ja:documentation:pandorafms:technical_annexes:15_security_architecture

セキュリティアーキテクチャ

The security elements of each Pandora FMS component are described, according to regulations such as PCI/DSS, ISO 27001, ENS, LOPD and similar.

Pandora FMS の各コンポーネントのセキュリティ要素を、PCI/DSS、ISO 27001、ENS、LOPD などの規制に従って説明しています。

In addition, a specific description of the security mechanisms of each Pandora FMS element is included, as well as the possible risks and the way to mitigate them, using the tools available in Pandora FMS or other possible mechanisms.

さらに、各 Pandora FMS 要素のセキュリティ メカニズムの具体的な説明、および Pandora FMS で利用可能なツールやその他のメカニズムを使用して発生する可能性のあるリスクとそのリスクを軽減する方法も含んでいます。

  • Pandora FMS components have documented their input and output ports, so it is possible to secure by means of firewalls all the accesses to and from its components.
  • Secure traffic through encryption and certificates: Pandora FMS, at all levels (user operation, communication between components), supports SSL/TLS encryption and certificates at both ends.
  • Dual access authentication system: An double authentication system can be implemented. The first, at the access level (HTTPS) integrated with any Opensource or commercial token system.
  • Third party authentication system: At the application level it is managed by Pandora FMS, which can be authenticated against LDAP or Active Directory.
  • SSO (Single Sign-On), with SAML.
  • Security policies in user management: User management is bounded by policies at both the user profile level and at the operations visibility profile level, defined as the system ACL Extended.
  • Possibility of audits on the actions of monitored elements: Pandora FMS audits all user actions, including information about altered or deleted fields. In addition, it includes a signature validation system for these records.
  • Transfer of audit data to external log handlers: Audit logs are available for export via SQL and can be integrated into a third source for greater security, in near real time.
  • Physical separation of components: They provide an interface to the user and the information containers (filesystem). Both the data stored in the DB and the filesystem that store the monitoring configuration information can be on separate physical machines, in different networks, protected through perimeter systems.
  • Active password policy: Enabling to enforce a strict password management policy for access to application users to (Web console).
  • Encryption of sensitive data: The system allows the most sensitive data, such as access credentials, to be stored in an encrypted and secure manner.
  • Pandora FMS コンポーネントの入出力は文書化されているため、ファイアウォールを使用してコンポーネントとの間のすべてのアクセスを保護することができます。
  • 暗号化と証明書による安全なトラフィック:Pandora FMS は、すべてのレベル(ユーザ操作、コンポーネント間の通信)でSSL / TLS 暗号化と証明書をサポートします。
  • デュアルアクセス認証システム二段階認証システムを実装できます。 1つ目は、オープンソースまたは商用トークンシステムと統合されたアクセスレベル(HTTP)に配置されます。
  • サードパーティシステムとの認証:Pandora FMS によって管理されるアプリケーションレベルで、LDAP または Active Directory による認証ができます。
  • SAML による SSO (シングルサインオン)。
  • ユーザ管理におけるセキュリティポリシー:ユーザ管理は、拡張 ACL システムとして定義される、ユーザプロファイルと運用可視性プロファイルの両方のポリシーによって定義されます。
  • 監視対象要素の操作に対する監査が可能:Pandora FMS は、情報または変更、または削除されたフィールドを含むすべてのユーザ操作を監査します。 さらに、これらのレコードに署名できる検証システムが含まれています。
  • 外部ログマネージャーへの監査データ転送:監査ログは、SQL を介してエクスポートでき、セキュリティを高めるためにほぼリアルタイムで外部ソースに統合できます。
  • ユーザインタフェースと情報コンテナ(ファイルシステム)を提供するコンポーネントの物理的な分離。 データベースに保存されているデータと監視構成情報を保存しているファイルシステムの両方を、境界ネットワークによって保護された、異なるネットワークの別々の物理マシンに置くことができます。
  • ユーザがアプリケーション(Web コンソール)にアクセスするための厳密なパスワード管理ポリシーを要求するアクティブパスワードポリシー
  • 機密データの暗号化。 このシステムでは、ログイン資格情報などの最も機密性の高いデータを暗号化された安全な方法で保存できます。

