プローブベースのディスカバリー中に特権ユーザーを必要とする SSH コマンド
これらのテーブルには、水平ディスカバリー中に ディスカバリー プローブによって実行される SSH コマンドが表示されます。これらの SSH コマンドを実行するには、昇格された権限が必要です。
昇格された権限が必要なオペレーティングシステムコマンド
disco ALL=(root) NOPASSWD:/usr/sbin/dmidecode,/usr/sbin/lsof,/sbin/ifconfig と入力します。昇格された権限を必要としないコマンドの詳細については、「 プローブベースのディスカバリー中に特権ユーザーを必要としない SSH コマンド」を参照してください。
トップダウンディスカバリー中に サービスマッピング で使用されるコマンドの詳細については、「特権ユーザーを必要とする サービスマッピング コマンド」および「特権ユーザーを必要としない サービスマッピング コマンド」を参照してください。
SSH キーが検証されていません
MID サーバーがシステムに接続すると、MID サーバーはそのシステムに対してホストキー検証を実行しないため、信頼できないものとして扱われます。攻撃者が中間者攻撃を実行し、トラフィックを悪意のある SSH サービスにリダイレクトすると、攻撃者は接続を介して送信されたデータを傍受または変更できます。
したがって、 MID サーバー とターゲット SSH サーバー間で交換される機密情報を制限します。SSH 認証にはキーまたは証明書のみを使用し、システム認証情報は送信しないでください。必要な特権コマンドについて、sudoers ファイルで NOPASSWD を構成します。
| コマンド | 目的 |
|---|---|
| adb | CPU の速度とメモリーを収集します。 /etc/sudoers 行の例: |
| コマンド | 目的 |
|---|---|
| dmidecode | マザーボード内に埋め込まれたシリアル番号など、ハードウェアに関するいくつかの情報を収集します。 /etc/sudoers 行の例: |
| fdisk | システム上のディスクおよびサイズ情報を収集します。 /etc/sudoers 行の例: |
| multipath | マルチパス入力出力 (MPIO) のデバイスマッピングを収集します。 /etc/sudoers 行の例: |
| コマンド | 目的 |
|---|---|
| dmsetup | 低レベルのボリュームを調べます。 /etc/sudoers 行の例
|
| コマンド | 目的 |
|---|---|
| lsof | プロセスとシステムへの接続との関係を決定します。 /etc/sudoers 行の例: |
| oratab | Oracleホームおよび pfile を検索するための oratab ファイルへの読み取りアクセス権を付与します。 |
| netstat | プロセスとシステムへの接続との関係を決定します。 /etc/sudoers 行の例: |
| ss | プロセスとシステムへの接続との関係を決定します。 /etc/sudoers 行の例: |
| コマンド | 目的 |
|---|---|
| iscsiadm | iSCSI 修飾名 (IKN) を取得します。 /etc/sudoers 行の例: |
| fcinfo | ポートのワールドワイドポート名 (WWPN) を取得します。 /etc/sudoers 行の例: |
| prtvtoc | ディスク パーティションに関する情報をレポートします。 /etc/sudoers 行の例: |
| /usr/bin/ps | 実行中のプロセスを一覧表示します。ルートアクセスで実行する代わりに、proc_owner role.sola を追加します。 /etc/sudoers 行の例: |
| /usr/ucb/ps | 実行中のプロセスを一覧表示します。ルート アクセスで実行する代わりに、proc_owner ロールを追加します。
/etc/sudoers 行の例: |
| pgrep | ソケット情報を含むプロセス ID (PID) のリストを取得します。 /etc/sudoers 行の例: |
| pfiles | PID ごとに、S_IFSOCKの出力を取得して処理します。 /etc/sudoers 行の例: |