 </WRAP> </WRAP>
行 296: 行 296:
  
 </code> </code>
 +
 +<WRAP center round info 90%>
 +
 +  * Note that ''pandora.local''  must be replaced with PFMS Web Console URL and the comma at the end of the line must stay, as it is part of the instruction blocks.
 +  * You should always use a URL instead of an IP address. Following the example of using ''pandora.local'', this "//URL//" should be added to the operating system's "/etc/hosts" file (note: for educational purposes only).
 +
 + \\ </WRAP>
 +
 +<WRAP center round info 90%>
 +
 +  * ''pandora.local'' は PFMS ウェブコンソールの URL に置き換えてください。行末のカンマは命令ブロックの一部であるため、そのままにしてください。
 +  * IP アドレスではなく、常に URL を使用してください。''pandora.local'' の使用例に倣い、この "//URL//" をオペレーティングシステムの "/etc/hosts" ファイルに追加してください(注: テスト目的のみ)。
 +
 + \\ </WRAP>
  
 Save the changes to the file and exit to the command line. Save the changes to the file and exit to the command line.
行 351: 行 365:
 </code> </code>
  
-It can be accessed via the URL ''<nowiki>https://pandora.local/simplesamlphp/admin/</nowiki>'' (replace ''pandora.local'' with the URL of the PFMS web console):+Copy the contents of the previously downloaded XML, paste it, and process it; this will generate a configuration text for PHP, which is copied and added to file ''/opt/simplesamlphp/metadata/saml20-idp-remote.php''. Then save these additions and exit the file editor. 
 + 
 +先ほどダウンロードした XML の内容をコピーし、貼り付けて処理します。これにより PHP の設定テキストが生成され、コピーされてファイル ''/opt/simplesamlphp/metadata/saml20-idp-remote.php'' に追加されます。追加内容を保存し、ファイルエディターを終了します。 
 + 
 +It may be accessed through URL ''<nowiki>https://pandora.local/simplesamlphp/admin/</nowiki>''  (replace ''pandora.local''  by PFMS web console's URL):
  
 URL ''<nowiki>https://pandora.local/simplesamlphp/admin/</nowiki>'' からアクセスできます (''pandora.local'' を PFMS Web コンソールの URL に置き換えます)。 URL ''<nowiki>https://pandora.local/simplesamlphp/admin/</nowiki>'' からアクセスできます (''pandora.local'' を PFMS Web コンソールの URL に置き換えます)。
行 461: 行 479:
 <wrap #ks1_5_3_1 /> <wrap #ks1_5_3_1 />
  
-== Configuration in SimpleSAMLphp ==+== SimpleSAMLphp の設定 ==
  
 The file ''/opt/simplesamlphp/config/authsources.php'' must be edited with the following values: The file ''/opt/simplesamlphp/config/authsources.php'' must be edited with the following values:
 +
 +ファイル ''/opt/simplesamlphp/config/authsources.php'' を次の値で編集する必要があります。
  
 {{ wiki:pfms-saml-image_56.png  }} {{ wiki:pfms-saml-image_56.png  }}
  
 And on the SimpleSAMLphp website, go to the **Federation** menu and then to the **Tools** section for converting XML to PHP: And on the SimpleSAMLphp website, go to the **Federation** menu and then to the **Tools** section for converting XML to PHP:
 +
 +SimpleSAMLphp Web サイトで、**Federation** メニューに移動し、**Tools** セクションに移動して XML を PHP に変換します。
  
 {{ wiki:pfms-saml-image_58.png  }} {{ wiki:pfms-saml-image_58.png  }}
  
 The name ''saml20-idp-remote.php.dist'' must be changed to: The name ''saml20-idp-remote.php.dist'' must be changed to:
 +
 +名前 ''saml20-idp-remote.php.dist'' を次のように変更する必要があります。
  
 <code bash> <code bash>
行 479: 行 503:
  