  • The server needs root permissions and can be installed (with limitations) with non root permissions (only on GNU/Linux systems).
  • The server needs direct access (read and write) to the agents' remote configuration files, which are propagated when the agents contact the server, periodically. These files are protected by filesystem, with standard permissions.
  • The server as such does not listen to any port. It is the Tentacle server which listens on a port, the server only accesses the files that it leaves on disk.
  • The server has its own detailed event log (log).
  • The server connects to the main database via a standard MySQL/TCP connection.
  • Part of the code can be requested under specific contract conditions (for customers only).
  • サーバは root 権限が必要ですが、(いくつかの制限はありますが)非 root 権限でのインストールが可能です。(Linux システムのみ)
  • サーバは、エージェントのリモート設定ファイルへの直接アクセス(読み取りおよび書き込み)が必要です。これらのファイルは、エージェントが定期的にサーバに接続する際に展開されます。 これらのファイルは、標準の権限でのファイルシステムによって保護されています。
  • サーバ自体は任意のポートでの待ち受けをしません。待ち受けをするのは Tentacle サーバです。サーバは、Tentacle サーバがディスクに書き込んだファイルにのみアクセスします。
  • サーバ自身は詳細のログを持ちます。
  • サーバは、通常の MySQL / TCP 接続を用いてメインデータベースに接続します。
  • 特定の契約条件下でコードの一部をリクエストすることが可能です(お客様限定)。

考えられる脆弱性と保護手段

  • Unauthorized access to agent configuration files.
  • エージェント設定ファイルへの不正アクセス。解決策:

Solution: Implement an external secured container for external configuration files, via NFS.

解決策: NFS を使用して、外部構成ファイル用の外部保護コンテナを実装します。

  • Insertion of commands in the remote agents through the manipulation of the configuration files stored in the configuration container.
  • 設定コンテナに格納されている設定ファイルの操作によるリモートエージェントへのコマンドインジェクション。

Solution: Disable remote configuration on particularly sensitive agents after configuration and leave them running without being able to alter anything remotely, for absolute security. Remote monitoring - without agents - of the most sensitive devices.

解決策: 設定後に機密性の高いエージェントのリモート設定を無効にし、完全なセキュリティを確保するために、リモートから設定変更できないようにします。最もデリケートなデバイスのであれば、エージェントを用いないリモート監視をします。

  • Vulnerability to information falsification attacks, simulating agents that are not registered in the system or supplanting their identity. To avoid this several mechanisms can be used:
  • システムに存在しないエージェントをシミュレートしたり、ID を偽装するなど、偽情報攻撃に対して脆弱です。 これを回避するには、いくつかのメカニズムを使用できます。
  1. Password protection mechanism (which works per group).
  2. Limiting the self-creation of agents, and creating them manually.
  3. Limiting the ability to auto-detect changes in the agent and not taking new information from the XML to the existing one.
  1. (グループごとに機能する)パスワード保護システム。
  2. エージェントの自動作成を制限し、代わりに手動で作成します。
  3. すでに設定があるものを除き XML から新しい情報を取得しないようにしたり、エージェントの変更を自動検出する機能を制限します。
  • Malicious capture of communication between server and console (network traffic capture).
  • サーバとコンソール間の通信の悪意のあるキャプチャ(ネットワークトラフィックキャプチャ)。

Solution: Enable TLS communication between server and MySQL database.

