差分
このページの2つのバージョン間の差分を表示します。
| 両方とも前のリビジョン 前のリビジョン 次のリビジョン | 前のリビジョン | ||
| ja:documentation:pandorafms:cybersecurity:15_security_architecture [2025/11/14 12:57] – [考えられる脆弱性と保護手段] junichi | ja:documentation:pandorafms:cybersecurity:15_security_architecture [2026/04/18 06:38] (現在) – [概要] junichi | ||
|---|---|---|---|
| 行 12: | 行 12: | ||
| **Pandora FMS** の各コンポーネントのセキュリティ要素を、PCI/ | **Pandora FMS** の各コンポーネントのセキュリティ要素を、PCI/ | ||
| + | |||
| + | {{ : | ||
| In addition, a specific description of the security mechanisms of each Pandora FMS element is included, as well as the possible risks and the way to mitigate them, using the tools available in Pandora FMS or other possible mechanisms. | In addition, a specific description of the security mechanisms of each Pandora FMS element is included, as well as the possible risks and the way to mitigate them, using the tools available in Pandora FMS or other possible mechanisms. | ||
| 行 253: | 行 255: | ||
| <wrap #ks3_4 /> | <wrap #ks3_4 /> | ||
| - | ==== エージェント ==== | + | ==== エージェント(エンドポイント) |
| - | * It can be run without superuser permissions (with limited | + | * It can be run without superuser permissions (with limited |
| - | * Remote management of the agent can be disabled (locally and remotely), so that the impact of an intrusion on the central system can be minimized. | + | * Remote management of the EndPoint |
| - | * The agent does not listen to network ports, it only connects to the Pandora FMS server. | + | * The EndPoint |
| * There is a record of each execution. | * There is a record of each execution. | ||
| - | * The configuration | + | * Configuration |
| * 100% of the code is accessible (under Opensource GPL2 license). | * 100% of the code is accessible (under Opensource GPL2 license). | ||
| * 管理者権限なしで実行できます(機能が制限されます)。 | * 管理者権限なしで実行できます(機能が制限されます)。 | ||
| - | * リモートエージェント管理を無効にして(ローカルおよびリモート)、中央システムへの侵入の影響を最小限に抑えることができます。 | + | * リモートエンドポイント管理を無効にして(ローカルおよびリモート)、中央システムへの侵入の影響を最小限に抑えることができます。 |
| - | * エージェントはネットワークのポートを待ち受けず、Pandora FMS サーバに接続します。 | + | * エンドポイントはネットワークのポートを待ち受けず、Pandora FMS サーバに接続します。 |
| * 各処理実行の記録があります。 | * 各処理実行の記録があります。 | ||
| * 設定ファイルは、ファイルシステムのパーミッションによってデフォルトで保護されています。 管理者権限を持つユーザのみがそれらを変更できます。 | * 設定ファイルは、ファイルシステムのパーミッションによってデフォルトで保護されています。 管理者権限を持つユーザのみがそれらを変更できます。 | ||
| 行 273: | 行 275: | ||
| === 考えられる脆弱性と保護手段 === | === 考えられる脆弱性と保護手段 === | ||
| - | * Intrusion in the central system that allows distributing execution of malicious commands to the agents. | + | * Intrusion in the central system that allows distributing execution of malicious commands to the agents |
| - | * 悪意のあるコマンドの実行をエージェントに配信できる中央システムへの侵入。 | + | * 悪意のあるコマンドの実行をエージェントやエンドポイントに配信できる中央システムへの侵入。 |
| // | // | ||
| 行 281: | 行 283: | ||
| // | // | ||
| - | - Limit which users can perform these policy or configuration modifications (via ordinary console ACL or extended ACL). | + | - Limit which users may perform these policy or configuration modifications (via ordinary console ACL or [[: |
| - | - Activate the read-only mode (//readonly//) of the agents (do not allow remote modifications of their configuration), | + | - Activate the read-only mode (readonly) of the agents (do not allow remote |
| - | - これらのポリシーまたは設定を変更できるユーザを制限します(通常のコンソール ACL または拡張 ACL を使用)。 | + | - これらのポリシーまたは設定を変更できるユーザを制限します(通常のコンソール ACL または[[: |
| - | - 特に機密性の高いシステムに対して、エージェントの " | + | - 特に機密性の高いシステムに対して、エージェントの " |
| * Weakness in the // | * Weakness in the // | ||
| 行 303: | 行 305: | ||
| // | // | ||
| - | - Limit which users can upload executables (via ordinary console ACL or extended ACL). | + | - Limit which users may upload executables (though |
| - | - Perform an audit of **new** | + | - Perform an audit of **new**plugins. |
| - | - (通常のコンソール ACL または拡張 ACL を介して)実行可能ファイルをアップロードできるユーザを制限します。 | + | - (通常のコンソール ACL または[[: |
| - 新しいプラグインの監査をします。 | - 新しいプラグインの監査をします。 | ||