差分

このページの2つのバージョン間の差分を表示します。

--- ja:documentation:pandorafms:technical_annexes:15_security_architecture [2024/08/21 06:40] – [システムサービスの最小化] junichi
+++ ja:documentation:pandorafms:technical_annexes:15_security_architecture [2025/07/21 07:19] (現在) – [GNU/Linux におけるセキュリティ監視] junichi
@@ 行 9: / 行 9: @@
 ===== 概要 =====
-The security elements of each component of **Pandora FMS** are described, according to regulations such as PCI/DSS, ISO 27001, ENS, LOPD and similar.
+The security elements of each **Pandora FMS** component are described, according to regulations such as PCI/DSS, ISO 27001, ENS, LOPD and similar.
 **Pandora FMS** の各コンポーネントのセキュリティ要素を、PCI/DSS、ISO 27001、ENS、LOPD などの規制に従って説明しています。
@@ 行 53: / 行 53: @@
 ==== サーバ  ====
-  * The server needs **root** permissions and can be installed (with limitations) with non **root** permissions (only on GNU/Linux systems).
+  * The server needs **root**  permissions and can be installed (with limitations) with non **root**  permissions (only on Linux systems).
   * The server needs direct access (read and write) to the agents' remote configuration files, which are propagated when the agents contact the server, periodically. These files are protected by //filesystem//, with standard permissions.
-  * The server as such does not listen to any port. It is the [[en:documentation:pandorafms:technical_reference:09_tentacle|Tentacle]] server which listens on a port, the server only accesses the files that it leaves on disk.
+  * The server as such does not listen to any port. It is the [[:en:documentation:pandorafms:technical_reference:09_tentacle|Tentacle]] server which listens on a port, the server only accesses the files that it leaves on disk.
-  * The server has its own detailed event log (//log//).
+  * The server has its own detailed event log.
   * The server connects to the main database via a standard MySQL/TCP connection.
   * Part of the code can be requested under specific contract conditions (for customers only).
@@ 行 103: / 行 103: @@
   * サーバとコンソール間の通信の悪意のあるキャプチャ(ネットワークトラフィックキャプチャ)。
-//Solution//: Enable TLS communication between server and MySQL database.
+//Solution//: Enable TLS communication between server and MySQL database. Configure the [[:en:documentation:pandorafms:technical_annexes:46_mysql_sha|authentication method]] ''caching_sha2_password''.
-//解決策//: サーバと MySQL データベース間の TLS 通信を有効にします。
+//解決方法//: サーバとMySQLデータベース間のTLS通信を有効にします。[[:ja:documentation:pandorafms:technical_annexes:46_mysql_sha|認証方法]] ''caching_sha2_password'' を設定します。
 <wrap #ks3_2 />
@@ 行 353: / 行 353: @@
 メーカーとして、私たちは標準の RHEL 8 または Ubuntu server プラットフォームに基づいて、すべての Pandora FMS コンポーネントを安全にインストールするための一連の推奨事項を示しています。
-These same recommendations are valid for any other GNU/Linux based monitoring system.
+These same recommendations are valid for any other Linux based monitoring system.
-これらの推奨事項は、他の GNU/Linux ベースの監視システムにも適用されます。
+これらの推奨事項は、他の Linux ベースの監視システムにも適用されます。
 <wrap #ks4_1 />
@@ 行 365: / 行 365: @@
 システムにアクセスするためには、特権のない必要に応じてアクセスを制限した目的に応じたユーザを作成します。
-Ideally, each user's authentication should be integrated with a double authentication system based on token. There are free and secure alternatives such as **Google Authenticator®** that can be integrated into GNU/Linux and are beyond the scope of this guide. Seriously consider using them.
+Ideally, each user's authentication should be integrated with a double authentication system based on tokens. There are free and safe alternatives such as **Google Authenticator®**  that can be integrated into Linux and are beyond the scope of this guide. Seriously consider using them.
-理想的には、各ユーザの認証は、トークンに基づく二段階認証システムと統合します。このガイドの範囲外ですが、GNU/Linux に統合可能な **Google 認証システム**® などの無料で安全な代替手段があります。 それらの使用を真剣に検討してください。
+理想的には、各ユーザの認証は、トークンに基づく二段階認証システムと統合します。このガイドの範囲外ですが、Linux に統合可能な **Google 認証システム**® などの無料で安全な代替手段があります。 それらの使用を真剣に検討してください。
 If it is necessary to create other users for applications, they must be users without remote access (to do so, disable their Shell or equivalent method).