解決策: サーバと MySQL データベース間の TLS 通信を有効にします。

  • Tentacle is an official Internet service, documented as such by IANA. This means that it can be easily protected with any perimeter security tool.
  • No root user or special privileges are required.
  • It has four levels of security: No encryption (default), Basic SSL/TLS, SSL/TLS with certificate at both ends, and SSL/TLS with certificate and CA validation (recommended).
  • Specifically designed to give no clues to potential intruders in error messages and with specific timeout periods (timeouts) to discourage brute force attacks.
  • It has its own audit log.
  • 100% of the code is accessible (under Opensource GPL2 license).
  • Tentacle は公式のインターネットサービスであり、IANA によって文書化されています。 これは、あらゆる境界セキュリティツールで簡単に保護できることを意味します。
  • root や特別な権限は必要ありません。
  • 4つのセキュリティレベルがあります:暗号化なし(デフォルト)、SSL / TLS Basic、両端に証明書がある SSL / TLS、および証明書と CA 検証がある SSL / TLS (推奨)。
  • 特にブルートフォース攻撃を防ぐために、特定のタイムアウトを使用して、エラーメッセージで侵入者の手がかりを与えないような特別な設計がされています。
  • 独自の監査ログがあります。
  • コードは 100% 公開されています。(GPL2 ライセンスによるオープンソース)

考えられる脆弱性と保護手段

  • Attacks on filesystem. You must access the configuration container.
  • ファイルシステムへの攻撃。 設定コンテナにアクセスする必要があります。

Solution: It is protected in the same way as the server, by means of a secured external NFS system.

解決策: セキュアな外部 NFS システムにより、サーバと同じ方法で保護できます。

  • DoS attacks by overload.
  • DoS 攻撃による過負荷。

Solutions: Mount a HA solution on the TCP service offered for balancing, or an active/active cluster. Any available hardware or software solution is acceptable as it is a standard TCP service.

解決策: バランシングのための TCP サービス、またはアクティブ/アクティブクラスターで HA ソリューションをセットアップします。 標準の TCP サービスであるため、いずれのハードウェアまたはソフトウェアソリューションも利用できます。

  • It does not require root, it installs with an unprivileged user.
  • You must have access to the agent configuration repository (filesystem).
  • Listen on standard HTTP or HTTPS ports.
  • Logs all requests via HTTP request logging.
  • It offers a public API via HTTP/HTTPS, secured with credentials and list of IP addresses allowed in advance.
  • There is an application-specific audit, which records the activity of each user on each object in the system.
  • Each user's access to any section of the application can be restricted, and even administrators with restricted permissions can be created.
  • The application incorporates a double authentication system.
  • The application incorporates a delegated authentication system (LDAP, AD).
  • A read-only system can be mounted, without access to device configurations.
  • Confidential information (passwords) can be stored in encrypted form in the DB.
  • The application connects to the main DB via a standard MySQL/TCP connection.
  • Part of the code can be requested under specific contract conditions (for customers only).
  • There is a strong implementation of security policies regarding passwords (length, forced change, history, type of valid characters, et cetera).
  • root は必要ありません。権限のないユーザとともにインストールされます。
  • エージェント設定リポジトリー(ファイルシステム)へのアクセス権が必要です。
  • 標準の HTTP または HTTPS ポートで待ち受けます。
  • HTTP アクセスログを介してすべての要求を記録します。
  • 資格情報で保護された HTTP / HTTPS 経由の公開 API と許可された IP アドレスリストを提供します。
  • 各システムオブジェクトの各ユーザの操作を記録するアプリケーション固有の監査があります。
  • アプリケーションの任意のセクションへの各ユーザのアクセスを制限できます。また、管理者においてもアクセスが制限されたユーザを作成することもできます。
  • このアプリケーションには、二段階認証システムが組み込まれています。
  • このアプリケーションには、外部認証システム(LDAP、AD)が組み込まれています。
  • 読み取り専用システムを構築できます。デバイス設定にアクセスできません。
  • 機密情報(パスワード)を暗号化してデータベースに保存できます。
  • アプリケーションは、標準の MySQL / TCP 接続を使用してメインデータベースに接続します。
  • コードの一部はアクセス可能(OpenSource)であり、Enterprise 版のコードは特定の契約条件の下で要求できます(お客様のみ)。
  • パスワードに関するセキュリティポリシーの強力な実装があります(長さ、強制変更、履歴、有効な文字のタイプなど)。

考えられる脆弱性と保護手段

  • Attacks on filesystem. The configuration container must be accessed.
  • ファイルシステムへの攻撃。 設定コンテナーにアクセスする必要があります。

Solution: It is protected in the same way as the server, by means of a secured external NFS system.

