メインコンテンツへスキップ
検索

Paul Green と私は、彼が取り組んでいる check_module_security という新しいコマンドについて議論していました。ログインプロンプトで利用できる不要なコマンドの話題が出ました。トランザクションデザインの Jon Schmidt は、Locking the Barn Door の記事の中で推奨しています。

内部コマンド。

display_current_module (prelogin)
list_modules (prelogin) display_date_time (prelogin)
list_systems (prelogin)
display_line (prelogin)
login (prelogin)
If there are other commands shown, remove them.

のようなコマンドを考えるようになりました。 list_modules および list_systems自分のモジュールやシステムを安全にするために手間をかけていたとしても、これらのコマンドはハッカーに、安全ではないかもしれない他のモジュールやシステムについてのヒントを与えてしまうかもしれません。 login -module.そこで、プレログイン時に使用されないようにする方法を考えました。ここに私が見つけた一つの方法があります。

アクセスリスト名として使用するための一意の名前のファイルを作成します。この場合、私は prelogin_no_access ファイルの内容は何の役にも立ちません。ファイルの内容は何の役にも立ちません - 問題なのはファイルに添付されているアクセス制御リストです。ファイルは特別な場所に置かれます。 (master_disk)>system>acl ディレクトリにアクセスすることができます。制限したいユーザは PreLogin.Systemログインプロンプトを実行するユーザーです。他のユーザーのアクセスを許可することを忘れないでください (ログイン後)。あなたは、特権ユーザーであり SysAdmin これらの操作を実行するために、ほとんどのサイトでは、グループを作成しています。

change_current_dir (master_disk)>system>acl
create_file prelogin_no_access
give_access null prelogin_no_access -user PreLogin.System
give_access write prelogin_no_access -user *.*

制限したいコマンドが internal_commands.tin でそのアクセスリストを使用するように設定されていることを確認してください。

%phx_vos#m14_mas>system.14.7>configuration>internal_commands.tin 07-10-02 12:14
/ =name display_current_module
=access_list_name prelogin_no_access
=0
/ =name list_modules
=access_list_name prelogin_no_access
=0

変更をしなければならなかったのであれば、その変更を適用する必要があります。

create_table internal_commands.ti
broadcast_file internal_commands.table (master_disk)>system
configure_commands

これで、ログイン時に禁断のコマンドを使ってみることができるようになりました。

VOS Release 15.3.0ai, Module %phx_vos#m15
Please login  12:13:19
help
Internal Commands:
change_password (prelogin)              help (prelogin)
display_current_module (prelogin)       list_modules (prelogin)
display_date_time (prelogin)            list_systems (prelogin)
display_line (prelogin)                 login (prelogin)
VOS Release 15.3.0ai, Module %phx_vos#m15
Please login  12:13:23
list_modules
command_processor: Not enough access to perform operation. list_modules.

私は内部コマンドをすべて制限していませんでした。

VOS Release 15.3.0ai, Module %phx_vos#m15
Please login  12:13:29
list_systems
phx_osn  . . . . . . online (local)
phx_test . . . . . . online (local)
phx_vos  . . . . . . online (current system)

だから、あなたが重要だと思うものを制限することを忘れないでください。

VOS Release 15.3.0ai, Module %phx_vos#m15
Please login  12:13:39
display_current_module
command_processor: Not enough access to perform operation.
display_current_module.
VOS Release 15.3.0ai, Module %phx_vos#m15
Please login  12:13:53

ボーナスがあります: セキュリティログを有効にしている場合、誰かがコマンドの一つを使おうとしたことを知らせるためにセキュリティログのエントリが作成されます。

1:  07-10-02 12:16:20 mst PreLogin.System %phx_vos#tli_log.m15_65
Target: list_modules
Text: Not enough access to perform operation. Validating object access.

全部手に入れたのか?到底できませんでした。このクイックチュートリアルの欠点をいくつか挙げてみましょう。
- ログインバナーは、list_modules と display_current_module コマンドが無効になっているにもかかわらず、モジュール名を表示します。
- ログインバナーは、リリース名を表示しても、これが VOS システムであることを示します。
- list_systems コマンドはまだ動作しています (この例では意図的に使用していますが、禁止すべきです)。

他に何ができるかを見つけた人にはボーナスポイントをあげてください。ヒント: コマンド機能はまだ機能しています。

-VOSサービス技術コンサルタント ダン・ダンズ氏

Paul Green と私は、彼が取り組んでいる check_module_security という新しいコマンドについて議論していました。ログインプロンプトで利用できる不要なコマンドの話題が出ました。トランザクションデザインの Jon Schmidt は、Locking the Barn Door の記事の中で推奨しています。

内部コマンド。

display_current_module (prelogin)
list_modules (prelogin) display_date_time (prelogin)
list_systems (prelogin)
display_line (prelogin)
login (prelogin)
If there are other commands shown, remove them.

