脆弱性オプションプロファイルには、ユーザが Unix 認証を使用する場合に、最低限必要な権限を試行できるスキャンオプションが含まれています。
「VM/VMDR」->「Scans 」->「Option Profiles」を選択します。「Scan 」タブで、「Authentication 」項まで下にスクロールします。Unix 認証を有効にし、「Attempt least privilege for Unix (skip root delegation in Unix record)」を選択します。
オプションの「Attempt least privilege for Unix (skip root delegation in Unix record)」が選択されると、脆弱性スキャン時に Unix 認証レコードからスキャナにルート権限委譲情報が渡されないため、スキャナは必要とされない昇格ルート権限を使用したチェックを実行しません。
コンプライアンススキャンの場合、すべてのコンプライアンスチェックを評価するために、スーパーユーザ(root)権限を持つアカウントが必要です。ユーザには、ルート権限委譲ツール(Sudo、Pimsu、PowerBroker)を使用して、より権限の低いユーザアカウントをレコードで指定した場合でも、スーパーユーザ(root)に昇格した権限でスキャンテストを実行できる Unix 認証レコードのオプションがあります。
脆弱性スキャンの場合、ルートレベルの権限は必須ではありません。しかし、コンプライアンススキャンと脆弱性スキャンの両方に同じ認証レコードが使用されるため、Unix レコードでルート権限委譲ツールが選択されると、ルートレベルの権限が脆弱性スキャンにも使用されます。
最小権限でのアクセスの原則とは、操作の実行に最低限必要なアカウント権限のみを使用するというセキュリティ上のベストプラクティスです。このスキャンオプションが脆弱性スキャンに導入されているのはこのためです。このオプションが使用されると、Unix レコードで指定されたルート権限委譲情報は、脆弱性スキャンを実行するスキャナには渡されません。Unix レコードでより低い権限が指定されているユーザアカウントが使用されます。このオプションは、コンプライアンススキャンには影響しません。