解決策: 保護された外部 NFS システムにより、サーバと同様の方法で保護できます。

  • Brute force or dictionary attacks against user authentication.
  • ユーザ認証に対するブルートフォース攻撃または辞書攻撃。

Solutions:

解決策:

  1. Implement a complex password policy.
  2. Implement a double authentication mechanism.
  1. 厳格なパスワードポリシーを実装します(ポイント14)。
  2. 二段階認証システムを実装します(ポイント8)。
  • Traffic capture (eavesdropping) of traffic to the console.
  • コンソールへのトラフィックのキャプチャ(盗聴)。

Solution: Implement SSL/TLS.

解決策: SSL/TLS を実装します。

  • Traffic capture (eavesdropping) of the traffic to the database.
  • データベースへのトラフィックのキャプチャ(盗聴)。

Solution: Implement SSL/TLS.

解決策: SSL/TLS を実装します。

  • SQL injection attacks to obtain confidential information from the application's DB.
  • アプリケーションデータベースから機密情報を取得する SQL インジェクション攻撃。

Solution: Implement encrypted data storage.

解決策: 暗号化データストレージの実装。

  • Misuse (intentional or unintentional) by users of the application.
  • アプリケーションユーザーの誤用(意図的または意図しない)。

Solutions:

  1. Activate the audit log and show users that it exists and its accuracy.
  2. Activate the extended ACL system to restrict the roles of each user as much as possible.
  3. Export the audit log to an external system on a regular basis.

解決策:

  1. 監査ログを有効化し、ユーザにその存在とその正確性を示します。
  2. 拡張 ACL システムを有効化して、各ユーザの機能をできるだけ制限します。
  3. 定期的に監査ログを外部システムにエクスポートします。
  • Execution of malicious code in local console tools, replacing binary files.
  • ローカルコンソールツールでの悪意のあるコードの実行、バイナリファイルの置き換え。

Solution: Strengthening (hardening) of the server containing the application.

解決策: アプリケーションを含むサーバのセキュリティ強化。

  • It can be run without superuser permissions (with limited functionality).
  • Remote management of the agent can be disabled (locally and remotely), so that the impact of an intrusion on the central system can be minimized.
  • The agent does not listen to network ports, it only connects to the Pandora FMS server.
  • There is a record of each execution.
  • The configuration files are protected by default, by means of filesystem permissions. Only a user with super administrator permissions can modify them.
  • 100% of the code is accessible (under Opensource GPL2 license).
  • 管理者権限なしで実行できます(機能が制限されます)。
  • リモートエージェント管理を無効にして(ローカルおよびリモート)、中央システムへの侵入の影響を最小限に抑えることができます。
  • エージェントはネットワークのポートを待ち受けず、Pandora FMS サーバに接続します。
  • 各処理実行の記録があります。
  • 設定ファイルは、ファイルシステムのパーミッションによってデフォルトで保護されています。 管理者権限を持つユーザのみがそれらを変更できます。
  • コードは 100% 参照可能です(GPL2 ライセンスのオープンソース)。

考えられる脆弱性と保護手段

  • Intrusion in the central system that allows distributing execution of malicious commands to the agents.
  • 悪意のあるコマンドの実行をエージェントに配信できる中央システムへの侵入。

Solutions:

解決策:

  1. Limit which users can perform these policy or configuration modifications (via ordinary console ACL or extended ACL).
  2. Activate the read-only mode (readonly) of the agents (do not allow remote modifications of their configuration), for those particularly sensitive systems.
  1. これらのポリシーまたは設定を変更できるユーザを制限します(通常のコンソール ACL または拡張 ACL を使用)。
  2. 特に機密性の高いシステムに対して、エージェントの “読み取り専用” モードを有効化します(設定のリモート変更は許可されません)。
  • Weakness in the filesystem that allows files to be modified.
  • ファイルの変更を可能にするファイルシステムの脆弱性。

Solution: Correct configuration of permissions.

