[重要]ServerViewのセキュリティ 1.説明
ServerView コンソール(ServerView管理コンソール、ServerView WebExtension、ServerView S2、Serverview AlarmService)の扱う情報の中には、管理者名等の個人情報や、その他の 重要情報が含まれています。外部からアクセスできるドメインに設置する装置には、 ServerView コンソールをできるだけインストールしないようお勧めします。インストー ルする場合は、設定した情報が外部からアクセスされないようセキュリティに十分ご注意 いただくと共に、設定する内容についても必要最小限に留めるようご対応をお願いします。 ServerViewコンソールの使用プロトコル、および、アクセス制限方法について後述します。 2.対象ソフトウェア ServerView [コンポーネント] ServerView管理コンソール ServerView WebExtension ServerView S2 ServerView AlarmService 3.対象OS
Microsoft(R) Windows NT(R) Server 4.0
Microsoft(R) Windows NT(R) Server, Enterprise Edition 4.0 Microsoft(R) Windows (R) 2000 Server
Microsoft(R) Windows (R) 2000 Advanced Server Microsoft(R) Small Business Server 2000
Microsoft(R) Windows Server(TM) 2003, Standard Edition Microsoft(R) Windows Server(TM) 2003, Enterprise Edition Microsoft(R) Windows Server(TM) 2003,Standard x64 Edition Microsoft(R) Windows Server(TM) 2003,Enterprise x64 Edition Microsoft(R) Windows Server(TM) 2003,
Enterprise Edition for Itanium-Based Systems Microsoft(R) Windows (R) Small Business Server 2003
Microsoft(R) Windows Server(TM) 2003 R2, Standard Edition Microsoft(R) Windows Server(TM) 2003 R2, Enterprise Edition Microsoft(R) Windows Server(TM) 2003 R2, Standard x64 Edition Microsoft(R) Windows Server(TM) 2003 R2, Enterprise x64 Edition Red Hat Linux 7.2
Red Hat Linux 7.3 Red Hat Linux 8.0 Red Hat Linux 9
Red Hat Enterprise Linux AS (v.2.1 for x86) Red Hat Enterprise Linux ES (v.2.1 for x86)
Red Hat Enterprise Linux AS (v.3 for x86) Red Hat Enterprise Linux ES (v.3 for x86)
Red Hat Enterprise Linux AS (v.3 for Itanium) Red Hat Enterprise Linux AS (v.4 for x86) Red Hat Enterprise Linux ES (v.4 for x86) Red Hat Enterprise Linux AS (v.4 for EM64T) Red Hat Enterprise Linux ES (v.4 for EM64T) Novell SUSE LINUX Enterprise Server 9 for x86
4.プロトコル ServerViewのWebアクセスでは、下表のプロトコル・ポート番号を使用しています。 ServerView同梱の Apacheを使用する場合 IISを使用する場合 Apacheを使用する場合 Windowsの場合 HTTP (3169) HTTPS(3170) HTTP (80) HTTPS(443) HTTP (80) HTTPS(443) Linuxの場合 - - HTTP (80) HTTPS(443) (注意)上表内のポート番号は、初期値です。 5.アクセス制限方法 下記の方法で、ServerViewのWebアクセスを制限することができます。
ServerView S2(ServerView WebExtension)/ ServerView AlarmService に対するアクセ ス権設定について説明します。
ServerView S2(ServerView WebExtension)/ ServerView AlarmService は、Apache / IIS を利用したWeb ブラウザベースのSNMP 管理コンソールです。管理コンソールに対するアク セス権は、使用するWebServer の設定に依存します。 【重要】 ここでは、ServerView コンソールを使用する上での最小限の設定について説明しています。 さらに詳細な設定が必要な場合は、各WebServer のマニュアルを参照してください。 5.1 Apache についての設定(Linux)
Linux では、各ディストリビューションによりServerRoot / DocumentRoot が異なります。 以下では、Red Hat Enterprise Linux AS/ES v.4 を設定例として記述します。
5.1.1 接続ホストによるアクセス制限
この設定では、接続可能なホストを「192.168.0.2」のみに制限しています。 設定ファイル「/etc/httpd/conf/httpd.conf」に以下の記述を追加します。
<Directory "/var/www/cgi-bin/ServerView"> Order deny,allow
deny from all
Allow from 192.168.0.2 </Directory>
<Directory "/var/www/html/ServerView"> Order deny,allow
deny from all
Allow from 192.168.0.2 </Directory>
<Directory "/var/www/html/AlarmService"> Order deny,allow
deny from all
Allow from 192.168.0.2 </Directory>
<Files "sv_www.html"> Order deny,allow Deny from all
Allow from 192.168.0.2 </Files>
<Files "AlarmService.html"> Order deny,allow
Deny from all
Allow from 192.168.0.2 </Files>
<Files "svagent.html"> Order deny,allow Deny from all