@@ 行 421: / 行 421: @@
 ==== SSH サーバの保護 ====
-The SSH server allows remote connection to GNU/Linux systems for the execution of commands, so it is a critical point and must be ensured by paying attention to the following points (to do so, edit the file ''/etc/ssh/sshd_config'' and then restart the service).
+The SSH server allows remote connection to Linux systems for command execution, so it is a critical point and must be ensured by paying attention to the following points (to do so, edit the file ''/etc/ssh/sshd_config''  and then restart the service).
-SSH サーバを使用すると、GNU/Linux システムにリモート接続してコマンドを実行できるため、これは重要なポイントであり、次の点に注意して保護する必要があります(そのためには、ファイル ''/etc/ssh/sshd_config'' を編集し、サービスを再起動します)。
+SSH サーバを使用すると、Linux システムにリモート接続してコマンドを実行できるため、これは重要なポイントであり、次の点に注意して保護する必要があります(そのためには、ファイル ''/etc/ssh/sshd_config'' を編集し、サービスを再起動します)。
   * Modify the default port:
@@ 行 596: / 行 596: @@
 ===== 追加設定 =====
+<wrap #ks5_1 />
 ==== NTP 時刻同期 ====
-It is recommended to configure the time synchronization of the system:
+It is recommended to configure system time synchronization on a RHEL system:
-システムの時刻同期を設定することをお勧めします。
+RHEL システムの時刻同期を設定することをお勧めします。
-<code>
+<code bash>
-yum install ntpdate
+dnf install ntpdate
 echo "ntpdate 0.us.pool.ntp.org"> /etc/cron.daily/ntp
 chmod 755 /etc/cron.daily/ntp
@@ 行 610: / 行 612: @@
 </code>
-===== ローカル監視 =====
+<wrap #ks6 />
-The system should have a [[:en:documentation:02_installation:01_installing#pandora_fms_agent_installation|Pandora FMS Software Agent]] installed and launched against our server. For MS Windows® operating system, from version 761 onwards, the installation executables are signed.
+===== ローカル監視 =====
-システムには、[[:ja:documentation:02_installation:01_installing#pandora_fms_agent_installation|Pandora FMS ソフトウエアエージェント]]をインストールして起動します。MS Windows® オペレーティングシステムの場合、バージョン 761 以降、インストール実行ファイルは署名されています。
+The system should have an [[:en:documentation:pandorafms:installation:01_installing#ks2|Pandora FMS EndPoint]] installed and executed in PFMS server. For MS Windows® operating system, from version 761 onwards, the executable's installation  are digitally signed.
-{{  :wiki:pfms-software_agent-ms_windows.png  }}
+システムには、[[:ja:documentation:pandorafms:installation:01_installing#ks2|Pandora FMS エンドポイント]]をインストールして起動します。MS Windows® オペレーティングシステムの場合、バージョン 761 以降、インストール実行ファイルは署名されています。
 The following active checks are recommended in addition to the standard checks:
@@ 行 622: / 行 624: @@
 標準チェックに加えて、次のアクティブチェックをお勧めします。
-  * Active security plugin.
+  * Security plugin active.
   * Complete system inventory (especially users and installed packages).
-  * Collection of system and security logs:
+  * System log collection and security:
   * セキュリティプラグイン
@@ 行 631: / 行 633: @@
 <code>
+module_plugin grep_log_module /var/log/messages Syslog \.\*
- module_plugin grep_log_module /var/log/messages Syslog \.\*
+module_plugin grep_log_module /var/log/secure Secure \.\*
- module_plugin grep_log_module /var/log/secure Secure \.\*
 </code>
-Once the Software Agent is installed, at least the following information must be manually defined in the agent tab:
+Once the EndPoint is installed, at least the following information must be manually defined in the agent tab:
-ソフトウェアエージェントをインストールしたら、少なくとも次の情報をエージェントタブで手動で定義する必要があります。
+エンドポイントをインストールしたら、少なくとも次の情報をエージェントタブで手動で定義する必要があります。
   * Description.
-  * IP address (if you have several, put all of them).
+  * IP address (if you have several, enter them all).
   * Group.
   * Department, responsible and physical location (custom fields).
