ja:documentation:pandorafms:technical_annexes:15_security_architecture

差分

このページの2つのバージョン間の差分を表示します。

この比較画面へのリンク

両方とも前のリビジョン 前のリビジョン
次のリビジョン		 前のリビジョン
ja:documentation:pandorafms:technical_annexes:15_security_architecture [2024/08/21 05:46] – [システムを最新の状態に保つ] junichija:documentation:pandorafms:technical_annexes:15_security_architecture [2024/10/12 08:01] (現在) – [概要] junichi
行 9: 行 9:
 ===== 概要 ===== ===== 概要 =====
  
-The security elements of each component of **Pandora FMS** are described, according to regulations such as PCI/DSS, ISO 27001, ENS, LOPD and similar.+The security elements of each **Pandora FMS** component are described, according to regulations such as PCI/DSS, ISO 27001, ENS, LOPD and similar.
  
 **Pandora FMS** の各コンポーネントのセキュリティ要素を、PCI/DSS、ISO 27001、ENS、LOPD などの規制に従って説明しています。 **Pandora FMS** の各コンポーネントのセキュリティ要素を、PCI/DSS、ISO 27001、ENS、LOPD などの規制に従って説明しています。
行 405: 行 405:
 ==== アクセス監査 ==== ==== アクセス監査 ====
  
-It is necessary to have the security log ''/var/log/secure'' active and to monitor those logs with the monitoring (which we will see later).+It is necessary to have the security log ''/var/log/secure'' active and monitor those //logs// with the monitoring.
  
-セキュリティログ ''/var/log/secure'' を有効化し、それらのログを監視する必要があります(これについては後で説明します)+セキュリティログ ''/var/log/secure'' を有効化し、それらのログを監視する必要があります。
  
-By default CentOS comes with this enabled. If not, check the ''/etc/rsyslog.conf'' or ''/etc/syslog.conf'' .+By default this is enabled, if it is not, check the file ''/etc/rsyslog.conf''  or ''/etc/syslog.conf''.
  
 CentOS ではこれがデフォルトで有効になっています。そうでない場合は、''/etc/rsyslog.conf'' または ''/etc/syslog.conf'' を確認してください。 CentOS ではこれがデフォルトで有効になっています。そうでない場合は、''/etc/rsyslog.conf'' または ''/etc/syslog.conf'' を確認してください。
  
-We recommend that you take the logs of the audit system and collect them with an external log management systemPandora FMS can do it easily and it will be useful to establish alerts or review them in a centralized way in case of need.+It is recommended that the //logs// of the audit system be carried and collected with an external //logs// management systemPandora FMS can do it and it will be useful to establish alerts or review them in a centralized way in case of need.
  
 監査システムのログを取得し、外部のログ管理システムで収集することをお勧めします。Pandora FMS はそれを簡単に行うことができ、必要に応じてアラートを発報したり、一元的に確認したりするのに役立ちます。 監査システムのログを取得し、外部のログ管理システムで収集することをお勧めします。Pandora FMS はそれを簡単に行うことができ、必要に応じてアラートを発報したり、一元的に確認したりするのに役立ちます。
 +
 +<wrap #ks4_5 />
  
 ==== SSH サーバの保護 ==== ==== SSH サーバの保護 ====
  
-The SSH server allows us to connect remotely to our GNU/Linux systems to execute commands, so it is a critical point and must be secured by paying attention to the following points (to do so, edit the file ''/etc/ssh/sshd_config'' and then restart the service).+The SSH server allows remote connection to GNU/Linux systems for the execution of commands, so it is a critical point and must be ensured by paying attention to the following points (to do so, edit the file ''/etc/ssh/sshd_config'' and then restart the service).
  
