Symantec Data Center Security Agent (DCSSA) で使用する sisips アカウントの詳細について知りたい。

• sisips ユーザーのパスワードは何か
• 外部から sisips ユーザーでシステムにログインできるか

目的:

sisips アカウントはインストールの進行中に作成されます。すべての UNIX DCS エージェントのユーザーは制限付きアカウントであり、パスワードは事前に設定されていません。このため、sisips ユーザーによるシステムへのログインは禁止されます。

/etc/shadow を確認すると、暗号化されたパスワードのカラムに !! という文字がありますが、これはデフォルトでログインが無効になっていることを意味します。

sisips アカウントの目的は、いくつかのエージェント管理および設定ツールを実行することです。このアカウントの権限は制限されており、管理者は root のようなスーパーユーザから su して sisips にアクセスする必要があります。

sisips ユーザは IDS/IPS サービスを開始/停止することはできません。

このアカウントにパスワードを設定することは推奨されません。このユーザはエージェントの管理および設定や管理に関連する特定のタスクの実行のためにのみ作成され、sisips による外部からのログイン試行はデフォルトで禁止されています。要約すると

• sisips ユーザーはパスワードを持たず、アカウントはデフォルトでロックされています。このためログインに使用することはできません。
• sisips ユーザーへの -su は、すでに root としてログインしている場合のみ可能です。
• sisips ユーザーが sisipsdaemon と sisipsutildaemon (エージェントユーティリティ) により使用されることで、非 root ユーザー権限で実行されるようになります。これにより、sisips はエージェントのセキュリティを維持しながら、現在のユーザーがコンピュータ上で作業し、ネットワーク上で DCSSA サーバーと通信するための最良の選択肢となります。
• また、パスワードエージングがシステム上で有効になっている場合、エージェントはスクリプトを実行し、sisips がパスワード変更のポップアップを取得するのを止めます。

以下は、これに関連する例です。

Gather Agent Information のサンプルを見てみると、agent_intsall.log に以下のような記述があります。

11/10/20 08:54:54: checkPasswordAging: user 'sisips'...
11/10/20 08:54:54: checkPasswordAging: Running /opt/Symantec/sdcssagent/IPS/sisipspasswdage.sh

If Password aging is enabled on a unix host, once the password expires,
even though the sisips user account is disabled (no login), it prompts you
to change/set the password.  This can keep the IPS agent from starting up
and will appear OFFLINE.

User `sisips` password expires (Jan 11, 2021)**
  (**which is either in weeks or exact date/timestamp depending on OS).

Disable password aging for user (sisips)......SUCCESS

この意味は、もしマシンがパスワードエージングを有効にしているならば、パスワードの有効期限が切れる前に sisipspasswdage.sh を再度実行する必要があり、さもなければ sisipsに su する必要があるスクリプトは動作しない、ということです。

[英語文書] The purpose of "sisips" user