 Copy the contents of the previously downloaded XML file, paste it, and process it. This will generate a configuration text for PHP, which you should copy and paste into the file ''/opt/simplesamlphp/config/authsources.php'', **replacing all of its contents**. Copy the contents of the previously downloaded XML file, paste it, and process it. This will generate a configuration text for PHP, which you should copy and paste into the file ''/opt/simplesamlphp/config/authsources.php'', **replacing all of its contents**.
 +
 +先ほどダウンロードした XML ファイルの内容をコピーし、貼り付けて処理します。これにより PHP の設定テキストが生成されるので、それをコピーして ''/opt/simplesamlphp/config/authsources.php'' ファイルに貼り付け、**すべての内容を置き換えます**。
  
 If everything is correct, proceed to perform a test: If everything is correct, proceed to perform a test:
 +
 +すべてが正しければ、テストの実行に進みます。
  
 {{ wiki:pfms-saml-image_60.png  }} {{ wiki:pfms-saml-image_60.png  }}
  
 Obtaining the following result: Obtaining the following result:
 +
 +次の結果が得られます。
  
 {{ wiki:pfms-saml-image_62.png  }} {{ wiki:pfms-saml-image_62.png  }}
  
 The email address and user ID can be taken from the attributes returned by Azure® in the test performed above: The email address and user ID can be taken from the attributes returned by Azure® in the test performed above:
 +
 +電子メールアドレスとユーザ ID は、上記で実行したテストで Azure® によって返された属性から取得できます。
  
 {{ :wiki:pfms-saml-image_80.png  }} {{ :wiki:pfms-saml-image_80.png  }}
行 495: 行 527:
    
 For advanced configuration, you can delve deeper into the //mapping// of properties or select a default one if none match: For advanced configuration, you can delve deeper into the //mapping// of properties or select a default one if none match:
 +
 +高度な設定では、プロパティの //マッピング// をさらに詳しく調べたり、一致するものがない場合にはデフォルトのプロパティを選択したりできます。
  
 {{ :wiki:pfms-saml-image_100.png  }} {{ :wiki:pfms-saml-image_100.png  }}
  
 <wrap #ks2 /> <wrap #ks2 />
 +
 ===== パスワード暗号化 ===== ===== パスワード暗号化 =====
  
行 535: 行 570:
 <wrap #ks2_2 /> <wrap #ks2_2 />
  
-==== Configuration in a new Pandora FMS installation ====+==== 新規インストールの Pandora FMS での設定 ====
  
 To enable key encryption, **the password must be configured both in the Pandora FMS Server and in the Web Console**. To enable key encryption, **the password must be configured both in the Pandora FMS Server and in the Web Console**.
 +
 +キー暗号化を有効にするには、**Pandora FMS サーバと Web コンソールの両方でパスワードを設定する必要があります**。
  
 The steps to follow for encryption are as follows: The steps to follow for encryption are as follows:
 +
 +暗号化の手順は次の通りです。
  
   * Stop the server, both in **Command Center (Metaconsole)** and in the **nodes**.   * Stop the server, both in **Command Center (Metaconsole)** and in the **nodes**.
 +
 +  * **コマンドセンター (メタコンソール)** と **ノード** の両方でサーバを停止します。
  
   * Update the ''encryption_passphrase'' fields in ''/etc/pandora/pandora_server.conf'' and ''/var/www/html/pandora_console/include/config.php'', both in **Command Center (Metaconsole)** and in **nodes**.   * Update the ''encryption_passphrase'' fields in ''/etc/pandora/pandora_server.conf'' and ''/var/www/html/pandora_console/include/config.php'', both in **Command Center (Metaconsole)** and in **nodes**.
 +
 +  * ''/etc/pandora/pandora_server.conf'' 内の **encryption_passphrase** および、**ノード** および **コマンドセンター(メタコンソール)** 双方の ''/var/www/html/pandora_console/include/config.php'' を更新します。
  