 SSH サーバを使用すると、GNU/Linux システムにリモート接続してコマンドを実行できるため、これは重要なポイントであり、次の点に注意して保護する必要があります(そのためには、ファイル ''/etc/ssh/sshd_config'' を編集し、サービスを再起動します)。 SSH サーバを使用すると、GNU/Linux システムにリモート接続してコマンドを実行できるため、これは重要なポイントであり、次の点に注意して保護する必要があります(そのためには、ファイル ''/etc/ssh/sshd_config'' を編集し、サービスを再起動します)。
  
-   * Modify default port (e.g. to 31122)+  * Modify the default port:
  
    * デフォルトポートの変更 (例: 31122)    * デフォルトポートの変更 (例: 31122)
  
 <code> <code>
-#Port22     ->     Port 31122+#Port 22     ->     Port 31122
  
 </code> </code>
  
-  * Disable **root login**  for superuser+  * Disable the login to the superuser **root login**:
  
   * スーパーユーザである **root ログイン** の無効化   * スーパーユーザである **root ログイン** の無効化
行 459: 行 461:
 </code> </code>
  
-  * Remove SSH keys for remote **root**  accessWe assume that there is only one valid user for remote access (e.g. artica). If there are others, they should also be checked. To do this, we look at the contents of the file ''/home/artica/.ssh/authorized_keys''  and see which machines we are from. Delete it if we think there should not be any.+  * Remove SSH keys for remote access from **root**. Assuming that there is only one valid user for remote access (e.g. **pfms**), if there are others, they should also be checked. To do this, check the contents of the file ''/home/pfms/.ssh/authorized_keys'' and check which machines they belong to//Delete it if you think there should be none//.
  
   * リモート **root** アクセスのための SSH 鍵の削除。リモートアクセスに有効なユーザーは 1人だけであると想定します(例: artica)。 他にある場合は、それらもチェックする必要があります。 これを行うには、ファイル ''/home/artica/.ssh/authorized_keys'' の内容を調べて、どのマシンからのものかを確認します。 存在しないはずだと思われる場合は削除します。   * リモート **root** アクセスのための SSH 鍵の削除。リモートアクセスに有効なユーザーは 1人だけであると想定します(例: artica)。 他にある場合は、それらもチェックする必要があります。 これを行うには、ファイル ''/home/artica/.ssh/authorized_keys'' の内容を調べて、どのマシンからのものかを確認します。 存在しないはずだと思われる場合は削除します。
行 471: 行 473:
  
 </code> </code>
 +
 +<wrap #ks4_6 />
  
 ==== MySQL サーバの保護 ==== ==== MySQL サーバの保護 ====
  
-Listening port. If the MySQL server has to service the outside, we simply check that the **root** credentials are secure. If MySQL only services an internal element, we make sure that it only listens on localhost:+If MySQL only services an internal element, you must verify with **netstat** that it only listens on localhost:
  
-待ち受けポート。 MySQL サーバ部にサービスを提供する必要がある場合は、**root** の認証情報が安全ることを確認するだけです。 MySQL 内部にのみサービス提供する場合は、ローカルホストでのみ待ち受けるようにします。+MySQL がのみにサービスを提供する場合は、**netstat** を使用して、localhost 待ち受けていることを確認する必要あります。
  
-<code>+<code bash>
 netstat -an | grep 3306 | grep LIST netstat -an | grep 3306 | grep LIST
 tcp        0      0 0.0.0.0:3306            0.0.0.0:              LISTEN tcp        0      0 0.0.0.0:3306            0.0.0.0:              LISTEN
行 484: 行 488:
 </code> </code>
  
-In this case it is listening for everyonewe must ensure it. To do this, we will edit the file ''/etc/my.cnf'' and in the section [''mysqld]'' we will add the following line:+In the previous example you are listening without restrictionsyou must edit the file ''/etc/my.cnf''section ''[mysqld]'', adding the following line:
  
 この場合、どこからでも接続を受け付けます。制限するには、ファイル ''/etc/my.cnf'' を編集し、セクション ''[mysqld]'' に次の行を追加します。 この場合、どこからでも接続を受け付けます。制限するには、ファイル ''/etc/my.cnf'' を編集し、セクション ''[mysqld]'' に次の行を追加します。
  
-<code> +<code bash>
 bind-address = 127.0.0.1 bind-address = 127.0.0.1
  
 </code> </code>
  
-And we will verify again that it is listening, but now only on localhost after restarting the service:+After restarting the service, check the listening port again.
  
