ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
NIS ドメイン用の新しいパスワードアルゴリズムを指定する方法
LDAP ドメイン用の新しいパスワードアルゴリズムを指定する方法
SPARC ハードウェアへのアクセスにパスワードを必要にする方法
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
デフォルトでは、root 役割は初期ユーザーに割り当てられ、ローカルシステムに直接ログインしたり、Oracle Solaris システムにリモートログインしたりすることはできません。
sulog ファイルには、ユーザーから root に切り替えるために使用される su の試行だけでなく、ユーザー切替え (su) コマンドのすべての使用が記録されます。
始める前に
root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
# more /var/adm/sulog SU 12/20 16:26 + pts/0 stacey-root SU 12/21 10:59 + pts/0 stacey-root SU 01/12 11:11 + pts/0 root-rimmer SU 01/12 14:56 + pts/0 jdoe-root SU 01/12 14:57 + pts/0 jdoe-root
ここには、次のような情報が表示されます。
このファイルへの su ログの記録は、デフォルトで、 /etc/default/su ファイルの次のエントリで有効になっています。
SULOG=/var/adm/sulog
注意事項
??? を含むエントリは、su コマンドの制御端末を識別できないことを示しています。通常、デスクトップが表示される前の su コマンドのシステム呼び出しには、??? が含まれます。たとえば、SU 10/10 08:08 + ??? root-root です。ユーザーがデスクトップセッションを開始すると、ttynam コマンドは、次のように制御端末の値を sulog に返します。 SU 10/10 10:10 + pts/3 jdoe-root。
次のようなエントリは、su コマンドがコマンド行で呼び出されなかったことを示している場合があります。SU 10/10 10:20 + ??? root-oracle。Trusted Extensions のユーザーが GUI を使用して oracle 役割に切り替えた可能性があります。
この方法では、ローカルシステムにアクセスしようとする root をただちに検出できます。
始める前に
root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
CONSOLE=/dev/console
デフォルトのコンソールデバイスは /dev/console に設定されています。このように設定されていると、root はコンソールにログインできます。root はリモートログインを行うことはできません。
リモートシステムから、root としてログインを試みます。
mach2 % ssh -l root mach1 Password: <Type root password of mach1> Password: Password: Permission denied (gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive).
デフォルト構成では、root は役割であり、役割はログインできません。また、デフォルトの構成では、ssh プロトコルによって root ユーザーのログインが阻止されます。
デフォルトでは、root になろうとする試みが SYSLOG ユーティリティーによってコンソールに表示されます。
% su - Password: <Type root password> #
端末コンソールにメッセージが表示されます。
Sep 7 13:22:57 mach1 su: 'su root' succeeded for jdoe on /dev/pts/6
例 3-5 root アクセスの試行のログ記録
この例では、root の試行は SYSLOG によってログに記録されていません。そのため、管理者は、/etc/default/su ファイル内の #CONSOLE=/dev/console エントリからコメントを削除することによって、これらの試行をログに記録します。
# CONSOLE determines whether attempts to su to root should be logged # to the named device # CONSOLE=/dev/console
ユーザーが root になろうとすると、この試行が端末コンソールに出力されます。
SU 09/07 16:38 + pts/8 jdoe-root
注意事項
/etc/default/login ファイルにデフォルトの CONSOLE エントリが含まれている場合にリモートシステムから root になるには、ユーザーはまず、自分のユーザー名を使用してログインする必要があります。自分のユーザー名を使用してログインしたあと、ユーザーは su コマンドを使用して root になることができます。
コンソールに Last login: Wed Sep 7 15:13:11 2011 from mach2 のようなエントリが表示された場合、システムは、リモート root ログインを許可するように構成されています。リモート root アクセスを防止するには、/etc/default/login ファイル内の #CONSOLE=/dev/console エントリを CONSOLE=/dev/console に変更します。ssh プロトコルをデフォルトに戻すには、sshd_config(4) のマニュアルページを参照してください。