Cosminexus V9 アプリケーションサーバ 機能解説 セキュリティ管理機能編
ここでは,「システム構築手順書」に記載するシステムの構築手順の例について説明します。「システム構築手順書」を作成するときは,ここで説明している手順を参考にしてください。
セキュアなシステムの構築には,Smart Composer機能のコマンド,およびサーバ管理コマンドを使用します。また,すべての操作に,実行時に監査ログが出力されるコマンドを使用します。ここで説明している以外の操作を作業手順書に記載する場合も,監査ログが出力されるコマンドを使用する方法を記載してください。監査ログが出力されるコマンドについては,マニュアル「アプリケーションサーバ 機能解説 運用/監視/連携編」の「6.6 監査ログを出力するコマンド・操作一覧」を参照してください。
なお,この項で説明する手順は,すべてシステム管理者が実行します。
システム管理者が,ハードウェアを設置します。ハードウェアを設置する手順を次に示します。
なお,「システム構築手順書」では,ハードウェア,およびファイアウォールを設置する手順の詳細を規定してください。
システム管理者が,システムで使用するOSのインストールを実施します。OSをインストールする手順を次に示します。
システム管理者が,「(2) OSのインストール」で設定したシステム管理者用のOSのアカウントを使用してOSにログインします。
システム管理者が,運用管理サーバおよびアプリケーションサーバの端末で監査ログを出力するための設定をします。監査ログを出力するための設定をする手順を次に示します。
システム管理者が,負荷分散機およびデータベースをサーバエリア内に設置して,負荷分散機およびデータベースを設定します。
なお,「システム構築手順書」では,負荷分散機およびデータベースの設定手順の詳細を規定してください。
システム管理者が,運用管理サーバの初期設定をします。運用管理サーバを設定する手順を次に示します。
システム管理者が,Webシステムの構成を定義します。Webシステムの構成を定義する手順を次に示します。
システム管理者が,運用管理サーバの管理者端末でSmart Composer機能のコマンドを使用して,Webシステムの準備をします。Webシステムを準備する手順を次に示します。
システム管理者が,運用管理サーバの管理者端末でサーバ管理コマンドを使用して,データベースと連携するアプリケーションに必要なリソースアダプタを設定します。リソースアダプタを設定する手順を次に示します。
システム管理者が,「4.8.2 想定した脅威に対して実施する対策」で説明した対策がJ2EEアプリケーションに施されているかを確認します。ここでは,次の対策について確認します。
具体的には,J2EEアプリケーションが次の仕様を満たしているかどうかを確認してください。
システム管理者が,運用管理サーバの管理者端末でサーバ管理コマンドを使用して,J2EEアプリケーションを設定します。J2EEアプリケーションを設定する手順を次に示します。
システム管理者が,運用管理サーバの管理者端末でSmart Composer機能のコマンドとサーバ管理コマンドを使用して,Webシステムを開始します。Webシステムを開始する手順を次に示します。
不正なユーザによって不要な機能を使用されないように,機能を無効化します。具体的には,システム管理者が,コマンドの実行権限を変更したり,コマンドの実行に必要なファイルを削除したりします。無効化する必要がある機能を,Windowsの場合とUNIXの場合に分けて,次の表に示します。
表4-4 無効化する必要がある機能(Windowsの場合)
機能名 | 対象ディレクトリ | 対象ファイル | 対処 |
---|---|---|---|
HTTP ServerのGUIサーバ管理機能 | <Application Serverのインストールディレクトリ>\httpsd | adm-httpsd.exe | システム管理者以外の実行権限を解除します。 |
HTTP Serverのパスワードファイル編集コマンド | <Application Serverのインストールディレクトリ>\httpsd\bin | htpasswd.exe | システム管理者以外の実行権限を解除します。 |
CTMのスケジュールキューの同時実行数の変更 | <Application Serverのインストールディレクトリ>\CTM\bin | ctmchpara.exe | システム管理者以外の実行権限を解除します。 |
CTMのCTMドメインの情報表示と削除 | <Application Serverのインストールディレクトリ>\CTM\bin | ctmdminfo.exe | システム管理者以外の実行権限を解除します。 |
CTMのスケジュールキューの閉塞 | <Application Serverのインストールディレクトリ>\CTM\bin | ctmholdque.exe | システム管理者以外の実行権限を解除します。 |
CTMの実行形式ファイルおよびライブラリのバージョン情報の出力 | <Application Serverのインストールディレクトリ>\CTM\bin | ctmjver.exe | システム管理者以外の実行権限を解除します。 |