解決策: パーミッション設定を正しくします。

  • Execution of plugins or malicious commands.
  • プラグインまたは悪意のあるコマンドの実行。

Solutions:

解決策:

  1. Limit which users can upload executables (via ordinary console ACL or extended ACL).
  2. Perform an audit of new plugins.
  1. (通常のコンソール ACL または拡張 ACL を介して)実行可能ファイルをアップロードできるユーザを制限します。
  2. 新しいプラグインの監査をします。

  • It is a standard product (MySQL).
  • 標準製品(MySQL)です。

考えられる脆弱性と保護手段

  • Eavesdropping (network traffic capture).
  • 盗聴(ネットワークトラフィックキャプチャ。

Solution: Implementation of a secure TLS connection. MySQL supports it.

解決策: 安全なTLS接続の実装。 MySQL はそれをサポートしています。

  • Incorrect permissions.
  • 不正なパーミッション。

Solution: Correct configuration of access permissions.

解決策: アクセスパーミッション設定の修正。

  • Known MySQL vulnerabilities: An update plan for the MySQL server should be established in which the server can be kept as up to date as possible, and thus avoid possible vulnerabilities due to having old versions.
  • 既知の MySQL 脆弱性: MySQL サーバの更新計画を確立して、可能な限り更新することをお勧めします。これにより古いバージョンに存在する可能性のある脆弱性を取り除くことができます。

System hardening is a key point in a company's overall security strategy.

システムの強化は、企業の全体的なセキュリティ戦略における重要なポイントです。

As manufacturers we issue a series of recommendations to perform a safe installation of all Pandora FMS components, based on a standard RHEL 8 or Ubuntu server platform.

メーカーとして、私たちは標準の RHEL 8 または Ubuntu server プラットフォームに基づいて、すべての Pandora FMS コンポーネントを安全にインストールするための一連の推奨事項を示しています。

These same recommendations are valid for any other GNU/Linux based monitoring system.

これらの推奨事項は、他の GNU/Linux ベースの監視システムにも適用されます。

To access the system, nominative access users will be created, without privileges and with access restricted to the needs they have.

システムにアクセスするためには、特権のない必要に応じてアクセスを制限した目的に応じたユーザを作成します。

Ideally, each user's authentication should be integrated with a double authentication system based on token. There are free and secure alternatives such as Google Authenticator® that can be integrated into GNU/Linux and are beyond the scope of this guide. Seriously consider using them.

理想的には、各ユーザの認証は、トークンに基づく二段階認証システムと統合します。このガイドの範囲外ですが、GNU/Linux に統合可能な Google 認証システム® などの無料で安全な代替手段があります。 それらの使用を真剣に検討してください。

If it is necessary to create other users for applications, they must be users without remote access (to do so, disable their Shell or equivalent method).

アプリケーション用に何らかのユーザを作成する必要がある場合は、リモートアクセス権限のないユーザにする必要があります(そのためには、シェルまたは同等の利用を無効にします)。

In case certain users need to have administrator permissions, the sudo command is used.

特定のユーザーが管理者権限を持つ必要がある場合は、sudo コマンドを使用します。

You only need to be connected to the Internet or configure the dnf or apt system to use a proxy server.

ネットワークに接続するか、プロキシサーバを使用するように dnf システムを設定するだけです。

This command can cause potential problems with changing libraries, configurations, and so on. It is important to update the operating system before putting the system into production. If you are overhauling an already active production system, you may only need to upgrade critical components, for example those that have a vulnerability.

