Unix 認証 - 使用するログイン資格情報

使用する資格情報は、脆弱性スキャンを実行するか、コンプライアンススキャンを実行するか、またはその両方を実行するかによって異なります。

脆弱性スキャンに必要な権限

使用するアカウントでは、1)パッケージのプラットフォームを検出するための“ uname ”の実行、2)/etc/redhat-release の読み取りと“ rpm ”の実行(対象ホストで Red Hat が実行されている場合)、3)/etc/debian_version の読み取りと“ dpkg ”の実行(対象ホストで Debian が実行されている場合)など、特定のコマンドが実行可能である必要があります。この他にも実行する必要のあるコマンドが多くあります。

コマンドのリストがある場所

以下の記事には、実行するコマンドの種類に関する説明があります。また、実行したコマンドの影響と範囲に関しても説明しています。この記事にあるコマンドリストは、スキャン中に、Qualys のサービスアカウントによって実行される可能性があります。毎回、すべてのコマンドが実行されるわけではありません。*nix ディストリビューションによって異なります。このリストは、実行されるコマンドを網羅したものではありません。また、更新も頻繁に行われません。

*NIX Authenticated Scan Process and Commands(*NIX 認証済みのスキャンの処理とコマンド)

コンプライアンススキャンに必要な権限

すべてのコンプライアンスチェックを評価するには、スーパーユーザ(ルート)権限を持ったアカウントを指定する必要があります。コンプライアンススキャンでは、最初の SSH アクセスがルート以外のユーザに付与されている場合でも、UID=0 のフルアクセスが付与されていることを確認します。UID=0 のフルアクセスがない場合、スキャンは続行されません。アカウントは、“ sh ”シェルまたは“ bash ”シェルでも設定されている必要があります。

スキャン対象のシステムでリモートのルートログインが無効になっている場合、システムに Sudo または PowerBroker ルート権限委譲を使用することをサポートしています。ただし、sudoersファイル(またはこれと同等)で指定されたアカウントに特定のルートレベルのコマンドを委譲することによって制限付き Unix/Linux アカウントを使用することはできません。ルート以外のアカウントを使用して最初の SSH 接続を確立することはできますが、そのアカウントがコンプライアンススキャンの続行に必要なルートレベル(UID=0)のアクセスを取得できるよう、そのアカウントで“ sudo su – ”コマンド(またはこれと同等)を実行する必要があります。