JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Oracle Solaris 11.1 の管理: セキュリティーサービス     Oracle Solaris 11.1 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
search filter icon
search icon

ドキュメントの情報

はじめに

パート I セキュリティーの概要

1.  セキュリティーサービス (概要)

パート II システム、ファイル、およびデバイスのセキュリティー

2.  マシンセキュリティーの管理 (概要)

3.  システムアクセスの制御 (タスク)

ログインとパスワードの保護 (タスク)

ログインとパスワードの保護 (タスクマップ)

root パスワードを変更する方法

ユーザーのログインステータスを表示する方法

パスワードを持たないユーザーを表示する方法

ユーザーのログインを一時的に無効にする方法

失敗したログインについて

パスワード暗号化のデフォルトアルゴリズムの変更 (タスク)

パスワード暗号化のアルゴリズムを指定する方法

NIS ドメイン用の新しいパスワードアルゴリズムを指定する方法

LDAP ドメイン用の新しいパスワードアルゴリズムを指定する方法

root アクセスのモニタリングと制限 (タスク)

だれが su コマンドを使用しているかをモニターする方法

root ログインを制限およびモニターする方法

システムハードウェアへのアクセスの制御 (タスク)

SPARC ハードウェアへのアクセスにパスワードを必要にする方法

システムのアボートシーケンスを無効にする方法

4.  ウイルススキャンサービス (タスク)

5.  デバイスアクセスの制御 (タスク)

6.  BART を使用したファイル整合性の検証 (タスク)

7.  ファイルアクセスの制御 (タスク)

パート III 役割、権利プロファイル、特権

8.  役割と特権の使用 (概要)

9.  役割に基づくアクセス制御の使用 (タスク)

10.  Oracle Solaris のセキュリティー属性 (参照)

パート IV 暗号化サービス

11.  暗号化フレームワーク (概要)

12.  暗号化フレームワーク (タスク)

13.  鍵管理フレームワーク

パート V 認証サービスと安全な通信

14.  プラグイン可能認証モジュールの使用

15.  Secure Shell の使用

16.  Secure Shell (参照)

17.  簡易認証セキュリティー層の使用

18.  ネットワークサービスの認証 (タスク)

パート VI Kerberos サービス

19.  Kerberos サービスについて

20.  Kerberos サービスの計画

21.  Kerberos サービスの構成 (タスク)

22.  Kerberos エラーメッセージとトラブルシューティング

23.  Kerberos 主体とポリシーの管理 (タスク)

24.  Kerberos アプリケーションの使用 (タスク)

25.  Kerberos サービス (参照)

パート VII Oracle Solaris での監査

26.  監査 (概要)

27.  監査の計画

28.  監査の管理 (タスク)

29.  監査 (参照)

用語集

索引

root アクセスのモニタリングと制限 (タスク)

デフォルトでは、root 役割は初期ユーザーに割り当てられ、ローカルシステムに直接ログインしたり、Oracle Solaris システムにリモートログインしたりすることはできません。

だれが su コマンドを使用しているかをモニターする方法

sulog ファイルには、ユーザーから root に切り替えるために使用される su の試行だけでなく、ユーザー切替え (su) コマンドのすべての使用が記録されます。

始める前に

root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。

注意事項

??? を含むエントリは、su コマンドの制御端末を識別できないことを示しています。通常、デスクトップが表示される前の su コマンドのシステム呼び出しには、??? が含まれます。たとえば、SU 10/10 08:08 + ??? root-root です。ユーザーがデスクトップセッションを開始すると、ttynam コマンドは、次のように制御端末の値を sulog に返します。 SU 10/10 10:10 + pts/3 jdoe-root

次のようなエントリは、su コマンドがコマンド行で呼び出されなかったことを示している場合があります。SU 10/10 10:20 + ??? root-oracle。Trusted Extensions のユーザーが GUI を使用して oracle 役割に切り替えた可能性があります。

root ログインを制限およびモニターする方法

この方法では、ローカルシステムにアクセスしようとする root をただちに検出できます。

始める前に

root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。

  1. /etc/default/login ファイルの CONSOLE エントリを確認します。
    CONSOLE=/dev/console

    デフォルトのコンソールデバイスは /dev/console に設定されています。このように設定されていると、root はコンソールにログインできます。root はリモートログインを行うことはできません。

  2. root がリモートログインできないことを検証します。

    リモートシステムから、root としてログインを試みます。

    mach2 % ssh -l root mach1
Password: <Type root password of mach1>
Password: 
Password: 
Permission denied (gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive).

    デフォルト構成では、root は役割であり、役割はログインできません。また、デフォルトの構成では、ssh プロトコルによって root ユーザーのログインが阻止されます。

  3. root になろうとする試みをモニターします。

    デフォルトでは、root になろうとする試みが SYSLOG ユーティリティーによってコンソールに表示されます。

    1. デスクトップに端末コンソールを開きます。
    2. 別のウィンドウで、su コマンドを使用して root になります。
      % su -
Password: <Type root password>
#

      端末コンソールにメッセージが表示されます。

      Sep 7 13:22:57 mach1 su: 'su root' succeeded for jdoe on /dev/pts/6

例 3-5 root アクセスの試行のログ記録

この例では、root の試行は SYSLOG によってログに記録されていません。そのため、管理者は、/etc/default/su ファイル内の #CONSOLE=/dev/console エントリからコメントを削除することによって、これらの試行をログに記録します。

# CONSOLE determines whether attempts to su to root should be logged
# to the named device
#
CONSOLE=/dev/console

ユーザーが root になろうとすると、この試行が端末コンソールに出力されます。

SU 09/07 16:38 + pts/8 jdoe-root

注意事項

/etc/default/login ファイルにデフォルトの CONSOLE エントリが含まれている場合にリモートシステムから root になるには、ユーザーはまず、自分のユーザー名を使用してログインする必要があります。自分のユーザー名を使用してログインしたあと、ユーザーは su コマンドを使用して root になることができます。

コンソールに Last login: Wed Sep 7 15:13:11 2011 from mach2 のようなエントリが表示された場合、システムは、リモート root ログインを許可するように構成されています。リモート root アクセスを防止するには、/etc/default/login ファイル内の #CONSOLE=/dev/console エントリを CONSOLE=/dev/console に変更します。ssh プロトコルをデフォルトに戻すには、sshd_config(4) のマニュアルページを参照してください。

Copyright © 2002, 2014, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