このコマンドは、ライブラリー、設定などの変更で潜在的な問題を引き起こす可能性がありますが、特にシステムを本番環境として利用する場合は、システムのアップグレードを省略しないことが重要です。すでに利用中の本番システムの場合は、これらの重要なコンポーネント、つまり脆弱性のあるコンポーネントのみをアップグレードする必要がある場合があります。

For example to upgrade only MySQL on a RHEL system: dnf update mysql-server.

たとえば、RHEL システムで mysql サーバ のみをアップグレードする場合は、dnf update mysql-server を実行します。

Updating the operating system is a process that should be performed periodically. Vulnerable versions can be queried and emergency updates can be executed by means of the system package inventory.

システムのアップグレードは、定期的に実行する必要がある対応です。 システムパッケージインベントリを使用して、脆弱なバージョンをチェックし、緊急アップグレードを実行します。

It is necessary to have the security log /var/log/secure active and monitor those logs with the monitoring.

セキュリティログ /var/log/secure を有効化し、それらのログを監視する必要があります。

By default this is enabled, if it is not, check the file /etc/rsyslog.conf or /etc/syslog.conf.

CentOS ではこれがデフォルトで有効になっています。そうでない場合は、/etc/rsyslog.conf または /etc/syslog.conf を確認してください。

It is recommended that the logs of the audit system be carried and collected with an external logs management system. Pandora FMS can do it and it will be useful to establish alerts or review them in a centralized way in case of need.

監査システムのログを取得し、外部のログ管理システムで収集することをお勧めします。Pandora FMS はそれを簡単に行うことができ、必要に応じてアラートを発報したり、一元的に確認したりするのに役立ちます。

The SSH server allows remote connection to GNU/Linux systems for the execution of commands, so it is a critical point and must be ensured by paying attention to the following points (to do so, edit the file /etc/ssh/sshd_config and then restart the service).

SSH サーバを使用すると、GNU/Linux システムにリモート接続してコマンドを実行できるため、これは重要なポイントであり、次の点に注意して保護する必要があります(そのためには、ファイル /etc/ssh/sshd_config を編集し、サービスを再起動します)。

  • Modify the default port:
  • デフォルトポートの変更 (例: 31122)
#Port 22     ->     Port 31122
  • Disable the login to the superuser root login:
  • スーパーユーザである root ログイン の無効化
#PermitRootLogin yes        ->    PermitRootLogin no
  • Disable port forwarding
  • ポートフォワーディング の無効化
#AllowTcpForwarding yes        ->    AllowTcpForwarding no
  • Disable tunneling
  • トンネリング の無効化
#PermitTunnel no        ->    PermitTunnel no
  • Remove SSH keys for remote access from root. Assuming that there is only one valid user for remote access (e.g. pfms), if there are others, they should also be checked. To do this, check the contents of the file /home/pfms/.ssh/authorized_keys and check which machines they belong to. Delete it if you think there should be none.
  • リモート root アクセスのための SSH 鍵の削除。リモートアクセスに有効なユーザーは 1人だけであると想定します(例: artica)。 他にある場合は、それらもチェックする必要があります。 これを行うには、ファイル /home/artica/.ssh/authorized_keys の内容を調べて、どのマシンからのものかを確認します。 存在しないはずだと思われる場合は削除します。
  • Set a standard remote access warning explaining that the server is private access and that anyone without credentials should disconnect.
  • サーバがプライベートアクセスであり、資格情報を持たない人は切断する旨を説明する標準のリモートアクセス警告を設定します。
Banner /etc/issue.net

If MySQL only services an internal element, you must verify with netstat that it only listens on localhost:

MySQL が内部のみにサービスを提供する場合は、netstat を使用して、localhost のみで待ち受けていることを確認する必要があります。

netstat -an | grep 3306 | grep LIST
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN

In the previous example you are listening without restrictions, you must edit the file /etc/my.cnf, section [mysqld], adding the following line:

この場合、どこからでも接続を受け付けます。制限するには、ファイル /etc/my.cnf を編集し、セクション [mysqld] に次の行を追加します。

bind-address = 127.0.0.1

After restarting the service, check the listening port again.

