cifs.restrict_anonymous オプションの説明と、 null ユーザアクセスに対する影響は何ですか。
環境
Data ONTAP
回答
null ユーザセッションに関する脆弱性がネットアップサポートセンターで頻繁にスキャンされ、セキュリティ脆弱性がスキャンされます。特に、この脆弱性は、 null ユーザが Filer の IPC$ 共有に正常に接続できたことを示します。
この KB は、 null ユーザアクセスを変更したり、特定の Data ONTAP オプション設定に基づいてさまざまな結果にスクリーンショットを含めることができるオプションの説明として使用されます。
環境に変更を加える前に、ファイラーだけでなく、ファイラーに依存する外部アプリケーションにも、変更が及ぼす影響を十分にテストしてください。
Data ONTAP は、 null ユーザセッションアクセスに関して Windows サーバのようなものにするために、上記の restrict_anonymous オプションを実装しました。Filer 上で実行している Data ONTAP のバージョンに応じて、異なるオプション / 設定を使用できます。この資料では、 Common Internet File System Protocol ( CIFS )を介した Filer への null ユーザ・アクセスを制御するさまざまなオプションについて説明します。
- 7.2.5.1 より前のバージョンの Data ONTAP
使用できるオプションは、次の 2 つの設定のみです。
Filer>options cifs.restrict_anonymous.enable < on | off >
このオプションoff
をに設定すると、 Filer への null ユーザ接続が許可され、 Filer に提示された共有の一覧が正常に表示されます。このオプションon
をに設定すると、 null ユーザによる Filer へのマッピングは許可されますが、共有の列挙は拒否されます。
以下に、各オプションの設定に基づいて表示される画面ショットをいくつか示します。
- を
cifs.restrict_anonymous.enable
に設定しますoff
2.cifs.restrict_anonymous.enable
に設定します on
に設定するoff,
と、 null ユーザアクセスは制限されません。net use と net view の両方を使用したマップは、アクセスを拒否することなく動作します。
に設定するとon
、 Windows RestrictAnonymous の設定がデフォルトで 1 に設定されます(列挙を許可しません ... ) )。これにより、 null ユーザは net use を介して接続できるようになりますが、 net view を介した共有の列挙は拒否されます。どちらの結果も想定される応答ですが、 null ユーザアクセスに対する完全な拒否はありません。以下で説明するように、 ONTAP の新しいバージョンは、 Windows サーバ環境で使用可能な動作や設定に近いものになっています。
- Data ONTAP 7.2.5.1 以降
7.2.5.1 以降の ONTAP では、匿名設定を制限して Windows 環境の設定に模倣するように設定できるようになりました。匿名ユーザの機能を制限しようとする場合は、 Filer 上で新しいオプションを必要に応じて 3 つの設定に設定できます。オプションと設定は次のとおりです。
Filer> options cifs.restrict_anonymous <0|1|2>
Possible values for this option are:
0 - No special restrictions
1 - Enumeration is restricted
2 - Access is fully restricted
古いオプションcifs.restrict_anonymous.enable
はまだ存在しますが、廃止されているため使用しないでください。廃止されたオプションを使用しようとすると、 cifs.restrict_anonymous の設定に影響します。
詳細については、「 KB : 廃止された options コマンド「 cifs.restrict_anonymous.enable 」と「 cifs.restrict_anonymous 」の違いについてを参照してください。
廃止さcifs.restrict_anonymous.enable
cifs.restrict_anonymous
れた options コマンドとの違いにより、 7.2.5.1 以降で廃止されたオプションを切り替えるとどうなるかを確認できます。
以下に、各オプションの設定に基づいて表示される画面ショットをいくつか示します。
1.cifs.restrict_anonymous
次のように設定します0
。
2.cifs.restrict_anonymous
次のように設定1
します。
3.cifs.restrict_anonymous
次のように設定します2
。
追加情報
関連リンク:
『システム・アドミニストレーション・ガイド』およびご使用の Data ONTAP バージョンに対応した『ファイル・アクセスおよびプロトコル管理ガイド』
TR-3649 :『Best Practices for Secure Configuration of Data ONTAP 7G 』