アンラボ・ホームページ

■ 双方向スタンバイのクラスタシステムへの対応していますか？

■ Hizard AgentとHizard Manager間の通信は暗号化されますか？

■ 対応している言語を教えてください。

■ HiZARDを併用した場合のネットワークセキュリティ対策について教えてください。

■ HiZARDを導入した場合もセキュリティパッチやサービスパックによるセキュリティアップデートは必要
でしょうか？

■ HiZARDのインストールおよびアンインストールによりシステムの再起動は必要でしょうか？

■ BOF（バッファオーバーフロー）攻撃の防御方法について

双方向スタンバイのクラスタシステムへの対応していますか？

双方向スタンバイのクラスタシステムには、現在対応しておりません。

Hizard AgentとHizard Manager間の通信は暗号化されますか？

セキュリティ確保のため、Hizard AgentとHizard Manager間の通信は暗号化されています。暗号方式は認証時にRSA、認証後の通信にはSEEDを利用します。

対応している言語を教えてください。

HiZARDは、日本語および韓国語の２言語に対応しています。

HiZARDを併用した場合のネットワークセキュリティ対策について教えてください

セキュリティ対策は、ネットワーク、ＯＳ、アプリケーション、運用管理それぞれのレイヤーで対策を施す必要があります。 HiZARDによりＯＳレイヤーのセキュリティを確保した場合でも、各レイヤー毎にセキュリティ対策を施す必要があります。

HiZARDを導入した場合もセキュリティパッチやサービスパックによるセキュリティアップデートは必要でしょうか？

セキュリティパッチやサービスパックはプログラムの不具合を修正するものですので、必ず適用することをお勧めします。AhnLab Secubrain HiZARDを導入することにより、パッチ未適用のサーバーを多くの攻撃から防御することが可能ですが、パッチやサービスパックを代用するものではありません。

HiZARDのインストールおよびアンインストールによりシステムの再起動は必要でしょうか？

HiZARDのインストール/アンインストール後に、システムを再起動する必要はありません。ただし、本番稼動の前には、AhnLab Secubrain HiZARDを導入したサーバーの再起動テストを行うことを推奨します。また、Windows版Hizard Agentの再インストールを行った場合は、システムの再起動が必要です。

BOF（バッファオーバーフロー）攻撃の防御方法について

は、CPUのセグメント機能を利用したNon-Executable Stack方式を採用しています。オペレーティングシステムのシステムコールをhookし、コードセグメントのアドレスやデータセグメントのアドレス境界をきめ細かく調査することで、不正なコードの実行をBOF（バッファオーバーフロー）と判断し攻撃を防御します。AhnLab Secubrain HiZARDは、日本語および韓国語の２言語に対応しています。

Linux 版

AIX版

HP-UX版

Solaris版

Windows版

■ 「警報/情報の選択」の項目について

 ■ Hizard Agent起動時のシステムシャットダウンについて

 ■ Hizardキーの再登録について（Linux/Unix）

■ Hizard Managerのライセンス登録時にエラーメッセージが出力される場合について

 ■ ロールに登録したディレクトリ名/ファイル名の変更制限について

 ■ Hizard AgentとHizard Manager間の接続エラーに関するトラブルシューティング

 ■ Hizardキーの入力時に「TRY AGAIN」というエラーメッセージが表示される現象について

FD,CGMT等の外部デバイス（デバイスファイル）に対するアクセスコントロール設定について

デバイスファイルに直接出力する場合は、/dev/xxx等のデバイスファイルに対しアクセスコントロールを行うことで、デバイスへの出力を抑制することが可能です。デバイスファイルをマウントしたディレクトリの場合、マウント先ディレクトリが不定であるため、アクセスコントロールを行うことはできません。この場合、mountコマンドの実行をアクセスコントロールにより限定することで、間接的にデバイスファイルへの書き込みを抑止することが可能です。

バックアップソフトウェアによる、Hizard Agentインストールディレクトリのバックアップについて

Hizard AgentインストールディレクトリはHizardロールにより保護されています。このためバックアップジョブがHizard Agentインストールディレクトリのバックアップを実行した場合、エラーが発生します。
Hizard Agentインストールディレクトリをバックアップする必要が有る場合、.superにバックアッププロセスを追加し、バックアッププロセスをHizardセキュリティ管理アカウント（LUID＝88）で実行してください。Hizardセキュリティ管理アカウントでバックアッププロセスを実行するには、Hizardシェルの!コマンドでシェルを起動し、suコマンドで本来バックアップジョブを実行するユーザーに変更後、バックアッププロセスを実行します。
※上記により、全アクセスコントロールの適用範囲外でリソースに対する「read」が可能となりますが、「write」を許可することはできません。このためリストアを実行する際には、Hizardを停止する必要があります。またHizardキーの再登録が必要となる場合があります。