サービスの再起動後、待ち受けを再度確認します。

MySQL Password

MySQL パスワード

Connect to the MySQL console with a privileged user:

特権ユーザで MySQL コンソールに接続します。

mysql -h host -u root -p

Verify that the password is complex and that you have requested a password. If not, it is set with the command:

パスワードが安全であり、パスワードの入力を求められていることを確認します。 そうでない場合は、次のコマンドで設定します。

mysqladmin password

This security measure is essential to protect databases not only against external attacks but also against misuse by internal users.

このセキュリティ対策は、外部からの攻撃だけでなく、内部ユーザによる誤用からもデータベースを保護するために不可欠です。

ServerTokens Prod

Add the above line to hide the web server version (Apache, Nginx) in the server information headers:

上記の行を追加すると、サーバ情報ヘッダー内の Web サーバのバージョン (Apache、Nginx) が非表示になります。

  • /etc/httpd/conf/httpd.conf (RHEL).
  • /etc/apache2/conf-enabled/pandora_security.conf (Ubuntu server)

To secure the application engine on which Pandora FMS runs, it may be necessary, in some particularly security-sensitive environments, to secure access to the application so that session cookies are only transmitted with SSL.

Pandora FMS が実行されるアプリケーションエンジンを保護するために、特にセキュリティが重要な環境では、セッション クッキー が SSL でのみ送信されるようにアプリケーションへのアクセスを保護することが必要になる場合があります。

This will cause the application to not work when used over HTTP (without encryption).

これにより、HTTP (暗号化なし) 経由で使用した場合にアプリケーションが動作しなくなります。

To do this, the following configuration tokens must be included in the php.ini file:

これを行うには、次の設定を php.ini ファイルに追加する必要があります。

session.cookie_httponly = 1
session.cookie_secure = 1

This technique, which can be very thorough, consists of removing everything unnecessary on the system. This avoids possible problems in the future with misconfigured applications that are not really needed. To simplify the approach to this practice, consider only those applications that have an open port on the machine, for this run: netstat -tulpn.

この手法は非常に網羅的であり、システムに不要なものをすべて排除するだけです。 このようにして、実際には必要のない、誤って設定されたアプリケーションで将来発生する可能性のある問題を回避します。 この方法へのアプローチを単純化するために、マシン上にポートを開いて待ち受けているアプリケーションのみを対象とします。このために、netstat -tulpn を実行します。

Each port should be investigated and the application behind it should be known. To do this you can use the lsof command, which must be installed with dnf or apt.

各ポートを調査し、その背後にあるアプリケーションを把握する必要があります。これを行うには、dnf または apt でインストールできる lsof コマンドを使用できます。

Those services listening on localhost (127.0.0.1) are more secure than those listening to all IP addresses (0.0.0.0.0) and some of them, if they are listening on open port, you should try to correct them to listen only to localhost.

localhost (127.0.0.1) で待ち受けているサービスは、すべての IP アドレス (0.0.0.0.0) で待ち受けているサービスよりも安全です。また、開いているポートで待ち受けているサービスがある場合は、localhost のみで待ち受けるように修正する必要があります。

By means of the Pandora FMS process inventory system, it should be verified that no new processes are started over time.

Pandora FMS プロセスインベントリシステムを使用して、時間の経過とともに新しいプロセスが開始されていないことを確認します。

It is recommended to configure system time synchronization on a RHEL system:

RHEL システムの時刻同期を設定することをお勧めします。

dnf install ntpdate
echo "ntpdate 0.us.pool.ntp.org"> /etc/cron.daily/ntp
chmod 755 /etc/cron.daily/ntp

The system should have an Pandora FMS Software Agent installed and executed in the PFMS server. For MS Windows® operating system, from version 761 onwards, the installation executables are digitally signed.