Allow from 192.168.0.2 </Files>
5.1.2 ユーザ認証によるアクセス制限
管理コンソールに接続するとユーザ認証を要求されます。 以下のコマンドを実行して、ユー ザの作成とパスワード設定を行います。
# htpasswd -c /etc/httpd/conf/svpasswd websvuser New password: ******
Re-type new password: ****** Adding password for user websvuser
さらに「/etc/httpd/conf/httpd.conf」に以下の記述を追加します。 <Directory "/var/www/cgi-bin/ServerView">
AuthType Basic
AuthName "SV Console"
AuthUserFile /etc/httpd/conf/svpasswd Require user websvuser
</Directory>
<Directory "/var/www/html/ServerView"> AuthType Basic
AuthName "SV Console"
AuthUserFile /etc/httpd/conf/svpasswd Require user websvuser
</Directory>
<Directory "/var/www/html/AlarmService"> AuthType Basic
AuthName "SV Console"
AuthUserFile /etc/httpd/conf/svpasswd Require user websvuser
</Directory> 5.2 Apache についての設定(Windows)(SSL 有効でインストールを実施した場合) ServerView インストール時にSSL 有効を選択した場合、設定ファイルとして「ssl.conf」が有 効となります。この場合、デフォルトの設定でWebServer 全体に対してパスワードによる制 限が有効となっています。以下の設定をすると、デフォルトのパスワード設定は無効となり ます。 5.2.1 接続ホストによるアクセス制限 この設定では、接続可能なホストを「192.168.0.2」のみに制限しています。 設定ファイル
C:\Program Files\Fujitsu\F5FBFE01\ServerView Services\WebServer\conf\ssl.conf の以下の記述をコメントアウトします。
# settings for user/password authentication: # wwwroot
<中略> #</IfDefine> さらに
C:\Program Files\Fujitsu\F5FBFE01\ServerView Services\WebServer\conf\ssl.conf に以下の記述を追加します。
<Directory "C:/PROGRA~1/Fujitsu/F5FBFE01/SERVER~1/scripts/SERVER~1"> Order deny,allow
deny from all
</Directory>
<Directory "C:/PROGRA~1/Fujitsu/F5FBFE01/SERVER~1/wwwroot/SERVER~1"> Order deny,allow
deny from all
Allow from 192.168.0.2 </Directory>
<Directory "C:/PROGRA~1/Fujitsu/F5FBFE01/SERVER~1/wwwroot/ALARMS~"> Order deny,allow
deny from all
Allow from 192.168.0.2 </Directory>
<Files "sv_www.html"> Order deny,allow Deny from all
Allow from 192.168.0.2 </Files>
<Files "AlarmService.htm"> Order deny,allow Deny from all
Allow from 192.168.0.2 </Files>
<Files "svagent.html"> Order deny,allow Deny from all
Allow from 192.168.0.2 </Files>
5.2.2 ユーザ認証によるアクセス制限
管理コンソールに接続するとユーザ認証を要求されます。 コマンドプロンプトから以下のコ マンドを実行して、ユーザの作成とパスワード設定を行います。
C:\>cd C:\Program Files\Fujitsu\F5FBFE01\ServerView Services\WebServer\bin C:\Program Files\Fujitsu\F5FBFE01\ServerView Services\WebServer\bin
>htpasswd -c svpasswd websvuser New password: ******
Re-type new password: ****** Adding password for user websvuser 設定ファイル
C:\Program Files\Fujitsu\F5FBFE01\ServerView Services\WebServer\conf\ssl.conf の以下の記述をコメントアウトします。
# settings for user/password authentication: # wwwroot
<中略> #</IfDefine> さらに
C:\Program Files\Fujitsu\F5FBFE01\ServerView Services\WebServer\conf\ssl.conf に以下の記述を追加します。
<Directory "C:/PROGRA~1/Fujitsu/F5FBFE01/SERVER~1/scripts/SERVER~1"> AuthType Basic
AuthName "SV Console"
AuthUserFile "C:/PROGRA~1/Fujitsu/F5FBFE01/SERVER~1/WebServer/bin/svpasswd" Require user websvuser
</Directory>
<Directory "C:/PROGRA~1/Fujitsu/F5FBFE01/SERVER~1/wwwroot/SERVER~1"> AuthType Basic
AuthName "SV Console"
AuthUserFile "C:/PROGRA~1/Fujitsu/F5FBFE01/SERVER~1/WebServer/bin/svpasswd" Require user websvuser
</Directory>
<Directory "C:/PROGRA~1/Fujitsu/F5FBFE01/SERVER~1/wwwroot/ALARMS~"> AuthType Basic
AuthName "SV Console"
AuthUserFile "C:/PROGRA~1/Fujitsu/F5FBFE01/SERVER~1/WebServer/bin/svpasswd" Require user websvuser