LDAP/NIS/Active Directory環境のユーザーアクセスコントロールについて

Hizard Agentは、LDAPまたはNIS、Active Directory環境下のユーザーをアクセスコントロールのユーザーとして登録することは可能可能ですが、ユーザーを管理（作成、変更、削除など）することはできません

一般ユーザーによるXwindowの起動について

一般ユーザーがXwindowを起動する場合は、/usr/X11R6/bin/XをSETUID_FILESロールに追加してください。

複数のNICに対するネットワークアクセスコントロール（外部から/外部への接続、ポート）の設定について

複数のNICを搭載するシステムで、NIC毎にネットワークポートのアクセスコントロール、または外部から/外部への接続を設定することはできません。搭載する全てのNICに対し同様の設定が適用されます。

複数のHizard Managerやhzshによる、Hizard Agent設定の同時変更について

hzshや複数のHizard Managerから同時にHizard Agent設定を行うと、予期せぬ動作をする可能性があります。設定は単一のHizard Manager、またはhzshから行ってください。

Hizard AgentまたはHizard Log Serverのポート番号変更による接続トラブルについて

Hizard Managerの[Hizard Agent設定]において、Hizard Managerが接続するHizard Agentのポート番号や、Hizard Log Clientが接続するHizard Log Serverのポート番号を変更した場合は、併せて%HIZARD_ROOT%\etc\init.ruleに記述されている各ポートの番号も修正して下さい。 %HIZARD_ROOT%はHizardのインストール先を示します。

HizardシステムでX Window使用時に、アプリケーションが動作不安定になる現象について

ユーザー詳細設定で、一定期間アイドルが続いたセッションを切断する「タイムアウト」を設定することができます。タイムアウトが設定されたユーザーがX Windowを使用した場合、X Windowアプリケーションの動作が不安定になることがあります。タイムアウトが設定されたユーザーはX Windowを使用不可とすることを推奨します。

Sambaサーバー上でSambaクライアントのユーザーに対しアクセス制御を行う方法について

SambaサーバにHizard Agentを導入するには、下記の設定を行います。 Sambaサーバの設定

1. /etc/samba/smb.conｆを編集し、PAMのアカウントとセッション管理機構を有効にします。さらにutmp またはutmpxレコードに、 Sambaサーバへの接続情報を追加するよう設定します。 /etc/samba/smb.conｆfの[global]に以下を追加します。
2. -------------------------
3. obey pam restrictions=yes
4. utmp=yes
5. -------------------------
*smb.confを編集後、smbサービスを再起動し設定を反映する必要があります。
6. SambaのPAM設定ファイル/etc/pam.d/sambaにpam_hizard.soの記述を追加しHizardPAM認証を行うよう設定します。
例
7. auth required pam_stack.so service=system-auth
8. auth required pam_hizard.so
9. account required pam_stack.so service=system-auth
10. account required pam_hizard.so check auth
11. session required pam_stack.so service=system-auth
12. session required pam_hizard.so luid_force
13. password required pam_stack.so service=system-auth

Hizard Agentの設定

1. [外部からの接続]設定にsambaサービスを登録します。 [セキュリティ設定]->[外部からの接続]設定に"samba"を追加し、接続を許可するIPアドレス等を指定します。
2. Userロール「LOGIN_PROCS」にsambaプロセスを登録します。 [セキュリティ設定]->[Role]を開き「LOGIN_PROCS」に"/usr/sbin/smbd"を追加します。

updatedbコマンドがHizard Agentインストールディレクトリにアクセスしアラートが発生する場合の対処方法について

Hizard Agentインストールディレクトリを、ファイル名データベースを更新するupdatedbコマンドの検索対象から外すには、PRUNEPATHSに%HIZARD_ROOT%(この例では/opt/hizard）を/etc/updatedb.confに記述します。

# /etc/updatedb.conf: slocate configuration file

PRUNEFS="devpts NFS nfs afs proc smbfs autofs iso9660 udf"
PRUNEPATHS="/tmp /usr/tmp /var/tmp /opt/hizard"
export PRUNEFS
export PRUNEPATHS

