サーバコンソールの保護

サーバコンソールを保護する場合、1番基本となるのは物理的なセキュリティです。物理的なセキュリティが確保されていない場合、何をしてもあまり意味がありません。

プロセッシングユニットは、これを取り外したり再起動できない位置に固定する必要があります。ネットワーク管理者によっては、キーボードとモニタを取り外し、NetWare Remote ManagerやRCONSOLEJを使って、サーバを遠隔地から管理します。コンソールで管理する場合もワークステーションでRCONSOLEJを使用する場合も、パワーオンパスワードの使用を検討することをお勧めします。

次の2つの機能によって、コンソールにセキュリティを追加できます。

• SECURE CONSOLEコマンド。詳細については、次のセクションを参照してください。
  • SECURE CONSOLEを使用する理由
  • SECURE CONSOLEコマンドを使用する

• スクリーンセーバのコンソールロック機能。詳細については、次のセクションを参照してください。
  • SCRSAVERを使ってサーバコンソールをロックする
  • サーバコンソールのロックを解除する

SECURE CONSOLEを使用する理由

サーバの物理的なセキュリティを確保した上で、SECURE CONSOLEコマンドを使用すると、コンソールは引き続き使用可能でありながら、次のセキュリティ機能が提供されます。

• SYS:SYSTEMまたはC:\NWSERVER以外のディレクトリからNLM (NetWare Loadable Module)プログラムをロードできないように保護する。つまり、検索パスにない限り、サーバのディスクドライブやブートパーティションからセキュリティを侵害するNLMをロードできないように保護します。
• オペレーティングシステムのデバッガにキーボード入力できないように保護する。これによって、オペレーティングシステムが変更される可能性が抑制されます。
• 日付と時刻を変更できないように保護する。セキュリティ機能やアカウンティング機能によっては、日付と時刻に基づいて実行しています。
• SECURE CONSOLEコマンドを実行する場合は、サーバを停止し、再起動して、コンソールのセキュリティを解除する必要があります。NetWare 6ではサーバパラメータの設定が保持されるので、サーバを最適化および調整するために行った設定を失うことなく、サーバをシャットダウンできます。
• NetWare Remote ManagerまたはRCONSOLEJでSECURE CONSOLEを使用する場合は、アクセスはSECURE CONSOLEによる保護を受けます。
• SECURE CONSOLEではサーバコンソールはロックされません。コンソールはSCRSAVERを使ってロックできます。コンソールロック機能でコンソールがロックされていても、侵入者はリモートワークステーションからコンソールにアクセスできます。ただし、侵入者は、SCRSAVERコンソールロックを通じてeDirectoryの認証を受ける必要があります。

  ﾋﾝﾄ:  AUTOEXEC.NCFファイル内のRCONSOLEJパスワードを暗号化してサーバコンソールを保護するには、『Utilities Reference』の「Loading RConsoleJ Agent at Startup」を参照してください。

SECURE CONSOLEコマンドを使用する

サーバコンソールを保護するには、システムコンソールプロンプトで次のコマンドを入力します。

SECURE CONSOLE

常にサーバの起動時にサーバコンソールを保護するには、サーバのAUTOEXEC.NCFファイルにSECURE CONSOLEコマンドを追加します。AUTOEXEC.NCFファイルがSYS:SYSTEMまたはC:\NWSERVER以外のディレクトリからモジュールをロードする場合は、.NCFファイルの中でSECURE CONSOLEコマンドは、そのモジュールのLOADコマンドの後に指定する必要があります。

重要:  SECURE CONSOLEを無効にするには、サーバをシャットダウンしてから再起動します。SECURE CONSOLEコマンドがAUTOEXEC.NCFファイルに指定されている場合は、EDITまたは任意のテキストエディタを使ってコマンドをファイルから削除してから、サーバをシャットダウンおよび再起動します。

SECURE CONSOLEの使用方法の詳細については、『Utilities Reference』の「SECURE CONSOLE」を参照してください。

SCRSAVERを使ってサーバコンソールをロックする

SCRSAVER.NLMのコンソールロック機能を使用すると、サーバコンソールプロンプトにアクセスする前にパスワードを要求できます。コンソールロックが有効なときにキーが押されると、ダイアログボックスが表示されます。ここで、eDirectoryのユーザ名とパスワードを入力する必要があります。また、サーバコンソールプロンプトにアクセスするためには、ユーザオブジェクトは、サーバオブジェクトのアクセス制御リスト(ACL)に対する書き込み権が必要です。

スクリーンセーバが起動すると、サーバ上のプロセッサごとに、動く蛇が表示されます。各蛇は、1番目は赤色、2番目は青色など、それぞれ異なる色をしています。各蛇の速度と長さは、プロセッサの利用率に直接比例しています。

コンソールがロックされていない場合は、任意のキーを押すとコンソールがアクティブになります。蛇の画面は消えます。

1. SCRSAVERのコマンドオプションを表示するには、システムコンソールプロンプトで次のコマンドを入力します。

   SCRSAVER HELP

   コマンドオプションを指定すると、ロックの有効化と無効化、ロックオプションの状態の確認に加えて、スクリーンセーバが起動するまでのコンソールの非アクティブ時間を変更できます。デフォルトは600秒(10分)です。

2. コマンドオプションの詳細については、システムコンソールプロンプトで次のコマンドを入力します。

   SCRSAVER HELP command_option

3. SCRSAVERモジュールをロードするには、システムコンソールプロンプトで次のコマンドを入力します。

   SCRSAVER [option; option...]

   スクリーンセーバをロードすると、デフォルトでコンソールロック機能が有効になり、アクセスするにはパスワードが必要です。対応するeDirectoryユーザは、サーバオブジェクトのアクセス制御リスト(ACL)に対する書き込み権が必要です。

詳細については、『Utilities Reference』の「SCRSAVER」を参照してください。

サーバコンソールのロックを解除する

SCRSAVER.NLMを使ってサーバコンソールをロックした後でそのロックを解除するには、次の操作を実行します。

1. スクリーンセーバの蛇が表示されているときに、サーバコンソールキーボードの任意のキーを押します。

2. ［Login］ダイアログボックスで、<Enter>を押してユーザ名のフィールドを選択します。

   ログインボックスは、コンソールがロックされている場合のみ表示されます。

3. ユーザ名を入力します。

   ユーザオブジェクトは、サーバオブジェクトのACLに対する書き込み権が必要です。

   ユーザ名のフィールドが空白の場合、またはユーザ名を変更する場合は、eDirectoryユーザ名とコンテキストを入力します。この場合も、ユーザオブジェクトは目的の権利が必要です。

4. 再び<Enter>を押して、パスワードのフィールドを選択します。

5. ユーザ名のパスワードを入力し、<Enter>を2回押します。

   スクリーンセーバの蛇の画面が消え、サーバコンソール画面が表示されます。

|