ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris の管理: セキュリティーサービス Oracle Solaris 11 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
NIS ドメイン用の新しいパスワードアルゴリズムを指定する方法
LDAP ドメイン用の新しいパスワードアルゴリズムを指定する方法
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
スーパーユーザーのアカウントを使用する代わりに、役割に基づくアクセス制御 (RBAC) を設定できます。RBAC の概要は、「役割に基づくアクセス制御 (概要)」を参照してください。RBAC の設定方法については、第 9 章役割に基づくアクセス制御の使用 (タスク)を参照してください。
sulog ファイルには、ユーザーからスーパーユーザーに切り替えたときの su コマンドの使用を含め、すべての su コマンドの使用歴が記録されます。
始める前に
root 役割になっている必要があります。
# more /var/adm/sulog SU 12/20 16:26 + pts/0 stacey-root SU 12/21 10:59 + pts/0 stacey-root SU 01/12 11:11 + pts/0 root-rimmer SU 01/12 14:56 + pts/0 jdoe-root SU 01/12 14:57 + pts/0 jdoe-root
ここには、次のような情報が表示されます。
このファイルへの su ログの記録は、デフォルトで、 /etc/default/su ファイルの次のエントリで有効になっています。
SULOG=/var/adm/sulog
注意事項
??? を含むエントリは、su コマンドの制御端末を識別できないことを示しています。通常、デスクトップが表示される前の su コマンドのシステム呼び出しには、??? が含まれます。たとえば、SU 10/10 08:08 + ??? root-root です。ユーザーがデスクトップセッションを開始すると、ttynam コマンドは、次のように制御端末の値を sulog に返します。 SU 10/10 10:10 + pts/3 jdoe-root。
次のようなエントリは、su コマンドがコマンド行で呼び出されなかったことを示している場合があります。SU 10/10 10:20 + ??? root-oracle。Trusted Extensions のユーザーが GUI を使用して oracle 役割に切り替えた可能性があります。
この方法では、ローカルシステムにアクセスしようとする root をただちに検出できます。
始める前に
root 役割になっている必要があります。
CONSOLE=/dev/console
デフォルトのコンソールデバイスは /dev/console に設定されています。このように設定されていると、root はコンソールにログインできます。root はリモートログインを行うことはできません。
リモートシステムから、root としてログインを試みます。
mach2 % ssh -l root mach1 Password: <Type root password of mach1> Password: Password: Permission denied (gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive).
デフォルトの構成では、root は役割であり、役割はログインできません。また、デフォルトの構成では、ssh プロトコルによって root ユーザーのログインが阻止されます。
デフォルトでは、root になろうとする試みが SYSLOG ユーティリティーによってコンソールに表示されます。
% su - Password: <Type root password> #
端末コンソールにメッセージが表示されます。
Sep 7 13:22:57 mach1 su: 'su root' succeeded for jdoe on /dev/pts/6
例 3-7 スーパーユーザーのアクセス試行のログを作成する
この例では、スーパーユーザーになろうとする試みは SYSLOG によってログされていません。そのため、管理者は、/etc/default/su ファイルの #CONSOLE=/dev/console エントリのコメントを解除して、試行のログを作成します。
# CONSOLE determines whether attempts to su to root should be logged # to the named device # CONSOLE=/dev/console
ユーザーがスーパーユーザーになろうとすると、その試行が端末コンソールに表示されます。
SU 09/07 16:38 + pts/8 jdoe-root
注意事項
/etc/default/login ファイルにデフォルトの CONSOLE エントリが含まれている場合、リモートシステムからスーパーユーザーになるには、ユーザーはまず自分のユーザー名でログインする必要があります。自分のユーザー名でログインしたあとに、su コマンドを使ってスーパーユーザーになることができます。
コンソールに Mar 16 16:20:36 mach1 login: ROOT LOGIN /dev/pts/14 FROM mach2.Example.COM のようなエントリが表示されたら、システムはリモート root ログインを認めていることになります。リモートシステムからのスーパーユーザーアクセスを禁止するには、/etc/default/login ファイルの #CONSOLE=/dev/console エントリを CONSOLE=/dev/console に変更します。