%HIZARD_ROOT%はHizardのインストール先を示します。

メール通知機能の制限について

メール通知機能はパスワード認証を必要とするSMTPサーバーには対応いたしておりません。

hzlkmサービスの停止、または一時停止（unhook）すると、アラート種別が「REF」のアラートが表示される現象について

VIA（アラート種別）で”REF”として表示されるアラートは、Hizardカーネルモジュールをアンロードする際、該当プロセスがHizardカーネルモジュールを試用している場合に発生するアラートです。 Hzlkmサービスの停止を行う場合には、該当プロセスを停止するかKillコマンドでプロセスを終了させてから、再度hzlkmサービスの停止を行ってください。unhookのを行う場合には、この現象がシステムに影響を与えることはありませんので無視してください。メール通知機能はパスワード認証を必要とするSMTPサーバーには対応いたしておりません。

Hizard ReporterのAuditログ対応について

Hizard Reporter v2.5はAuditログに対応いたしておりません。そのためAuditログをレポート出力することはできません。

ロール定義の保存されたファイルについて

HiZARDのロール設定は、Hizardシステム上の2つのファイルに記録されています。 init.ruleには、システムに依存しない一般的なロールが記録されています。また、last.ruleには、導入したシステム固有のロールおよびユーザーが独自に定義したロールが記録されます。

LUID-1と出力されるアクセスコントロールの警告メッセージについて

Hizard Agentは、システムにログインするユーザの認証時、LUID（Login User ID)を割り当て、アクセスコントロールを行います。LUIDに-1を割り当てられた場合、正式に認証されていないことを示し、正確なアクセスコントロールが行われません。 LUIDに-1が割り当てられる原因としては下記などがあります。
? hzlkmサービスが停止している状態でシステムにログインを行った場合。
? Hizardが一時停止（unhook）している状態でシステムにログインを行った場合。

Hizardシステムのコンピュータ名の変更後、Hizard ManagerからHizard Agentに接続できなくなる現象について

Hizard AgentとHizard Managerが同一のシステムにインストールされている環境で、コンピュータ名を変更するとHizard ManagerからHizard Agentに接続できなくなります。これはコンピュータ名の変更がHizard Agentのinit.ruleに反映されていないためです。コンピュータ名の変更に合わせてinit.ruleの"コンピュータ名\Administrator"を変更しシステムの再起動を行ってください。

HizardシステムでWindows Updateを実行する方法について

1. Hizardを'unhook'にします。
2. Windows Updateを実行します。
3. Windows Updateで再起動が要求される場合には、再起動前に以下の対処が必要です。
4. %HIZARD_ROOT%/etc/init.rule中の最後にある
5. hook
6. の行を
7. #hook
8. というようにコメントアウトする。 => Windows update後システムを再起動時にファイルが変わる場合、システムの再起動時にも'unhook'にしなければならないためです。
9. 再起動を要求される場合には、システムを再起動します。
10. 再起動後、手順3のinit.ruleを編集し、＃hookの行をもとのhookに戻します。
11. Hizardを'hook'にします。 %HIZARD_ROOT%はHizardのインストール先を示します。

外部からの接続、外部への接続の機能制限について

Hizardシステムへの新規ソフトウェアインストールについて

Hizardシステムへ新たにソフトウェアをインストールする際、Hizard Agentが起動(hook)していると、インストールエラーが発生したり、インストールが正常に完了しない場合があります。ソフトウェアのインストールは、Hizard Agentを停止（unhook）した状態で実行してください。また、Hizardがunhookになっている状態はセキュリティ上危険ですので、ネットワークの接続を外して作業することをお奨めします。新たなソフトウェアをインストールした場合、Hizard Agentのセキュリティ設定によっては、設定の見直しを行う必要があります。

Hizardで使用されるログの種類について

Hizardには、カーネルログとHizardログの2種類のログが存在します。カーネルログは、Hizardで内部的に管理されるログで、ユーザーが直接参照することはほとんどありません。このログに記録された情報は、ログの種類ごとにユーザーが参照しやすいフォーマットに変換されて、Hizardログに振り分けられます。 Hizardログは、カーネルログおよびHizard Agentのサービス状況や操作情報などがユーザーが理解しやすい形式に変換されて保存されたログです。Hizardログには次の種類があります。

agent	Hizard Agentのサービス状況
alerts	警告メッセージ
hizard	Hizard Agentの操作情報
service	Hizard Agentのシステム情報検索、ファイル検索に関する情報
service.{username}	ユーザー別のservice（上記serviceと同一内容）情報