 <code> <code>
行 550: 行 593:
  
   * Launch the encryption script both in **Command Center (Metaconsole)** and in the **nodes**.   * Launch the encryption script both in **Command Center (Metaconsole)** and in the **nodes**.
 +
 +  * **ノード** および **コマンドセンター(メタコンソール)** 両方の暗号化スクリプトを起動します。
  
 <code bash> <code bash>
行 558: 行 603:
  
 The Pandora FMS server should be restarted after making the changes and launching the script. The Pandora FMS server should be restarted after making the changes and launching the script.
 +
 +</WRAP>
 +
 +<WRAP center round tip 90%>
 +
 +変更を加えてスクリプトを実行した後、Pandora FMS サーバを再起動する必要があります。
  
 </WRAP> </WRAP>
  
 <wrap #ks2_3 /> <wrap #ks2_3 />
-==== Changing the encryption password ====+ 
 +==== 暗号化パスワードの変更 ====
  
 It is possible to change the encryption password in case it has been compromised. You must first decrypt the passwords stored in the database: It is possible to change the encryption password in case it has been compromised. You must first decrypt the passwords stored in the database:
 +
 +暗号化パスワードが漏洩した場合には、それを変更することができます。まず、データベースに保存されているパスワードを復号化する必要があります。
  
 <code> <code>
行 571: 行 625:
  
 Then, after having changed the encryption password (as described in the section for [[#ks2|configuration in a new installation]]), you can encrypt it again: Then, after having changed the encryption password (as described in the section for [[#ks2|configuration in a new installation]]), you can encrypt it again:
 +
 +その後、暗号化パスワードを変更し([[#ks2_2|新規インストールでの設定]]のセクションで説明したように)、再度暗号化することができます。
  
 <code bash> <code bash>
行 579: 行 635:
  
 From 7.0 NG 739 onwards, the [[:en:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks2|secure credential manager]] is included. **Please refer to the following section to finish this process correctly**. From 7.0 NG 739 onwards, the [[:en:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks2|secure credential manager]] is included. **Please refer to the following section to finish this process correctly**.
 +
 +</WRAP>
 +
 +<WRAP center round important 90%>
 +
 +7.0NG 739 以降には、[[:ja:documentation:pandorafms:management_and_operation:11_managing_and_administration#認証情報ストア|安全な認証管理]]が含まれています。**この処理を正しく完了するには、次の章を参照してください**。
  
 </WRAP> </WRAP>
  
 **Credential store**: **Credential store**:
 +
 +**認証情報ストア:**
  
 If you have an encrypted database, in order to continue using the credential manager without losing data //decrypt everything// except the **tcredential_store** table. If you have an encrypted database, in order to continue using the credential manager without losing data //decrypt everything// except the **tcredential_store** table.
 +
 +暗号化されたデータベースがある場合、データを失うことなく資格情報管理を引き続き使用するには、**tcredential_store** テーブルを除くすべてのデータを復号化します。
  
 To do so, execute the following commands: To do so, execute the following commands:
 +
 +それには次のコマンドを実行します。
  
 <code bash> <code bash>
行 593: 行 661:
  
 It will be deciphered. It will be deciphered.
 +
 +暗号化が解除されます。
  
 Once decrypted, it will be re-encrypted again: Once decrypted, it will be re-encrypted again:
 +
 +暗号化を解除したら、再度暗号化を行います。
  
 <code bash> <code bash>
行 601: 行 673:
  
 If you only want to encrypt from scratch, just execute the last command. If you only want to encrypt from scratch, just execute the last command.
 +
 +初回の暗号化では、最後のコマンドを実行します。
  
 <wrap #ks2_4 /> <wrap #ks2_4 />
-==== Removing the encryption password ====+ 
 +==== 暗号化パスワードの削除 ====
  
