パスワードの保護
ローカルファイルでは、DAC によりパスワードを見ることはできません。また、DAC と MAC によりパスワードが変更ができないように保護されています。ローカルアカウントのパスワードは、shadow (4) ファイルで保守されており、スーパーユーザーからしか読むことができません。
trusted4% ls -l /etc/shadow -r------- 1 root |
セキュリティ管理者役割は、DAC および MAC 属性が /etc/shadow ファイル用に変更されることのないようにしなければなりません。shadow ファイル上で保守をしなければならない属性を次の表に示します。
表 2-2 /etc/shadow で必要な属性|
MAC |
|
||
|
DAC
|
所有者 |
グループ |
アクセス権 |
|
root |
sys |
400 |
|
NIS+ passwd.org_dir テーブルのパスワードフィールドは、NIS+ アクセスがテーブル内のフィールドに限定されていることで保護されています。ユーザーや管理者が passwd.org_dir テーブルを見ようとしても、表示される符号化されたパスワードは、そのアカウントに属するものだけです。
次の例では、niscat(1) コマンドを起動したユーザーである roseanne は、自分自身のアカウントの符号化されたパスワードを見ることはできても、他のユーザーである ricc のパスワードフィールドには、*NP* と表示されるだけであることを示しています。
trusted5% whoami roseanne trusted6% niscat passwd.org_dir . . . ricc:*NP*:33333:10:Ric Cheshire:/home/ricc:/bin/csh:*NP* roseanne:0dk1EW44:10:Roseanne Sullivan:/home/roseanne:/bin/csh:38442:::::: |
また、次の例に示すとおり、shadow.org_dir テーブルはありません。
trusted5% niscat shadow.org_dir shadow.org_dir: Not Found, no such name |
- © 2010, Oracle Corporation and/or its affiliates