カーネルログとHizardログは、それぞれ物理的に次の位置に保存されます。

(Linux/Unixの場合)

カーネルログ	%HIZARD_ROOT%/var/log.hz
Hizardログ	%HIZARD_ROOT%/log/

(Windowsの場合)

カーネルログ	%HIZARD_ROOT%\var\log.hz
Hizardログ	%HIZARD_ROOT%\log\

%HIZARD_ROOT%はHizardのインストール先を示します。

ローテートしたHizard Agent関連ログの保存先について

ローテートしたHizard Agent関連のログは、プラットフォーム共通で、各ログファイル保存先の.rotate（Windowsの場合は_rotate）ディレクトリに保存されます。

(Linux/Unixの場合)
%HIZARD_ROOT%/var/.rotate
%HIZARD_ROOT%/log/.rotate

(Windowsの場合)
%HIZARD_ROOT%\var\_rotate
%HIZARD_ROOT%\log\_rotate
%HIZARD_ROOT%はHizardのインストール先を示します。

１つのHizard ManagerからHizard Agentへの最大接続数について

Hizard Managerは最大255台のHizard Agentを管理することが可能です。

システム停止または再起動時にAPMカーネルモジュールのアンロードがPreventされる現象について

本現象は、システム終了時/etc/rc.d/init.d/apmdの”modprobe -r apm”を実行しAPMをカーネルモジュールからアンロードしようとした際に発生します。MIRACLE LINUXおよびRedHat LinuxではAPMをカーネル内に取り込んでおり、カーネルモジュールとしてAPMが存在しないため、このような現象が発生します。本現象によりシステムが影響を受けることはありませんので、無視してください。 Hizard Managerは最大255台のHizard Agentを管理することが可能です。

Hizard LKM(hzlkm)を手動起動すると警告メッセージが表示される現象について

Hizard LKM(hzlkm)を手動起動すると「Warning: loading /lib/modules/[kernel_Version]/kernel/drivers/char/hizard.o will taint the kernel: non-GPL license - Secubrain Co., Ltd.」という警告メッセージが表示される現象について Hizard LKMモジュール内にGPL(General Public License)が明記されていないために表示される警告メッセージです。問題ありませんので無視してください。 ※この警告メッセージはLinux Kernel 2.4.20以降のシステムで出力されます。 ※MIRACLE HiZARDはGPL(General Public License)に準ずる製品ではありません。

「FIRST REMOVE USER "ユーザー名", THEN INSTALL AGAIN."」というエラーメッセージが表示される現象について

Hizard Agentが使用する「ユーザーID：88」が、既存ユーザーによって使用されている場合に発生するエラーです。「ユーザーID：88」を利用している既存ユーザーのIDを変更後、再度インストールを実行してください。

Hizard試用期間が満了した場合の動作について（Windows）

Hizardの試用期間が満了した時点で、イベントビュー（およびAgentログ）に「Hizardキーの使用期限が満了しました。」というメッセージが表示され、直ちにHizard関連のサービスが終了します。

Hizard試用期間が満了した場合の動作について（Linux/Unix）

Hizardの試用期間満了後にunhookを行うと、それ以降はhookに切り替えることができなくなります。またAgentログに「使用期限が満了しました」というメッセージが表示されます。

1つのシステム上のHizard Managerの複数起動について

１つのシステム上で複数のHizard Managerを起動することはできません。

setuid rootファイルの実行制限について（Windows）

setuid rootファイルの実行制限について

Hizardキーの再登録について（Windows）

下記の手順の通りHizardキーの再登録を行います。
1. Hizard Agentを停止（unhook）します。
2. 「スタート」メニューから「プログラム」-「Secubrain」 - 「Uninstall Hizard Agent」実行します。
3. 「スタート」メニューから「プログラム」-「Secubrain」 - 「Install Hizard Agent」実行します。
4. "Hizard Agent 設定"ウィンドウで新たなHizardキーを入力します。
5. システムを再起動します。