-待ち受けを再度確認します。サービス再起動した後、ローカルホストでのみ待ち受けています。 +サービス再起動後、待ち受けを再度確認します。
- +
-<code> +
-netstat -an | grep 3306 | grep LIST +
-tcp        0      0 127.0.0.1:3306          0.0.0.0:              LISTEN +
- +
-</code>+
  
 **MySQL Password** **MySQL Password**
行 512: 行 509:
 特権ユーザで MySQL コンソールに接続します。 特権ユーザで MySQL コンソールに接続します。
  
-<code> +<code bash
- +mysql -h host -u root -p
-mysql h host u root p+
  
 </code> </code>
  
-Verify that the password is secure and that we have been asked for a password. If not, set it with the command:+Verify that the password is complex and that you have requested a password. If not, it is set with the command:
  
 パスワードが安全であり、パスワードの入力を求められていることを確認します。 そうでない場合は、次のコマンドで設定します。 パスワードが安全であり、パスワードの入力を求められていることを確認します。 そうでない場合は、次のコマンドで設定します。
  
-<code>+<code bash>
 mysqladmin password mysqladmin password
  
 </code> </code>
  
-This security measure is essential to protect our databases not only against external attacks but also against misuse by internal users.+This security measure is essential to protect databases not only against external attacks but also against misuse by internal users.
  
 このセキュリティ対策は、外部からの攻撃だけでなく、内部ユーザによる誤用からもデータベースを保護するために不可欠です。 このセキュリティ対策は、外部からの攻撃だけでなく、内部ユーザによる誤用からもデータベースを保護するために不可欠です。
 +
 +<wrap #ks4_7 />
  
 ==== Apache web サーバの保護 ==== ==== Apache web サーバの保護 ====
行 538: 行 536:
 </code> </code>
  
-Add the above line to the file:+Add the above line to hide the web server version (Apache, Nginx) in the server information headers:
  
-上記を以下ファイルに追加ます。+上記の行を追加すると、サーバ情報ヘッダー内の Web サーバのバージョン (Apache、Nginx) が非表示になります。
  
   * ''/etc/httpd/conf/httpd.conf'' (RHEL).   * ''/etc/httpd/conf/httpd.conf'' (RHEL).
   * ''/etc/apache2/conf-enabled/pandora_security.conf'' (Ubuntu server)   * ''/etc/apache2/conf-enabled/pandora_security.conf'' (Ubuntu server)
  
-to hide the web server version (Apache, Nginx) in the server information headers.+<wrap #ks4_8 />
  
-バ情報ヘッダ内の Web サーバのバージョン (Apache、Nginx) を非表示にします。+==== PHP アプリケョンエンジン ====
  
-==== システムサービスの最小化 ====+To secure the application engine on which Pandora FMS runs, it may be necessary, in some particularly security-sensitive environments, to secure access to the application so that session //cookies// are only transmitted with SSL.
  
-This technique, which can be very exhaustive, simply consists of eliminating everything that is not necessary in the system. This way we avoid possible problems in the future with misconfigured applications that we do not really need. To simplify the approach to this practice, we will consider only those applications that have an open port on the machine, for this, we will run the following command:+Pandora FMS が実行されるアプリケーションエンジンを保護するために、特にセキュリティが重要な環境では、セッション //クッキー// が SSL でのみ送信されるようにアプリケーションへのアクセスを保護することが必要になる場合があります。
  
-この手法は非常に網羅的であり、システムに不要なものをすべて排除するだけです。 このようにして、実際には必要のない、誤って設定されたアプリケーションで将来発生する可能性のある問題を回避します。 この方法へのアプローチを単純化するために、マシン上にポートを開いて待ち受けているアプリケーションのみを対象とします。このために、次のコマンドを実行します。+<WRAP center round important 90%>
  