のようなコマンドを考えるようになりました。 list_modules および list_systems自分のモジュールやシステムを安全にするために手間をかけていたとしても、これらのコマンドはハッカーに、安全ではないかもしれない他のモジュールやシステムについてのヒントを与えてしまうかもしれません。 login -module.そこで、プレログイン時に使用されないようにする方法を考えました。ここに私が見つけた一つの方法があります。

アクセスリスト名として使用するための一意の名前のファイルを作成します。この場合、私は prelogin_no_access ファイルの内容は何の役にも立ちません。ファイルの内容は何の役にも立ちません - 問題なのはファイルに添付されているアクセス制御リストです。ファイルは特別な場所に置かれます。 (master_disk)>system>acl ディレクトリにアクセスすることができます。制限したいユーザは PreLogin.Systemログインプロンプトを実行するユーザーです。他のユーザーのアクセスを許可することを忘れないでください (ログイン後)。あなたは、特権ユーザーであり SysAdmin これらの操作を実行するために、ほとんどのサイトでは、グループを作成しています。

change_current_dir (master_disk)>system>acl
create_file prelogin_no_access
give_access null prelogin_no_access -user PreLogin.System
give_access write prelogin_no_access -user *.*

制限したいコマンドが internal_commands.tin でそのアクセスリストを使用するように設定されていることを確認してください。

%phx_vos#m14_mas>system.14.7>configuration>internal_commands.tin 07-10-02 12:14
/ =name display_current_module
=access_list_name prelogin_no_access
=0
/ =name list_modules
=access_list_name prelogin_no_access
=0

変更をしなければならなかったのであれば、その変更を適用する必要があります。

create_table internal_commands.ti
broadcast_file internal_commands.table (master_disk)>system
configure_commands

これで、ログイン時に禁断のコマンドを使ってみることができるようになりました。

VOS Release 15.3.0ai, Module %phx_vos#m15
Please login  12:13:19
help
Internal Commands:
change_password (prelogin)              help (prelogin)
display_current_module (prelogin)       list_modules (prelogin)
display_date_time (prelogin)            list_systems (prelogin)
display_line (prelogin)                 login (prelogin)
VOS Release 15.3.0ai, Module %phx_vos#m15
Please login  12:13:23
list_modules
command_processor: Not enough access to perform operation. list_modules.

私は内部コマンドをすべて制限していませんでした。

VOS Release 15.3.0ai, Module %phx_vos#m15
Please login  12:13:29
list_systems
phx_osn  . . . . . . online (local)
phx_test . . . . . . online (local)
phx_vos  . . . . . . online (current system)

だから、あなたが重要だと思うものを制限することを忘れないでください。

VOS Release 15.3.0ai, Module %phx_vos#m15
Please login  12:13:39
display_current_module
command_processor: Not enough access to perform operation.
display_current_module.
VOS Release 15.3.0ai, Module %phx_vos#m15
Please login  12:13:53

ボーナスがあります: セキュリティログを有効にしている場合、誰かがコマンドの一つを使おうとしたことを知らせるためにセキュリティログのエントリが作成されます。

1:  07-10-02 12:16:20 mst PreLogin.System %phx_vos#tli_log.m15_65
Target: list_modules
Text: Not enough access to perform operation. Validating object access.

全部手に入れたのか?到底できませんでした。このクイックチュートリアルの欠点をいくつか挙げてみましょう。
- ログインバナーは、list_modules と display_current_module コマンドが無効になっているにもかかわらず、モジュール名を表示します。
- ログインバナーは、リリース名を表示しても、これが VOS システムであることを示します。
- list_systems コマンドはまだ動作しています (この例では意図的に使用していますが、禁止すべきです)。

他に何ができるかを見つけた人にはボーナスポイントをあげてください。ヒント: コマンド機能はまだ機能しています。

メニューを閉じる

© 2024 Stratus Technologies.