「警報/情報の選択」の項目について

Hizard Managerのサーバメニューにある「警報/情報の選択」の各項目の内容は下記の通りです。
カーネルと関連した警報/情報
hzshの実行など、Hizardカーネルモジュール(hzlkm）に関する全般的な警報/情報。
Hizard Agentと関連した警報/情報
Hizardモニタリングサービスの起動/終了など、Hizardエージェント（hzd）に関する全般的な警報/情報。
SysInfoと関連された警報/情報
同一のHizardエージェントに接続している、他のHizardマネージャにより実行されたオペレーションの情報。
ネットワークpromisc
Promiscousモードを有効にした際に出力される情報。
su使用
suコマンドが実行された際に出力される情報。
ログイン関連
ユーザーがシステムにログインした際に出力される情報。
rootパスワード
rootユーザーのパスワード認証を行った際に出力される情報。
Segmentationハッキング
バッファオーバーフローを検知/防御した際に出力される警報。
コンソールログ
Hizareエージェントに対して、Hizardマネージャーから実行したオペレーションの全般的な情報。

Hizard Agent起動時のシステムシャットダウンについて

Unix、Linux版のHizard Agentは、すべてのユーザーがシステムシャットダウンおよびリブートを実行することを抑止します。 Windows版Hizard Agentは、OSの仕様上、Hizard Agentが起動(hook)していてもシャットダウンおよびリブートを抑止しません。

Hizardキーの再登録について（Linux/Unix）

HizardシェルのhzregiコマンドによりHizardキーの再登録を行います。 hzregiコマンドは、Hizard Agentの全サービスを停止し、Hizard Agent関連のプロセスが存在しないことを確認した上で、実行してください。

再登録手順
1. Hizard ManagerまたはHizardシェルから、Hizard Agentを停止(unhook)します。
2. システムに管理者権限でログインしHizard Agent関連のサービス(hzlkm、hzd、hzlcd)を停止します。 (Linuxの場合) # /etc/init.d/hzlkm stop # /etc/init.d/hzd stop # /etc/init.d/hzlcd stop
3. %HIZARD_ROOT%/bin/hzregiを実行しHizardキーの再登録を行います。
4. システムを再起動します。
%HIZARD_ROOT%はHizardのインストール先を示します。

Hizard Managerのライセンス登録時にエラーメッセージが出力される場合について

Hizard Managerのライセンス登録時に「正しいキー値ではありません。もう一度入力してください。」というエラーメッセージが出力される場合について Hizard Managerアクセスライセンスの取得時に登録した「会社」、「名前」、「サーバ数」、「ライセンス」を、大文字/小文字を区別し正確にご入力頂いているかご確認ください。ライセンスの文字列については、O(オー)と0(ゼロ)、I(アイ)と1(イチ)などの違いにご注意ください。

ロールに登録したディレクトリ名/ファイル名の変更制限について

Hizard Agentは、アクセス制御対象のディレクトリ/ファイルの保護のため、ロールに登録されたディレクトリやファイルの名称変更や削除を制限します（当該ディレクトリやファイルに対しフルコントロール権限を有する特権ユーザーであっても許可されません）。ファイルの名称変更/削除が必要な場合には、当該ファイルをRoleから削除し、名称変更/削除を行った後、再度Roleへの登録を行ってください。

Hizard AgentとHizard Manager間の接続エラーに関するトラブルシューティングロールに登録したディレクトリ名/ファイル名の変更制限について

Hizard ManagerからHizard Agentへの接続に失敗する場合は、イベントビューに出力されるメッセージを確認してください。

「サーバ[xxx.xxx.xxx.xxx]への接続に失敗しました」というエラーメッセージが出力される場合
? Pingコマンドによる物理的なネットワーク接続の可否
? Hizard Managerに登録されているHizard AgentのIPアドレス及びポート番号
? ネットワークコントロール機能による、外部からの接続の制限有無
「サーバ[xxx.xxx.xxx.xxx]へのログインに失敗しました」というエラーメッセージが出力される場合
? セキュリティ管理者のユーザーID及びパスワード
? （Linux/Unixの場合）hzdの起動有無（Windowsの場合）Hizard Daemonサービスの起動有無

Hizardキーの入力時に「TRY AGAIN」というエラーメッセージが表示される現象について

入力したHizardキーに誤りがあります。この場合、次の2つの原因が考えられます。
? Hizardキーの入力ミス
? Hizardキーが正しく発行されていない（Hizardキー取得時に入力したHizard IDまたはプラットフォームの誤り）