-<code> +This will cause the application to not work when used over HTTP (without encryption).
-netstat -tulpn+
  
-</code>+</WRAP>
  
-It should return a result for each listening port, something similar to this, but not the same:+<WRAP center round important 90%>
  
-次のスニグポートごとに結果返されます。ただ、環境によって異なります。+これにり、HTTP (暗号化なし) 経由で使用した場合アプケーションが動作なくなります。
  
-<code> +</WRAP>
-Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name +
-tcp        0      0 127.0.0.1:25            0.0.0.0:              LISTEN      996/master +
-tcp        0      0 0.0.0.0:443             0.0.0.0:              LISTEN      75171/httpd +
-tcp        0      0 0.0.0.0:31122           0.0.0.0:              LISTEN      872/sshd +
-tcp        0      0 127.0.0.1:3306          0.0.0.0:              LISTEN      75097/mysqld +
-tcp        0      0 0.0.0.0:80              0.0.0.0:              LISTEN      75171/httpd +
-tcp        0      0 0.0.0.0:6099            0.0.0.0:              LISTEN      7721/Xvfb +
-tcp6            0 :::4444                 :::                   LISTEN      7726/java +
-tcp6            0 :::34599                :::*                    LISTEN      7726/java +
-tcp6            0 :::6099                 :::                   LISTEN      7721/Xvfb+
  
-</code>+To do this, the following configuration tokens must be included in the ''php.ini'' file:
  
-If we have disabled IPv6 we should not see tcp6 lines unless they are services that were started in ipv6 mode and have been left without restarting after making a change in the system with sysctl.+これを行うには、次の設定を ''php.ini'' ファイルに追加する必要があります。
  
-IPv6 を無効にした場合、tcp6 の行は、sysctl を使用してシステムに変更を加えた後、再起動せずに残されたサービスでない限り、表示されないはずです。+<code> 
 +session.cookie_httponly = 1 
 +session.cookie_secure = 1
  
-We should investigate each port and know the application behind it. In this case, 443, 80 seems to be from the ''http'' service, but to be sure we will analyze which system processes are using each port. To do this we will use the **lsof** command, which will have to be installed with **yum** because it is not installed by default.+</code>
  
-各ポートを調査し、その背後にあるアプリケーションを知る必要があります。 この場合、443、80 は ''http'' サービスからのもののようですが、どのシステムプロセスが各ポートを使用しているかを確実に分析します。 これを行うには、**lsof** コマンドを使用します。これは、デフォルトではインストールされないため、**yum** とともにインストールする必要があります。+<wrap #ks4_9 />
  
-Those services that listen on **localhost** (''127.0.0.1'') are more secure than those that listen to all IP addresses (''0.0.0.0'') and some of them, if they are listening in open, we should try to secure them to listen only to localhost. In this example screen it has been done for example for MySQL (''3306'').+==== システムサービスの最小化 ====
  
-**localhost** ('' 127.0.0.1'') でリッスンするサービスは、すべての IP アドレス (''0.0.0.0'') および一部のサービス(オープンでリッスンしている場合)をリッスンするサービスよりも安全です。 、ローカルホストのみをリッスンするようにセキュリティで保護する必要があります。 この画面例では、たとえば MySQL('' 3306'')に対して実行されています。+This technique, which can be very thorough, consists of removing everything unnecessary on the systemThis avoids possible problems in the future with misconfigured applications that are not really neededTo simplify the approach to this practice, consider only those applications that have an open port on the machine, for this run: ''netstat -tulpn''.
  
-For example, we see that the main **postfix** process is running. As we do not need this service, we uninstall it from the system:+この手法は非常に網羅的であり、システムに不要なものをすべて排除するだけです。 このようにして、実際には必要のない、誤って設定されたアプリケーションで将来発生する可能性のある問題を回避します。 この方法へのアプローチを単純化するために、マシン上にポートを開いて待ち受けているアプリケーションのみを対象とします。このために、''netstat -tulpn'' を実行します。
  
-たとえば、メインの **postfix** プロセスが実行されていることがわかります。 このサービスは必要ないため、システムからアンインストールします。+Each port should be investigated and the application behind it should be known. To do this you can use the **lsof** command, which must be installed with **dnf** or **apt**.
  