 <WRAP center round important 90%> <WRAP center round important 90%>
  
 It is recommended to keep **every** password stored in Pandora FMS encrypted. It is recommended to keep **every** password stored in Pandora FMS encrypted.
 +
 +</WRAP>
 +
 +<WRAP center round important 90%>
 +
 +Pandora FMS に保存される **すべての** パスワードを暗号化しておくことをお勧めします。
  
 </WRAP> </WRAP>
行 613: 行 694:
   * Stop the server, both in **Command Center (Metaconsole)** and in the **nodes**.   * Stop the server, both in **Command Center (Metaconsole)** and in the **nodes**.
   * Launch the decryption script both in **Command Center (Metaconsole)** and in the **nodes**.   * Launch the decryption script both in **Command Center (Metaconsole)** and in the **nodes**.
 +
 +  * **コマンドセンター(メタコンソール)** と **ノード** 双方のサーバを停止します。
 +  * **コマンドセンター(メタコンソール)** と **ノード** の両方で復号化スクリプトを起動します。
  
 <code bash> <code bash>
行 619: 行 703:
  
   * Comment **encryption_passphrase** in ''/etc/pandora/pandora_server.conf'' and ''/var/www/html/pandora_console/include/config.php'' both in **Command Center (Metaconsole)** and in **nodes**.   * Comment **encryption_passphrase** in ''/etc/pandora/pandora_server.conf'' and ''/var/www/html/pandora_console/include/config.php'' both in **Command Center (Metaconsole)** and in **nodes**.
 +
 +  * **コマンドセンター (メタコンソール)** と **ノード** の両方で、''/etc/pandora/pandora_server.conf'' と ''/var/www/html/pandora_console/include/config.php'' の **encryption_passphrase** をコメントアウトします。
  
 <code> <code>
行 627: 行 713:
  
 The Pandora FMS server should be restarted after making the changes and launching the script. The Pandora FMS server should be restarted after making the changes and launching the script.
 +
 +</WRAP>
 +
 +<WRAP center round tip 90%>
 +
 +変更を加えてスクリプトを実行した後は、Pandora FMS サーバを再起動することを忘れないでください。
  
 </WRAP> </WRAP>
  
 <wrap #ks3 /> <wrap #ks3 />
-===== User password policy =====+ 
 +===== ユーザパスワードポリシー =====
  
  
 <WRAP left round box 50%> <WRAP left round box 50%>
  
-<wrap :en>**Management → Setup → Setup →  Password policy**</wrap> menu.+<wrap :en>**Management → Settings → System Settings → Password policy**</wrap> {{:wiki:pfms-general_settings-password.png?nolink&21x21}}menu.
  
 </WRAP> </WRAP>
 \\ \\ \\ \\ \\ \\ \\ \\ \\ \\
 +
 +<WRAP left round box 50%>
 +
 +<wrap :ja>**管理(Management) → セットアップ(Setup) → セットアップ(Setup) →  パスワードポリシー(Password policy)**</wrap> {{:wiki:pfms-general_settings-password.png?nolink&21x21}} メニュー
 +
 +</WRAP>
 +\\ \\ \\ \\ \\
 +
 To activate the password policy, you must have an administrator profile (<wrap :en>**Pandora administrator**</wrap>) or be a **[[:en:documentation:pandorafms:introduction:03_glossary#superadmin|superadmin]]**. To activate the password policy, you must have an administrator profile (<wrap :en>**Pandora administrator**</wrap>) or be a **[[:en:documentation:pandorafms:introduction:03_glossary#superadmin|superadmin]]**.
 +
 +パスワード ポリシーを有効にするには、管理者プロファイル (<wrap :en>**Pandora 管理者**</wrap>) を持っているか、**[[:ja:documentation:pandorafms:introduction:03_glossary#スーパー管理者|スーパー管理者]]** である必要があります。
  
 Important fields: Important fields:
  
