Unix 認証の設定

Unix レコードを設定すると、スキャン時に Unix ホストへの認証が行えるようになります。サードパーティの Vault との統合を強化するための単一の認証レコードの設定ができるようになり、各種秘密鍵やルート権限委譲ツールの定義が可能になりました。

サポートされるテクノロジ

レコードタイプによって VM および PC で承認されている、サポート対象の認証テクノロジとそのバージョンの最新リストについては、次の記事を参照してください。 

認証テクノロジのマトリックス

 

これは、実行するスキャンのタイプによって異なります。脆弱性スキャンのみを実行する場合は、特定のコマンドを実行できるアカウントを指定する必要があります。すべてのコンプライアンスチェックを評価するためにコンプライアンススキャンを実行する場合は、スーパーユーザ(root)権限が必要です。詳細

記事「*NIX Authenticated Scan Process and Commands(*NIX 認証済みのスキャンの処理とコマンド)」には、実行するコマンドの種類に関する説明があります。また、実行したコマンドの影響と範囲についても説明しています。この記事にあるコマンドリストは、スキャン中に、Qualys のサービスアカウントによって実行される可能性があります。毎回、すべてのコマンドが実行されるわけではありません。*nix ディストリビューションによって異なります。このリストは、実行されるコマンドを網羅したものではありません。また、更新も頻繁に行われません。

 

- 「Scans」->「Authentication」を選択します。

- ホストに対して Unix レコードを作成します。「New」->「Operating Systems」->「Unix」を選択します。

ログインで使用されるユーザ名とパスワードを指定する必要があります。アカウントに設定されている Vault からパスワードを取得するには、次のオプションがあります。

「Skip Password」 - ログインアカウントにパスワードが設定されていない場合は、このオプションを選択します。

「Clear Text Password」 - 強力なパスワード暗号化をサポートしていないサービスへの接続時に平文でパスワードを送信する必要がある場合は、このオプションを選択します。詳細

ssh1 のみをサポートする対象ホストの場合、ユーザ名とパスワードだけが認証に使用されます。

Unix(SSH2)認証レコードの作成または更新時に対象のタイプを指定します。このフィールドでは、SSH2 認証レコードにシェルベース以外の対象タイプを定義できます。標準の Unix シェルが指定された対象は、引き続き自動検出されます。この場合、対象タイプは「Auto (default)」に設定されます。新しくサポートされた対象タイプは、「Target Type」メニューに追加されます。

 

認証のために複数の秘密鍵や証明書を使用することができます。秘密鍵(RSA、DSA、ECDSA、ED25519)と証明書(OpenSSH、X.509)を任意に組み合わせることが可能です。

秘密鍵認証は、ssh2 でのみサポートされています。  すべての秘密鍵は、パスフレーズを使用して暗号化または暗号化の解除を行うことができます。

ヒント - 複数の秘密鍵/証明書がある場合は、レコード内での順序をソートすることができます。秘密鍵/証明書は、ソートされた順に使用されます。

Vault から鍵情報を取得する方法は次のとおりです。

- 設定した Vault から秘密鍵を取得します。

- 設定した Vault から秘密鍵のパスフレーズを取得します。

その他の情報

サポートされる秘密鍵/証明書

公開鍵を配布する方法

すべての対象ホストに対して、ユーザのホームディレクトリにある「.ssh/authorized_keys2」ファイルに付加される公開鍵のほかに、ユーザアカウントを追加する必要があります。

重要 - スキャン中は、対象ホストへのフルアクセスが与えられている必要があります。「.ssh/authorized_keys2」ファイルに手動で追加されたオプション(no-pty など)によって、サービスがロックアウトされる可能性があり、この場合セキュリティテストが実行できなくなります。

トラブルシューティングのヒント

スキャンが期待する結果を返さなかった理由を検証する場合は、「.ssh/authorized_keys2」ファイルにあるスキャンアカウントの公開鍵から手動で追加したオプションを削除した後、対象ホストを再度スキャンし、サービスがホストの認証とスキャンを実行できるかどうかを確認してください。

これまでのリリースでは、UI の RSA/DSA 鍵フィールドを使用することで、鍵と証明書とを同じフィールドに入力することができました。リリース 8.9 以降では、これらの要素は UI 上で別になります。

リリース 8.9 未満で作成した Unix レコードの秘密鍵と証明書は、それぞれのフィールドに別個に表示されます。

Sudo、Pimsu、PowerBroker など、複数のルート権限委譲ツールを使用することができます。設定した Vault からルート権限委譲のパスワードを取得することができます。

ヒント - 複数のツールがある場合は、認証レコード内で特定の順番にツールを並べ替えることができます。この設定した順番でそれぞれのルート権限委譲の方法が試行されます。

ルート権限委譲を有効にすると、より権限の低いユーザアカウントをレコードで指定した場合でも、スーパーユーザ(root)に昇格した権限でスキャンテストを実行できます。

コンプライアンススキャンの場合、ルートレベルの権限が必須です。脆弱性スキャンの場合、ルートレベルの権限は必須ではありません。脆弱性スキャンにルートレベルの権限を使用したくない場合は、脆弱性スキャンオプションプロファイルを編集し、スキャンオプションの「Attempt least privilege for Unix (skip root delegation in Unix record)」を選択します。詳細