-<code> +各ポートを調査し、その背後にあるアプリケーションを把握する必要があります。これを行うには、**dnf** または **apt** でインストールできる **lsof** コマンドを使用できます。
-yum remove postfix+
  
-</code>+Those services listening on **localhost** (''127.0.0.1'') are more secure than those listening to all IP addresses (''0.0.0.0.0'') and some of them, if they are listening on open port, you should try to correct them to listen only to **localhost**.
  
-By investigating the PID of each of the processes in doubt (see previous stepwe will see the process that is on that port:+**localhost** (''127.0.0.1''で待ち受けているサービスは、すべての IP アドレス (''0.0.0.0.0'') で待ち受けているサービスよりも安全です。また、開いているポートで待ち受けているサービスがある場合は、**localhost** のみで待ち受けるように修正する必要があります。
  
-疑わしい各プロセスの PID を調査することにより(前述のステップを参照)、そのポートにあるプロセスを確認します。+By means of the Pandora FMS process inventory system, it should be verified that no new processes are started over time.
  
-<code> +Pandora FMS プロセスインベントリシステムを使用して、時間の経過とともに新しいプロセスが開始されていないことを確認します。
-ps aux | grep 7726 root 7726 0.1 8.5 3258724 248608 ? Sl Mar09 60:01 /usr/bin/java -jar /usr/lib/pwr/selenium-server-standalone-2.53.1.jar -host 185.247.117.28 -port 4444 -firefoxProfileTemplate /opt/firefox_profile root 79041 0.0 0.0 112716 960 pts/4 S+ 11:54 0:00 grep --color=auto 7726+
  
-</code>+<wrap #ks5 />
  
-And if we are not using that service, we can remove it.+===== 追加設定 =====
  
-また、そのサービスを使用していない場合は、削除できます。 +<wrap #ks5_1 />
- +
-This process of "investigation" of processes must be exhaustive and repetitive over time. By means of the Pandora FMS process inventory system, we should verify that no new processes are started along the time. A listening port in a server is something very significant from the security point of view, it would be like a window in the front of the building. We may believe that it is closed and secure, but a window will always be a possible entry point for a qualified and motivated intruder. +
- +
-プロセスの "調査" のためのこの処理は、時間をかけて徹底的かつ反復的に行う必要があります。Pandora FMS プロセスインベントリシステムを使用して、時間の経過とともに新しいプロセスが開始されていないことを確認する必要があります。 サーバの待ち受けポートは、セキュリティの観点から非常に重要なものであり、建物の正面にある窓のようなものです。 私たちはそれが閉じていて安全であると信じているかもしれませんが、窓は常に権限のある人や、やる気のある侵入者の入り口となります。 +
- +
-===== 追加設定 =====+
  
 ==== NTP 時刻同期 ==== ==== NTP 時刻同期 ====
  
-It is recommended to configure the time synchronization of the system:+It is recommended to configure system time synchronization on a RHEL system:
  
-システムの時刻同期を設定することをお勧めします。+RHEL システムの時刻同期を設定することをお勧めします。
  
-<code> +<code bash
-yum install ntpdate+dnf install ntpdate
 echo "ntpdate 0.us.pool.ntp.org"> /etc/cron.daily/ntp echo "ntpdate 0.us.pool.ntp.org"> /etc/cron.daily/ntp
 chmod 755 /etc/cron.daily/ntp chmod 755 /etc/cron.daily/ntp
  
 </code> </code>
 +
 +<wrap #ks6 />
  
 ===== ローカル監視 ===== ===== ローカル監視 =====
  
-The system should have [[:en:documentation:02_installation:01_installing#pandora_fms_agent_installation|Pandora FMS Software Agent]] installed and launched against our server. For MS Windows® operating system, from version 761 onwards, the installation executables are signed.+The system should have an [[en:documentation:pandorafms:installation:01_installing#ks2|Pandora FMS Software Agent]] installed and executed in the PFMS server. For MS Windows® operating system, from version 761 onwards, the installation executables are digitally signed.
  
