Unix および関連ターゲット上での認証：最良の慣行

Linuxなど、Unixおよび関連システムのスキャンについては、ルートアクセスなしにほとんどの脆弱性をスキャンすることが可能です。いくつかの脆弱性のチェック、および多くのポリシーチェックについては、ルートアクセスが必要です。非ルートユーザーによるスキャンを予定している場合は、アカウントに指定の許可があることを確認し、非ルートユーザーが見つけられない特定のチェックがあることに留意します。以下のセクションには、設定すべき項目とルートアクセスでのみ発見可能な項目についてのガイドラインが含まれています。チェックの複雑性および頻繁なアップデートにより、このリストは変更となる場合があります。

非ルートユーザーとしてスキャンする際に脆弱性範囲をほぼ包括的に保つには、以下のいずれかを行うことが必要です：

• 許可を昇格させて、実際のルートアカウントを使用せずにコマンドをルートとして実行可能にする。

または

• 非ルート・スキャンユーザーが指定のコマンドおよびディレクトリの許可を持つよう、システムを設定する。

以下のセクションでは、これらのオプションの設定を説明します。

権限昇格を確認するスキャンの環境設定

ルートあるいはカスタム設定を用いずに権限昇格を実行する一つの方法は、sudoまたはpbrunといった許可昇格を使用することです。これらのオプションには、特定の設定（例えば、pbrunに関してはユーザーのシェルをホワイトリストに記載することが必要）が必要ですが、後述の本アプリケーションが実行するコマンドで説明されている許可のカスタマイズは必要ありません。権限昇格に関する詳細については、Unix および関連ターゲット上での認証：最良の慣行をご参照ください。

本アプリケーションが実行するコマンド

以下のセクションには、スキャン時に本アプリケーションが実行するコマンドについてのガイドラインが含まれています。これらのコマンドのほとんどは、ルートなしで実行可能です。上述の通り、新しいチェックが追加されるのに従い、このリストは変更となる場合があります。

ほとんどのコマンドには、以下のいずれかが必要です：

• オペレーティング・システムのバージョン
• インストール済みのソフトウェア・パッケージのバージョン
• シェルスクリプトとして実装されたポリシーチェックの実行

注意: 本アプリケーションでは、コマンドは$PATH変数の一部であり、規格以外の$PATHの衝突（collision）はないとの推測が行われます。

すべてのUnix/Linuxディストリビューションには、以下のコマンドが必要です：

• ifconfig
• java
• sha1
• sha1sum
• md5
• md5sum
• awk
• grep
• egrep
• cut
• id
• ls

Nexposeは特定のファイルのスキャンを試行し、ユーザーアカウントにそれらのファイルへの適切なアクセス権がある場合は、対応するチェックを実行できます。以下は、アカウントがアクセスできるべきファイルまたはディレクトリのリストです：

• /etc/group
• /etc/passwd
• grub.conf
• menu.lst
• lilo.conf
• syslog.conf
• /etc/permissions
• /etc/securetty
• /var/log/postgresql
• /etc/hosts.equiv
• .netrc
• '/', '/dev', '/sys', and '/proc' "/home" "/var" "/etc"
• /etc/master.passwd
• sshd_config

Linuxについては、以下のファイルがある場合、本アプリケーションはそれらを読み込んでディストリビューションを決定する必要があります：

• /etc/debian_release
• /etc/debian_version
• /etc/redhat-release
• /etc/redhat_version
• /etc/os-release
• /etc/SuSE-release
• /etc/fedora-release
• /etc/slackware-release
• /etc/slackware-version
• /etc/system-release
• /etc/mandrake-release
• /etc/yellowdog-release
• /etc/gentoo-release
• /etc/UnitedLinux-release
• /etc/vmware-release
• /etc/slp.reg
• /etc/oracle-release

あらゆるUnixまたは関連バリエーション（UbuntuまたはOS Xなど）上で、特定のチェック実行のためアカウントが実行可能であるべき特定のコマンドがあります。これらのコマンドは、当該アカウントのホワイトリストに記載すべきです。

当該アカウントは、特定チェックの以下のコマンドを実行可能であるべきです：

• cat
• find
• mysqlaccess
• mysqlhotcopy
• sh
• sysctl
• dmidecode
• perlsuid
• apt-get
• rpm

以下のタイプのディストリビューションについては、指示通りに許可を実行可能である必要があります。

Debianベースのディストリビューション（Ubuntuなど）：

• uname
• dpkg
• egrep
• cut
• xargs

RPMベースのディストリビューション（Red Hat、SUSE、またはOracleなど）：

• uname
• rpm
• chkconfig

Mac OS X：

• /usr/sbin/softwareupdate
• /usr/sbin/system_profiler
• sw_vers

Solaris：

• showrev
• pkginfo
• ndd

Blue Coat：

• show version

F5：

• 「version」、「show」、または「tmsh show sys version」のいずれか

Juniper：

• uname
• show version

VMware ESX/ESXi：

• vmware -v
• rpm
• esxupdate -a query || esxupdate query

AIX：

• lslpp –cL to list packages
• oslevel

Cisco：

脆弱性スキャンには以下が必要です：

• show version（注：これはIOS、PIX、ASA、およびIOR-XRを含む複数のCiscoプラットフォームで使用されています）

ポリシースキャンには以下が必要です：

• show running-config all
• show line
• show snmp community
• show snmp group
• show snmp user
• show clock
• show ip ssh
• show ip interface
• show cdp
• show tech-support password

FreeBSD：

• FreeBSDバージョン10以降をフィンガープリントするには、freebsd-versionが必要です。
• バージョン10より前のFreeBSD上でcat /var/db/freebsd-update/tagを実行する許可が、ユーザーアカウントに必要です。
• FreeBSDパッケージフィンガープリントには以下が必要です：
  • pkg info
  • pkg_info

RootExecutionServiceを必要とする脆弱性のチェック

特定の脆弱性のチェックについては、ルートアクセスが必要です。非ルートユーザーによるスキャンを選択する場合、これらの脆弱性はシステム上に存在していても見つからないことに留意してください。以下は、ルートアクセスに必要なチェックのリストです：

注意: セキュリティ・コンソールの検索バー内で脆弱性IDを検索して、説明およびその他の詳細を見つけることが可能です。

* OpenSSH configはSSHv1 protocol/unix-check-openssh-ssh-version-twoを許可は、ルートを必要としないもう1つのチェック、SSHサーバーはSSH protocol v1 clients/ssh-v1-supportedをサポートと概念的に同じです。