CTMのメッセージの編集と出力 | <Application Serverのインストールディレクトリ>\CTM\bin | ctmlogcat.exe | システム管理者以外の実行権限を解除します。 |
CTMのスケジュールキュー情報の出力 | <Application Serverのインストールディレクトリ>\CTM\bin | ctmlsque.exe | システム管理者以外の実行権限を解除します。 |
CTMのスケジュールキューの閉塞解除 | <Application Serverのインストールディレクトリ>\CTM\bin | ctmrlesque.exe | システム管理者以外の実行権限を解除します。 |
CTMの稼働統計情報の編集と出力 | <Application Serverのインストールディレクトリ>\CTM\bin | ctmstsed.exe | システム管理者以外の実行権限を解除します。 |
CTMのバッファ内容の強制ファイル出力 | <Application Serverのインストールディレクトリ>\CTM\bin | ctmstsflush.exe | システム管理者以外の実行権限を解除します。 |
CTMの実行形式ファイルおよびライブラリのバージョン情報の出力 | <Application Serverのインストールディレクトリ>\CTM\bin | ctmver.exe | システム管理者以外の実行権限を解除します。 |
PRFの性能解析トレース情報の編集出力 | <Application Serverのインストールディレクトリ>\PRF\bin | cprfed.exe | システム管理者以外の実行権限を解除します。 |
PRFのバッファ内容の強制ファイル出力 | <Application Serverのインストールディレクトリ>\PRF\bin | cprfflush.exe | システム管理者以外の実行権限を解除します。 |
PRFトレース取得レベルの表示と変更 | <Application Serverのインストールディレクトリ>\PRF\bin | cprflevel.exe | システム管理者以外の実行権限を解除します。 |
Management Serverで使用するコマンド | <Application Serverのインストールディレクトリ>\manager\bin | mngsvrutil.exe | システム管理者以外の実行権限を解除します。 |
<Application Serverのインストールディレクトリ>\manager\bin | mstrexport.exe | システム管理者以外の実行権限を解除します。 | |
<Application Serverのインストールディレクトリ>\manager\bin | mstrimport.exe | システム管理者以外の実行権限を解除します。 | |
<Application Serverのインストールディレクトリ>\manager\bin | ssoexport.exe | システム管理者以外の実行権限を解除します。 | |
<Application Serverのインストールディレクトリ>\manager\bin | ssogenkey.exe | システム管理者以外の実行権限を解除します。 | |
<Application Serverのインストールディレクトリ>\manager\bin | ssoimport.exe | システム管理者以外の実行権限を解除します。 | |
<Application Serverのインストールディレクトリ>\manager\bin | uachpw.exe | システム管理者以外の実行権限を解除します。 | |
<Application Serverのインストールディレクトリ>\manager\bin | mngsvr_adapter_setup.exe | このコマンドを実行しないようにします。 | |
<Application Serverのインストールディレクトリ>\manager\bin | Adapter_HITACHI_COSMINEXUS_MANAGER.exe | システム管理者以外の実行権限を解除します。 | |
<Application Serverのインストールディレクトリ>\manager\externals\jp1\mngsvrmonitor | mngsvr_monitor_setup.exe | このコマンドを実行しないようにします。 | |
運用管理ポータル | <Application Serverのインストールディレクトリ>\manager\containers\m\webapps\mngsvr | index.jsp | ファイルを削除します。 |
<Application Serverのインストールディレクトリ>\manager\containers\m\webapps\mngsvr | login.jsp | ファイルを削除します。 |
表4-5 無効化する必要がある機能(UNIXの場合)
機能名 | 対象ディレクトリ | 対象ファイル | 対処 |
---|---|---|---|
HTTP ServerのGUIサーバ管理機能 | /opt/hitachi/httpsd/sbin | adminctl | システム管理者以外の実行権限を解除します。 |