@@ 行 651: / 行 652: @@
   * 部門、責任者および物理的な場所(カスタムフィールド)
-===== GNU/Linux におけるセキュリティ監視 =====
+<wrap #ks7 />
-The [[https://pandorafms.com/library/linux-security-plugin|official plugin]] allows to proactively monitor the security in the agent, in each execution, almost in real time, offering some checks that can alert us of some relevant events in a proactive way.
+===== Linux におけるセキュリティ監視 =====
+The [[https://pandorafms.com/library/linux-security-plugin|official plugin]] allows to proactively monitor security in the agent, at each execution, almost in real time, offering some checks that can alert of some relevant events.
 [[https://pandorafms.com/library/linux-security-plugin|公式プラグイン]]を使用すると、実行のたびに、ほぼリアルタイムでエージェントのセキュリティをプロアクティブに監視でき、関連するイベントの警告を発することができます。
-This plugin is intended to run **only** on modern GNU/Linux computers. It is prepared to run on 64 and 32 bits.
+This plugin is intended to run **only**  on modern Linux machines. It contains a custom build of John the ripper 1.8 + Contrib patches with static 32-bit and 64-bit binaries. The main concept of the plugin is to be monolithic, detect what can be hardened and try to resolve differences between distributions without asking anything to the administrator, so the deployment could be the same for any system, ignoring versions, distro or architecture.
-このプラグインは、最新の GNU/Linux コンピュータで**のみ**実行することを目的としています。 64ビットと 32ビットで実行できるように準備されています。
+このプラグインは、最新の Linux マシンで**のみ**実行することを目的としています。これには、32および 64bit 版の John the ripper 1.8 + Contrib パッチのカスタムビルドが含まれています。プラグインの主な概要は、モノリシックであり、強化ポイントを検出し、管理者に何も尋ねることなくディストリビューション間の違いを解決しようとすることです。そのため、バージョン、ディストリビューション、またはアーキテクチャに関係なく、どのシステムでも同じように展開することができます。
-It contains a custom build of John the ripper 1.8 + Contrib patches with 32 and 64 static binaries. The main concept of the plugin is to be monolithic, detect what can be hardened and try to resolve differences between distros without asking anything to the administrator, so the deployment could be the same for any system, ignoring versions, distro or architecture.
-これには、32および 64bit 版の John the ripper 1.8 + Contrib パッチのカスタムビルドが含まれています。プラグインの主な概要は、モノリシックであり、強化ポイントを検出し、管理者に何も尋ねることなくディストリビューション間の違いを解決しようとすることです。そのため、バージョン、ディストリビューション、またはアーキテクチャに関係なく、どのシステムでも同じように展開することができます。
 This plugin will check:
@@ 行 669: / 行 668: @@
 このプラグインは以下をチェックします。
-  * User password audit check, using the dictionary (provided) with the 500 most common passwords. This usually takes no more than a few seconds. If you have hundreds of users, you probably need to customize the plugin run to run only every 2-6 hours. You can customize the password dictionary by simply adding your organization's typical password to the "basic_security/password-list" file.
+  * Auditing user passwords, using the dictionary (provided) with the 500 most common passwords. If you have hundreds of users, you will probably need to customize the //plugin// to run only every 2 to 6 hours. You can customize the password dictionary by adding your organization's typical password in the "basic_security/password-list" file.
-  * Check that SSH does not run on the default port.
+  * SSH does not run on the default port.
-  * Check that FTP does not run on the default port.
+  * SSH does not allow **root** access.
-  * Check that SSH does not allow **root**  access.
+  * That FTP does not run on the default port.
-  * Check if there is a MySQL running without the **root**  password defined.
+  * Check if there is a MySQL server running without the **root** password defined.
-  * Other checks.
+  * Other checkups.
   * 最も一般的な 500個のパスワードを含む辞書(あらかじめ提供)を使用したユーザパスワードの監査チェック。 通常、これには数秒しかかかりません。 数百人のユーザがいる場合は、プラグインの実行を 2〜6時間ごとにのみ実行するようにカスタマイズする必要があります。 組織の一般的なパスワードを "basic_security/password-list" ファイルに追加するだけで、パスワード辞書をカスタマイズできます。
   * SSH がデフォルトのポートで実行されていないことの確認。
-  * FTB がデフォルトのポートで実行されていないことの確認。
   * SSH が **root** アクセスを許可していないことの確認。
+  * FTP がデフォルトのポートで実行されていないことの確認。
   * MySQL が **root** パスワード無しで実行されているかどうかの確認。
   * その他チェック。
 [[ja:documentation:start|Pandora FMS ドキュメント一覧に戻る]]