-  * <wrap :en>**Enable password policy**</wrap>: Deactivated by default. +重要なフィールド: 
-  * <wrap :en>**Min. password size**</wrap>: By default four characters. + 
-  * <wrap :en>**Password expiration**</wrap>: By default zero ''0'' days (no expiration). +  * <wrap :en>**Enable password policy**</wrap>: Disabled by default, enabling it will display the rest of the fields
-  * <wrap :en>**Block user if login fails**</wrap>: Minutes that the user remains blocked if the maximum number of failed attempts is consumed, by default 5 minutes. +  * <wrap :en>**Min. password size**</wrap>: By defaultfour characters is the minimum password length
-  * <wrap :en>**Number of failed login attempts**</wrap>: By default 5 attempts. +  * <wrap :en>**Password expiration**</wrap>: Default zero ''0''  days (passwords without expiration).
-  * <wrap :en>**Enable password history**</wrap> and <wrap :en>**Compare previous password**</wrap>: They work together to prevent a user from using repeated passwords. The first token must be enabled and the second token must be greater than zero (default ''3''), so that a user's new password will be compared with the ''3'' previously used by the same user (or the number of times indicated).+
   * <wrap :en>**The password must include numbers**</wrap>: The password must include numbers, disabled by default.   * <wrap :en>**The password must include numbers**</wrap>: The password must include numbers, disabled by default.
   * <wrap :en>**The password must include symbols**</wrap>: The password must include symbols, disabled by default.   * <wrap :en>**The password must include symbols**</wrap>: The password must include symbols, disabled by default.
   * <wrap :en>**Force password change on first login**</wrap>: Force password change on first login after user creation, disabled by default.   * <wrap :en>**Force password change on first login**</wrap>: Force password change on first login after user creation, disabled by default.
-  * <wrap :en>**Apply password policy to admin users**</wrap>: Applies the password policy also to administrator users, activated by default. +  * <wrap :en>**Block user if login fails**</wrap> and <wrap :en>**Number of failed login attempts**</wrap>: Minutes (default ''5'') that the user remains locked out if they use up the maximum number of failed attempts (default ''5'' attempts). 
-  * <wrap :en>**Exclusion list for passwords**</wrap>: Allows you to add a list of passwords explicitly excluded from use in Pandora FMS.+  * <wrap :en>**Apply password policy to admin users**</wrap>: Applies the password policy also to administrator users, //activated by default//. 
 +  * <wrap :en>**Enable password history**</wrap> and <wrap :en>**Compare to previous password**</wrap>: They work together to prevent users from reusing passwords. The first token must be enabled and the second must be greater than zero (default ''3''). That way, a user's new password will be compared with passwords previously used by the same user. 
 +  * <wrap :en>**Activate reset password**</wrap>: Disabled by default, if enabled, it allows users to recover forgotten passwords
 +  * <wrap :en>**Exclusion word list for passwords**</wrap>: It allows you to add a list of passwords explicitly excluded from use in Pandora FMS. 
 + 
 +  * **パスワードポリシーの有効化(Enable password policy): ** パスワードポリシーを有効化/無効化します。デフォルトでは無効化されています。 
 +  * **最小パスワードサイズ(Min. size Password): ** パスワードの最小の長さです。デフォルトでは 4文字です。 
 +  * **パスワードの期限切れ(Password Expiration): ** パスワードが期限切れになるまでの期間です。デフォルトでは ''0'' です(期限切れになりません)。 
 +  * **パスワードには数値を含む必要があります(Password must have numbers): ** パスワードに数字を含む必要があるかどうかです。デフォルトでは無効化されています。 
 +  * **パスワードには記号を含む必要があります(Password must have symbols): ** パスワードに記号を含む必要があるかどうかです。デフォルトでは無効化されています。 
 +  * **初回ログイン時にパスワードを変更する(Force change password on first login): ** ユーザ作成後、初回ログイン時にパスワードを変更します。デフォルトでは無効化されています。 
 +  * **ログインに失敗するとユーザをブロック(Block user if login fails): ** 最大失敗回数パスワードを間違えた場合に、ユーザをブロックする時間(分)です。デフォルトは 5分です。 
 +  * **管理者ユーザへパスワードポリシーを適用(Apply password policy to admin users): ** 管理者ユーザにもパスワードポリシーを適用します。デフォルトでは無効化されています。 
 +  * **パスワード履歴の有効化(Enable password history)** と **以前のパスワードとの比較(Compare previous password): ** これらは連携して、ユーザがパスワードを重複して使用することを防ぎます。最初のトークンは有効にし、2番目のトークンは 0(デフォルトは ''3'' )より大きい値に設定する必要があります。これにより、ユーザの新しいパスワードは、同じユーザが以前に使用した ''3''(または指定された回数)と比較されます。 
 +  * **パスワードリセットの有効化(Activate reset password)**: デフォルトでは無効になっていますが、有効にすると、ユーザは忘れたパスワードを回復できるようになります。 
 +  * **パスワードの除外リスト(Exclusion list for passwords)**: Pandora FMS での使用を明示的に除外するパスワードのリストを追加できます。
  
