PAMSC 14.1 CP05: CP05適用後PACLでシェルスクリプト内のコマンドにルールが継承されない。
search cancel

PAMSC 14.1 CP05: CP05適用後PACLでシェルスクリプト内のコマンドにルールが継承されない。

book

Article ID: 266160

calendar_today

Updated On:

Products

CA Privileged Access Manager - Server Control (PAMSC)

Issue/Introduction

Privileged Access Manager Server Control ( 以下 PAMSC ) で 集積パッチ CP05 を適用後、動作が変わって不要なログが大量に出力されるようになった。
FILEクラスの PACLにシェルスクリプトが指定されているが、該当のシェルスクリプト内のコマンドの実行時にファイルのアクセス権が正しく継承されなくなっているように見受けられる。

実行例:

/root/test.sh
---
#! /bin/sh
 
## some command start in shell script
chmod 544  /PAMSCProtected/testfiles.txt
cat /PAMSCProtected/testfiles.txt
echo a >> /PAMSCProtected/testfiles.txt
---

FILE クラスルール:

editres FILE ('/PAMSCProtected/testfiles.txt') audit(ALL) defaccess(NONE) owner('nobody')
authorize FILE ('/PAMSCProtected/testfiles.txt') access(READ WRITE DELETE RENAME CREATE EXECUTE CHOWN CHMOD UTIME SEC CHDIR) uid('root') via(pgm('/root/test.sh'))

監査ログ(CP05):

DD MM YYYY hh:mm:ss D FILE         root       Chmod      69  2 /PAMSCProtected/testfiles.txt /usr/bin/chmod                         root
DD MM YYYY hh:mm:ss D FILE         root       Read       69  2 /PAMSCProtected/testfiles.txt /usr/bin/cat                           root
DD MM YYYY hh:mm:ss P FILE         root       Write      63  3 /PAMSCProtected/testfiles.txt /root/test.sh                          root

参考:監査ログ(CP04):

DD MM YYYY hh:mm:ss P FILE         root       Chmod      69  2 /PAMSCProtected/testfiles.txt /root/test.sh                         root
DD MM YYYY hh:mm:ss P FILE         root       Read       69  2 /PAMSCProtected/testfiles.txt /root/test.sh                           root
DD MM YYYY hh:mm:ss P FILE         root       Write      63  3 /PAMSCProtected/testfiles.txt /root/test.sh                          root

 

Environment

OS: Linux
Product: Privileged Access Manager Server Control 14.1 CP05

Cause

seos.ini内のトークン、 use_trusted_script の設定により動作が異なりますが、このトークンがデフォルトまたはyesで設定されている場合は、
シェルスクリプト内のコマンドについてもシェルスクリプトのPACLルールが継承される動作が正しくなります。

  * use_trusted_script についてはマニュアルページ seosd の use_trusted_script の項目をご参照ください。

過去にシェルスクリプトの実行時に製品の内部でデッドロックが発生している問題をCP05で修正しました。
この修正の中で一部の修正に漏れがあったため、シェルスクリプト内のコマンドが認識できなくなっていたことが原因と判明しました。
CP05で修正された問題はLinux固有であるため、他のプラットフォーム(AIX,Solaris)には影響がありません。

Resolution

解決策としてテストフィックス acpatch-DE571191-14.10.50.103-_LINUX_X64 を作成しています。
本テストフィックスについてはケースを作成し、サポートから入手してください。

また、テストフィックスがすぐに適用できない場合には、回避策としてPACLで指定しているシェルスクリプトをSPECIALPGMクラスに登録し、アクセスチェックのバイパスを設定してください。

コマンド例:
editres SPECIALPGM ('/root/test.sh') owner('nobody') pgmtype(PROPAGATE FULLBYPASS) unixuid(*)

Additional Information

信頼できるシェルスクリプトと判断されるために、シェルスクリプトの最初には必ず shebang (#!/bin/sh または他のシェル)が必要です。

2023/07/13 パッチの動作に一部不具合が見つかったため新規パッチを作成し、パッチ番号を更新しました。

Powered by Wolken Software