-システムには、[[:ja:documentation:02_installation:01_installing#pandora_fms_agent_installation|Pandora FMS ソフトウエアエージェント]]をインストールして起動します。MS Windows® オペレーティングシステムの場合、バージョン 761 以降、インストール実行ファイルは署名されています。 +システムには、[[:ja:documentation:pandorafms:installation:01_installing#pandora_fms_エージェントインストール|Pandora FMS ソフトウエアエージェント]]をインストールして起動します。MS Windows® オペレーティングシステムの場合、バージョン 761 以降、インストール実行ファイルは署名されています。
- +
-{{  :wiki:pfms-software_agent-ms_windows.png  }}+
  
 The following active checks are recommended in addition to the standard checks: The following active checks are recommended in addition to the standard checks:
行 643: 行 624:
 標準チェックに加えて、次のアクティブチェックをお勧めします。 標準チェックに加えて、次のアクティブチェックをお勧めします。
  
-  * Active security plugin.+  * Security plugin active.
   * Complete system inventory (especially users and installed packages).   * Complete system inventory (especially users and installed packages).
-  * Collection of system and security logs:+  * System log collection and security:
  
   * セキュリティプラグイン   * セキュリティプラグイン
行 652: 行 633:
  
 <code> <code>
- +module_plugin grep_log_module /var/log/messages Syslog \.\* 
- module_plugin grep_log_module /var/log/messages Syslog \.\* +module_plugin grep_log_module /var/log/secure Secure \.\*
- module_plugin grep_log_module /var/log/secure Secure \.\*+
  
 </code> </code>
行 663: 行 643:
  
   * Description.   * Description.
-  * IP address (if you have several, put all of them).+  * IP address (if you have several, enter them all).
   * Group.   * Group.
   * Department, responsible and physical location (custom fields).   * Department, responsible and physical location (custom fields).
行 671: 行 651:
   * グループ   * グループ
   * 部門、責任者および物理的な場所(カスタムフィールド)   * 部門、責任者および物理的な場所(カスタムフィールド)
 +
 +<wrap #ks7 />
  
 ===== GNU/Linux におけるセキュリティ監視 ===== ===== GNU/Linux におけるセキュリティ監視 =====
  
-The [[https://pandorafms.com/library/linux-security-plugin|official plugin]] allows to proactively monitor the security in the agent, in each execution, almost in real time, offering some checks that can alert us of some relevant events in a proactive way.+The [[https://pandorafms.com/library/linux-security-plugin|official plugin]] allows to proactively monitor security in the agent, at each execution, almost in real time, offering some checks that can alert of some relevant events.
  
 [[https://pandorafms.com/library/linux-security-plugin|公式プラグイン]]を使用すると、実行のたびに、ほぼリアルタイムでエージェントのセキュリティをプロアクティブに監視でき、関連するイベントの警告を発することができます。 [[https://pandorafms.com/library/linux-security-plugin|公式プラグイン]]を使用すると、実行のたびに、ほぼリアルタイムでエージェントのセキュリティをプロアクティブに監視でき、関連するイベントの警告を発することができます。
  
-This plugin is intended to run **only** on modern GNU/Linux computers. It is prepared to run on 64 and 32 bits.+This plugin is intended to run **only** on modern GNU/Linux machines. It contains a custom build of John the ripper 1.8 + Contrib patches with static 32-bit and 64-bit binaries. The main concept of the plugin is to be monolithic, detect what can be hardened and try to resolve differences between distributions without asking anything to the administrator, so the deployment could be the same for any system, ignoring versions, distro or architecture.
  
