Solaris のシステム管理 (セキュリティサービス)

パスワードの暗号化

パスワードの強力な暗号化は攻撃に対する最初の障壁になります。Solaris ソフトウェアには、4 つのパスワード暗号化アルゴリズムがあります。2 つの MD5 アルゴリズムと Blowfish アルゴリズムでは、UNIX アルゴリズムよりも強力なパスワードの暗号化が行われます。

パスワードアルゴリズムの識別子

サイトのアルゴリズムの構成は、/etc/security/policy.conf ファイルに指定します。policy.conf ファイルには、次の表に示す識別子でアルゴリズムを指定します。

表 2–1 パスワードの暗号化アルゴリズム


識別子	説明	アルゴリズムのマニュアルページ
`1`	BSD システムや Linux システムの MD5 アルゴリズムと互換性のある MD5 アルゴリズム。	crypt_bsdmd5(5)
`2a`	BSD システムの Blowfish アルゴリズムと互換性のある Blowfish アルゴリズム。	crypt_bsdbf(5)
`md5`	BSD バージョンや Linux バージョンの MD5 よりも強力とされている Sun MD5 アルゴリズム。	crypt_sunmd5(5)
`5`	SHA256 アルゴリズム。SHA は、Secure Hash Algorithm (セキュアハッシュアルゴリズム) を表します。このアルゴリズムは、SHA-2 ファミリのメンバーです。SHA256 では 255 文字のパスワードがサポートされます。	crypt_sha256(5)
`6`	SHA512 アルゴリズム。	crypt_sha512(5)
`__unix__`	従来の UNIX 暗号化アルゴリズム。`policy.conf` ファイルのデフォルトモジュールはこのアルゴリズムです。	crypt_unix(5)

`policy.conf` ファイルのアルゴリズム構成

次に、policy.conf ファイルに指定されたデフォルトのアルゴリズム構成を示します。

#
…
# crypt(3c) Algorithms Configuration
#
# CRYPT_ALGORITHMS_ALLOW specifies the algorithms that are allowed to
# be used for new passwords.  This is enforced only in crypt_gensalt(3c).
#
CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6

# To deprecate use of the traditional unix algorithm, uncomment below
# and change CRYPT_DEFAULT= to another algorithm.  For example,
# CRYPT_DEFAULT=1 for BSD/Linux MD5.
#
#CRYPT_ALGORITHMS_DEPRECATE=__unix__

# The Solaris default is the traditional UNIX algorithm.  This is not
# listed in crypt.conf(4) since it is internal to libc.  The reserved
# name __unix__ is used to refer to it.
#
CRYPT_DEFAULT=__unix__
…

CRYPT_DEFAULT の値を変更すると、新しいユーザーのパスワードは、新しい値に対応するアルゴリズムを使って暗号化されます。現在のユーザーがパスワードを変更したときに新しいパスワードがどのアルゴリズムで暗号化されるかは、古いパスワードがどのように暗号化されているかによって異なります。

たとえば、CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6 かつ CRYPT_DEFAULT=1 であるとします。次の表は、パスワードの暗号化にどのアルゴリズムが使用されるかを示します。

識別子 = パスワードアルゴリズム		意味
元のパスワード	変更後のパスワード	意味
`1` = `crypt_bsdmd5`	同じアルゴリズムを使用します。	`1` 識別子は `CRYPT_DEFAULT` の値でもあります。ユーザーのパスワードは引き続き `crypt_bsdmd5` アルゴリズムで暗号化されます。
`2a` = `crypt_bsdbf`	同じアルゴリズムを使用します。	`2a` 識別子は `CRYPT_ALGORITHMS_ALLOW` リストにあります。このため、新しいパスワードは `crypt_bsbdf` アルゴリズムで暗号化されます。
`md5` = `crypt_md5`	同じアルゴリズムを使用します。	`md5` 識別子は `CRYPT_ALGORITHMS_ALLOW` リストにあります。このため、新しいパスワードは `crypt_md5` アルゴリズムで暗号化されます。
`5` = `crypt_sha256`	同じアルゴリズムを使用します。	`5` 識別子は `CRYPT_ALGORITHMS_ALLOW` リストにあります。このため、新しいパスワードは `crypt_sha256` アルゴリズムで暗号化されます。
`6` = `crypt_sha512`	同じアルゴリズムを使用します。	`6` 識別子は `CRYPT_ALGORITHMS_ALLOW` リストにあります。このため、新しいパスワードは `crypt_sha512` アルゴリズムで暗号化されます。
`__unix__` = `crypt_unix`	`crypt_bsdmd5` アルゴリズムを使用します。	`__unix__` 識別子は `CRYPT_ALGORITHMS_ALLOW` リストにありません。このため、`crypt_unix` アルゴリズムを使用することはできません。新しいパスワードは `CRYPT_DEFAULT` アルゴリズムで暗号化されます。

選択したアルゴリズムの構成の詳細については、policy.conf(4) のマニュアルページを参照してください。パスワード暗号化アルゴリズムを指定する方法については、「パスワードアルゴリズムの変更 (作業マップ)」を参照してください。

パスワードの暗号化

パスワードアルゴリズムの識別子

policy.conf ファイルのアルゴリズム構成

`policy.conf` ファイルのアルゴリズム構成