/opt/hitachi/httpsd/sbin | adm-httpsd | システム管理者以外の実行権限を解除します。 | |
HTTP Serverのパスワードファイル編集コマンド | /opt/hitachi/httpsd/bin | htpasswd | システム管理者以外の実行権限を解除します。 |
CTMのスケジュールキューの同時実行数の変更 | /opt/Cosminexus/CTM/bin | ctmchpara | システム管理者以外の実行権限を解除します。 |
CTMのCTMドメイン情報の表示と削除 | /opt/Cosminexus/CTM/bin | ctmdminfo | システム管理者以外の実行権限を解除します。 |
CTMのスケジュールキューの閉塞 | /opt/Cosminexus/CTM/bin | ctmholdque | システム管理者以外の実行権限を解除します。 |
CTMの実行形式ファイルおよびライブラリのバージョン情報の出力 | /opt/Cosminexus/CTM/bin | ctmjver | システム管理者以外の実行権限を解除します。 |
CTMのメッセージの編集と出力 | /opt/Cosminexus/CTM/bin | ctmlogcat | システム管理者以外の実行権限を解除します。 |
CTMのスケジュールキュー情報の出力 | /opt/Cosminexus/CTM/bin | ctmlsque | システム管理者以外の実行権限を解除します。 |
CTMのスケジュールキューの閉塞解除 | /opt/Cosminexus/CTM/bin | ctmrlesque | システム管理者以外の実行権限を解除します。 |
CTMの稼働統計情報の編集と出力 | /opt/Cosminexus/CTM/bin | ctmstsed | システム管理者以外の実行権限を解除します。 |
CTMのバッファ内容の強制ファイル出力 | /opt/Cosminexus/CTM/bin | ctmstsflush | システム管理者以外の実行権限を解除します。 |
CTMの実行形式ファイルおよびライブラリのバージョン情報の出力 | /opt/Cosminexus/CTM/bin | ctmver | システム管理者以外の実行権限を解除します。 |
PRFの性能解析トレース情報の編集出力 | /opt/Cosminexus/PRF/bin | cprfed | システム管理者以外の実行権限を解除します。 |
PRFのバッファ内容の強制ファイル出力 | /opt/Cosminexus/PRF/bin | cprfflush | システム管理者以外の実行権限を解除します。 |
PRFトレース取得レベルの表示と変更 | /opt/Cosminexus/PRF/bin | cprflevel | システム管理者以外の実行権限を解除します。 |
Management Serverで使用するコマンド | /opt/Cosminexus/manager/bin | mngsvrutil | システム管理者以外の実行権限を解除します。 |
/opt/Cosminexus/manager/bin | mstrexport | システム管理者以外の実行権限を解除します。 | |
/opt/Cosminexus/manager/bin | mstrimport | システム管理者以外の実行権限を解除します。 | |
/opt/Cosminexus/manager/bin | ssoexport | システム管理者以外の実行権限を解除します。 | |
/opt/Cosminexus/manager/bin | ssogenkey | システム管理者以外の実行権限を解除します。 | |
/opt/Cosminexus/manager/bin | ssoimport | システム管理者以外の実行権限を解除します。 | |
/opt/Cosminexus/manager/bin | uachpw | システム管理者以外の実行権限を解除します。 | |
/opt/Cosminexus/manager/bin | mngsvr_adapter_setup | システム管理者以外の実行権限を解除します。 | |
/opt/Cosminexus/manager/bin | Adapter_HITACHI_COSMINEXUS_MANAGER | システム管理者以外の実行権限を解除します。 | |
運用管理ポータル | /opt/Cosminexus/manager/containers/m/webapps/mngsvr | index.jsp | ファイルを削除します。 |
/opt/Cosminexus/manager/containers/m/webapps/mngsvr | login.jsp | ファイルを削除します。 |
システム管理者が,運用管理サーバの管理者端末でOSの機能,およびSmart Composer機能のコマンドを使用して,システム運用者のユーザIDとパスワードを設定します。また,設定したユーザIDとパスワードをシステム運用者に通知します。システム運用者を登録する手順を次に示します。
All Rights Reserved. Copyright (C) 2012, 2015, Hitachi, Ltd.