-このプラグインは、最新の GNU/Linux ピュータで**のみ**実行することを目的としています。 64ビットと 32ビットで実行できるように準備されています。 +このプラグインは、最新の GNU/Linux マシンで**のみ**実行することを目的としています。これには、32および 64bit 版の John the ripper 1.8 + Contrib パッチのカスタムビルドが含まれています。プラグインの主な概要は、モノリシックであり、強化ポイントを検出し、管理者に何も尋ねることなくディストリビューション間の違いを解決しようとすることです。そのため、バージョン、ディストリビューション、またはアーキテクチャに関係なく、どのシステムでも同じように展開することができます。
- +
-It contains a custom build of John the ripper 1.8 + Contrib patches with 32 and 64 static binaries. The main concept of the plugin is to be monolithic, detect what can be hardened and try to resolve differences between distros without asking anything to the administrator, so the deployment could be the same for any system, ignoring versions, distro or architecture. +
- +
-これには、32および 64bit 版の John the ripper 1.8 + Contrib パッチのカスタムビルドが含まれています。プラグインの主な概要は、モノリシックであり、強化ポイントを検出し、管理者に何も尋ねることなくディストリビューション間の違いを解決しようとすることです。そのため、バージョン、ディストリビューション、またはアーキテクチャに関係なく、どのシステムでも同じように展開することができます。+
  
 This plugin will check: This plugin will check:
行 690: 行 668:
 このプラグインは以下をチェックします。 このプラグインは以下をチェックします。
  
-  * User password audit check, using the dictionary (provided) with the 500 most common passwords. This usually takes no more than a few seconds. If you have hundreds of users, you probably need to customize the plugin run to run only every 2-6 hours. You can customize the password dictionary by simply adding your organization's typical password to the "basic_security/password-list" file. +  * Auditing user passwords, using the dictionary (provided) with the 500 most common passwords. If you have hundreds of users, you will probably need to customize the //plugin// to run only every 2 to 6 hours. You can customize the password dictionary by adding your organization's typical password in the "basic_security/password-list" file. 
-  * Check that SSH does not run on the default port. +  * SSH does not run on the default port. 
-  * Check that FTP does not run on the default port. +  * SSH does not allow **root** access
-  * Check that SSH does not allow **root**  access. +  * That FTP does not run on the default port
-  * Check if there is a MySQL running without the **root**  password defined. +  * Check if there is a MySQL server running without the **root** password defined. 
-  * Other checks.+  * Other checkups.
  
   * 最も一般的な 500個のパスワードを含む辞書(あらかじめ提供)を使用したユーザパスワードの監査チェック。 通常、これには数秒しかかかりません。 数百人のユーザがいる場合は、プラグインの実行を 2〜6時間ごとにのみ実行するようにカスタマイズする必要があります。 組織の一般的なパスワードを "basic_security/password-list" ファイルに追加するだけで、パスワード辞書をカスタマイズできます。   * 最も一般的な 500個のパスワードを含む辞書(あらかじめ提供)を使用したユーザパスワードの監査チェック。 通常、これには数秒しかかかりません。 数百人のユーザがいる場合は、プラグインの実行を 2〜6時間ごとにのみ実行するようにカスタマイズする必要があります。 組織の一般的なパスワードを "basic_security/password-list" ファイルに追加するだけで、パスワード辞書をカスタマイズできます。
   * SSH がデフォルトのポートで実行されていないことの確認。   * SSH がデフォルトのポートで実行されていないことの確認。
-  * FTB がデフォルトのポートで実行されていないことの確認。 
   * SSH が **root** アクセスを許可していないことの確認。   * SSH が **root** アクセスを許可していないことの確認。
 +  * FTP がデフォルトのポートで実行されていないことの確認。
   * MySQL が **root** パスワード無しで実行されているかどうかの確認。   * MySQL が **root** パスワード無しで実行されているかどうかの確認。
   * その他チェック。   * その他チェック。
  
 [[ja:documentation:start|Pandora FMS ドキュメント一覧に戻る]] [[ja:documentation:start|Pandora FMS ドキュメント一覧に戻る]]
 +
  • ja/documentation/pandorafms/technical_annexes/15_security_architecture.1724219173.txt.gz
  • 最終更新: 2024/08/21 05:46
  • by junichi