</Directory> 5.3 Apache についての設定(Windows)(SSL無効でインストールを実施した場合) ServerView インストール時にSSL 無効を選択した場合、「ssl.conf」が有効となりません。 この場合、デフォルトの設定でWebServer に対してパスワードによる制限は行われていませ ん。 5.3.1 接続ホストによるアクセス制限 この設定では、接続可能なホストを「192.168.0.2」のみに制限しています。 設定ファイル
C:\Program Files\Fujitsu\F5FBFE01\ServerView Services\WebServer\conf\httpd.conf に以下の記述を追加します。
<Directory "C:/PROGRA~1/Fujitsu/F5FBFE01/SERVER~1/scripts/SERVER~1"> Order deny,allow
deny from all
Allow from 192.168.0.2 </Directory>
Order deny,allow deny from all
Allow from 192.168.0.2 </Directory>
<Directory "C:/PROGRA~1/Fujitsu/F5FBFE01/SERVER~1/wwwroot/ALARMS~"> Order deny,allow
deny from all
Allow from 192.168.0.2 </Directory>
<Files "sv_www.html"> Order deny,allow Deny from all
Allow from 192.168.0.2 </Files>
<Files "AlarmService.htm"> Order deny,allow Deny from all
Allow from 192.168.0.2 </Files>
<Files "svagent.html"> Order deny,allow Deny from all
Allow from 192.168.0.2 </Files>
5.3.2 ユーザ認証によるアクセス制限
管理コンソールに接続するとユーザ認証を要求されます。 以下のコマンドを実行して、ユー ザの作成とパスワード設定を行います。
C:\>cd C:\Program Files\Fujitsu\F5FBFE01\ServerView Services\WebServer\bin C:\Program Files\Fujitsu\F5FBFE01\ServerView Services\WebServer\bin
>htpasswd -c svpasswd websvuser New password: ******
Re-type new password: ****** Adding password for user websvuser 設定ファイル
C:\Program Files\Fujitsu\F5FBFE01\ServerView Services\WebServer\conf\httpd.conf に以下の記述を追加します。
<Directory "C:/PROGRA~1/Fujitsu/F5FBFE01/SERVER~1/scripts/SERVER~1"> AuthType Basic
AuthName "SV Console"
Require user websvuser </Directory> <Directory "C:/PROGRA~1/Fujitsu/F5FBFE01/SERVER~1/wwwroot/SERVER~1"> AuthType Basic AuthName "SV Console" AuthUserFile "C:/PROGRA~1/Fujitsu/F5FBFE01/SERVER~1/WebServer/bin/svpasswd" Require user websvuser
</Directory>
<Directory "C:/PROGRA~1/Fujitsu/F5FBFE01/SERVER~1/wwwroot/ALARMS~"> AuthType Basic
AuthName "SV Console"
AuthUserFile "C:/PROGRA~1/Fujitsu/F5FBFE01/SERVER~1/WebServer/bin/svpasswd" Require user websvuser
</Directory>
5.4 IIS についての設定(Windows)
ここでは、Windows 2003 でIIS に設定を変更していない場合を例として記述します。
ServerView のインストール前にIIS のDocumentRoot の変更などを行っている場合は、それに 準じた設定を行ってください。 [スタート]→[プログラム]→[管理ツール]→[インターネットインフォメーションサー ビス(IIS) マネージャ]の順にクリックして、IIS マネージャを起動します。 5.4.1 接続ホストによるアクセス制限 以下の3つのフォルダに対して設定を行います。 ・ 既定のWeb サイト\scripts\ServerView ・ 既定のWeb サイト\ServerView ・ 既定のWeb サイト\AlarmService 1)各フォルダのプロパティから「ディレクトリセキュリティ」を開き、「IP アド レスとドメイン名の制限」の[編集]をクリックします。 2)「拒否する」を選択し、接続を許可したいIP /ドメイン名のみを追加します。 3)「既定のWeb サイト」配下の以下のファイルに対しても、同様のアクセス制限 を行います。 AlarmService.htm、AlarmService.html、svagent.htm、sv_www.html Point
「既定のWeb サイト」にServerView 以外のコンテンツを格納しない場合、「既定のWeb サイト」 そのものにアクセス制限を設定することもできます。
5.4.2 ユーザ認証によるアクセス制限 以下の3つのフォルダに対して設定を行います。 ・ 既定のWeb サイト\scripts\ServerView ・ 既定のWeb サイト\ServerView
・ 既定のWeb サイト\AlarmService 1)各フォルダのプロパティから「ディレクトリセキュリティ」を開き、「認証と アクセス制御」の[編集]をクリックします。 2)「匿名アクセスを有効にする」チェックボックスを外し、「認証済みアクセス」 において実施したい認証を追加します。 3)「既定のWeb サイト」配下の以下のファイルに対しても、同様のアクセス制限 を行います。 AlarmService.htm、AlarmService.html、svagent.htm、sv_www.html 6.商標および著作権
Microsoft、Windows、Windows Serverは、米国Microsoft Corporationの米国および その他の国における登録商標または商標です。
Linuxは、Linus Torvalds 氏の米国およびその他の国における登録商標または商標です。 Red HatおよびRed Hatをベースとしたすべての商標とロゴは、Red Hat Inc.の米国 およびその他の国における登録商標または商標です。
Novellは、米国およびその他の国におけるNovell, Inc.の登録商標です。
SUSEは、米国およびその他の国における Novell, Inc.の一部門であるSUSE LINUX AG. の登録商標です。
その他すべての商標は、所有する各社の商標です。