ルート権限委譲での Sudo の使用

ルート権限委譲での PowerBroker の使用

認証対象の Unix ホスト(IP)を選択します。このレコードに追加する IP は、Cisco レコードまたは Checkpoint Firewall レコードには追加できません。

認証レコードでタグのサポートがサブスクリプションで有効な場合、アセットタグを使用してホストを指定するための追加オプションが表示されます。アセットタイプを選択してから、レコードに IP またはタグを設定します。アセットタイプには、「IPs/Ranges」、「IP Range in Tag Rule」、「Asset Tags」というオプションがあります。

アセットタイプ: 「IPs/Ranges」 - このオプションは、レコードに IP アドレス/範囲を追加する場合に使用します。表示されたフィールドに IP アドレス/範囲を入力します。

アセットタイプ: 「IP Range in Tag Rule」 - このオプションは、タグルールで定義された IP アドレス範囲があるタグの追加に使用します。タグルールで定義されているすべての IP アドレスが、まだタグが割り当てられていない IP も含めて、レコードに関連付けされます。レコードに含める、またはレコードから除外するタグを選択するには、「Add Tag」をクリックします。タグセレクタに表示されるのは、動的なタグルール「IP Address in Range(s)」が設定されたタグに限られます。

アセットタイプ: 「Asset Tags」 - このオプションは、レコードにアセットを含めるためにタグを追加するときに使用します。選択したタグに既に割り当てられている IP アドレスが、レコードに関連付けられます。レコードに含める、またはレコードから除外するタグを選択するには、「Add Tag」をクリックします。

認証レコードでのタグのサポートの詳細

セキュリティサービスは、Unix ホストへの認証を正常に完了し、コンプライアンス評価を実行するために、ログインサービスを検出する必要があります。デフォルトでは、well-known ポートである次のポートがスキャンされます: 22(ssh)、23(telnet)、513(rlogin)。これらのサービスはいずれも認証に使用できます。スキャン対象のホストの well-known ポートでサービス(ssh、telnet、rlogin)が実行されていない場合、カスタムポートリストを定義する必要があります。

注記: 実際にスキャンされるポートは、スキャン時に使用されているコンプライアンスオプションプロファイルの「Ports」の設定によって異なります。

スキャン済みポートについてスキャン済みポートについて

コンプライアンスプロファイルで「Standard Scan」を選択した場合、用意されている標準ポートリスト(約 1,900 個のポート)がスキャンされます。これには、ポート 22、23、513 のほか、認証レコードで指定されているカスタムポートが含まれます。

コンプライアンスプロファイルで「Targeted Scan」を選択した場合、認証レコードで指定されているカスタムポートのみがスキャンされます。

次の表を参照してください。

コンプライアンスプロファイル

認証レコード

スキャンされるポート

Standard Scan

well-known ポート

最大で 1900 個のポート(ポート 22、23、513 を含む)

Standard Scan

カスタムポート

最大で 1900 個のポートとレコードで指定されているカスタムポート

Targeted Scan

well-known ポート

ポート 22、23、513 のみ

Targeted Scan

カスタムポート

レコードで指定されているカスタムポートのみ

 

このレコードにあるホストを ID によって追跡するには、「Enable agentless tracking」オプションを選択します。スキャンプロセスの実行中、対象の各ホストには一意のホスト ID がサービスによって割り当てられます。詳細

このオプションが表示されない場合: エージェントレス追跡機能は、一次連絡先となるマネージャによって事前にサブスクリプションレベルで承認されている必要があります。この機能は、Express Lite をご利用のユーザは使用できません。

TACACS サーバへのパスワードベースの認証がサポートされています。このサーバは、SSH ユーザ認証の仕様に準拠します。

レコードを編集する場合、ユニットマネージャにはパーミッションを持っているレコードの IP のみが表示されます。ユニットマネージャによって行われた変更は、すべてのホストがそのユーザのビジネスユニットに所属しているかどうかにかかわらず、レコードで定義されているすべてのホストに適用されます。レコードには、ユニットマネージャに表示されない IP が含まれている場合があります。

クイックリンク

ホスト認証を使用する理由

Unix ログイン資格情報

認証レコードでのタグのサポート

Arista EOS

ArubaOS

Junos OS

FortiOS

Huawei

IBM z/OS Security Server RACF 

Generic Linux

NetApp Ontap

F5 ロードバランサ認証

サポートされる秘密鍵/証明書

OPatch チェック

Cisco CUCM

BASH 履歴ファイルがいっぱいになるのを防ぐ方法

Unix 認証 PDF アイコン

NetScaler 認証 PDF アイコン

A10 認証 PDF アイコン

IBM VIOS 認証 PDF アイコン

秘密鍵/証明書

OpenSSH エンコードされた秘密鍵

PEM エンコードされた秘密鍵

OpenSSH 証明書

PEM エンコードされた証明書

コミュニティ情報

*NIX Authenticated Scan Process and Commands