 <wrap #ks4 /> <wrap #ks4 />
-===== Audit log =====+ 
 +===== 監査ログ =====
  
 <WRAP left round box 50%> <WRAP left round box 50%>
行 665: 行 783:
 </WRAP> </WRAP>
 \\ \\ \\ \\ \\ \\ \\ \\ \\ \\
-Pandora FMS keeps a log with all the changes and actions of importance produced in the Pandora FMS Console. There you will see a series of entries related to the Console activity, information about the user, type of action, date and a short description of the registered events. 
  
-{{  :wiki:pfms-management-admin_tools-system_audit_tools.png  }}+<WRAP left round box 50%>
  
-You can filter which entries to display by different criteria, includingactions, user and IP address. You can even perform a text search and determine the maximum hours to be searched, with the option to save the filter if it is frequently used.+<wrap :ja>**管理(Management) → 管理ツール(Admin tools) → システム監査ログ(System Audit Log)**</wrap> メニュー 
 + 
 +</WRAP> 
 +\\ \\ \\ \\ \\ 
 + 
 +Pandora FMS stores a log with all changes and important actions carried out in the Pandora FMS Console. There you can see a series of entries related to Console activity, including user information, type of action, date, and a brief description of the recorded events. 
 + 
 +Pandora FMS は、Pandora FMS コンソールで行われたすべての重要な変更とアクションのログを保持します。ログには、コンソールのアクティビティ、ユーザ情報、アクションの種類、日付、登録されたイベントの簡単な説明など、一連のエントリが表示されます。 
 + 
 +{{  :wiki:pfms-management-admin_tools-system_audit_tools_2.png  }} 
 + 
 +You can filter which entries are displayed by different criteria, including actions, userand IP address. You can also perform a text search and define the maximum time range to search, with the option to save that filter if it is frequently used. 
 + 
 +アクション、ユーザ、IPアドレスなど、様々な基準で表示するエントリをフィルタリングできます。テキスト検索を実行したり、検索対象とする最大時間を指定したりすることも可能です。フィルターを頻繁に使用する場合は、保存しておくこともできます。 
 + 
 +<WRAP center round tip 90%> 
 + 
 +You should use the right-side filter and set a start date and an end date, then run the filtering. 
 + 
 +</WRAP> 
 + 
 +<WRAP center round tip 90%> 
 + 
 +右側のフィルタを使用して開始日と終了日を設定し、フィルタリングを実行する必要があります。 
 + 
 +</WRAP>
  
-[[ja:documentation:start|Pandora FMS ドキュメント一覧に戻る]]+[[ja:documentation:pandorafms:start|Pandora FMS ドキュメント一覧に戻る]]
  
  • ja/documentation/pandorafms/cybersecurity/07_safety_functions.1756594384.txt.gz
  • 最終更新: 2025/08/30 22:53
  • by junichi