システムには、Pandora FMS ソフトウエアエージェントをインストールして起動します。MS Windows® オペレーティングシステムの場合、バージョン 761 以降、インストール実行ファイルは署名されています。

The following active checks are recommended in addition to the standard checks:

標準チェックに加えて、次のアクティブチェックをお勧めします。

  • Security plugin active.
  • Complete system inventory (especially users and installed packages).
  • System log collection and security:
  • セキュリティプラグイン
  • 完全なシステムインベントリ(特にユーザーとインストール済みパッケージ)。
  • システムおよびセキュリティログの収集
module_plugin grep_log_module /var/log/messages Syslog \.\*
module_plugin grep_log_module /var/log/secure Secure \.\*

Once the Software Agent is installed, at least the following information must be manually defined in the agent tab:

ソフトウェアエージェントをインストールしたら、少なくとも次の情報をエージェントタブで手動で定義する必要があります。

  • Description.
  • IP address (if you have several, enter them all).
  • Group.
  • Department, responsible and physical location (custom fields).
  • 説明
  • IP アドレス(複数ある場合は全て設定します)
  • グループ
  • 部門、責任者および物理的な場所(カスタムフィールド)

The official plugin allows to proactively monitor security in the agent, at each execution, almost in real time, offering some checks that can alert of some relevant events.

公式プラグインを使用すると、実行のたびに、ほぼリアルタイムでエージェントのセキュリティをプロアクティブに監視でき、関連するイベントの警告を発することができます。

This plugin is intended to run only on modern GNU/Linux machines. It contains a custom build of John the ripper 1.8 + Contrib patches with static 32-bit and 64-bit binaries. The main concept of the plugin is to be monolithic, detect what can be hardened and try to resolve differences between distributions without asking anything to the administrator, so the deployment could be the same for any system, ignoring versions, distro or architecture.

このプラグインは、最新の GNU/Linux マシンでのみ実行することを目的としています。これには、32および 64bit 版の John the ripper 1.8 + Contrib パッチのカスタムビルドが含まれています。プラグインの主な概要は、モノリシックであり、強化ポイントを検出し、管理者に何も尋ねることなくディストリビューション間の違いを解決しようとすることです。そのため、バージョン、ディストリビューション、またはアーキテクチャに関係なく、どのシステムでも同じように展開することができます。

This plugin will check:

このプラグインは以下をチェックします。

  • Auditing user passwords, using the dictionary (provided) with the 500 most common passwords. If you have hundreds of users, you will probably need to customize the plugin to run only every 2 to 6 hours. You can customize the password dictionary by adding your organization's typical password in the “basic_security/password-list” file.
  • SSH does not run on the default port.
  • SSH does not allow root access.
  • That FTP does not run on the default port.
  • Check if there is a MySQL server running without the root password defined.
  • Other checkups.
  • 最も一般的な 500個のパスワードを含む辞書(あらかじめ提供)を使用したユーザパスワードの監査チェック。 通常、これには数秒しかかかりません。 数百人のユーザがいる場合は、プラグインの実行を 2〜6時間ごとにのみ実行するようにカスタマイズする必要があります。 組織の一般的なパスワードを “basic_security/password-list” ファイルに追加するだけで、パスワード辞書をカスタマイズできます。
  • SSH がデフォルトのポートで実行されていないことの確認。
  • SSH が root アクセスを許可していないことの確認。
  • FTP がデフォルトのポートで実行されていないことの確認。
  • MySQL が root パスワード無しで実行されているかどうかの確認。
  • その他チェック。

Pandora FMS ドキュメント一覧に戻る

  • ja/documentation/pandorafms/technical_annexes/15_security_architecture.txt
  • 最終更新: 2024/10/12 08:01
  • by junichi