この節では、PAM のフレームワークが特定のセキュリティーポリシーを使用するために必要な作業について説明します。PAM 構成ファイルに関連するセキュリティーのいくつかの問題について注意する必要があります。セキュリティーの問題については、「PAM の実装計画」を参照してください。
作業 |
説明 |
参照先 |
---|---|---|
PAM のインストールを計画します。 |
ソフトウェア構成処理を開始する前に、構成を検討および決定します。 | |
新しい PAM モジュールを追加します。 |
必要に応じて、サイト固有のモジュールを作成およびインストールし、汎用ソフトウェアにない要件に対応します。この手順ではこれらの新しい PAM モジュールのインストール方法について説明します。 | |
~/.rhosts によるアクセスを拒否します。 |
~/.rhosts によるアクセスを拒否して、セキュリティーを強化します。 | |
エラー記録を開始します。 |
syslog を使用して PAM エラーメッセージの記録を開始します。 |
配布時に、pam.conf 構成ファイルは Solaris の標準的なセキュリティーポリシーを実装します。このポリシーは、多くの状況で機能します。別のセキュリティーポリシーを実装する必要がある場合に注意すべき問題は、次のとおりです。
何が必要か、特にどの PAM サービスモジュールを選択するかを決定します。
特別な構成オプションが必要なサービスを確認します。適宜、other を使用します。
モジュールを実行する順番を決定します。
各モジュールに対する制御フラグを選択します。すべての制御フラグの詳細については、「PAM スタックのしくみ」を参照してください。
各モジュールに必要なオプションを選択します。各モジュールのマニュアルページには、特別なオプションが一覧表示されます。
ここで、PAM 構成ファイルを変更する前に次のことを考慮することをお勧めします。
/etc/pam.conf ですべてのアプリケーションを指定しなくてもいいように、モジュールタイプごとに other エントリを使用します。
binding、sufficient、および optional 制御フラグのセキュリティーへの影響を確認します。
モジュールに関連するマニュアルページを参照します。これらのマニュアルページには、各モジュールの機能、使用可能なオプション、スタック内のモジュール間の相互作用などの説明があります。
PAM 構成ファイルの構成を間違えたり壊したりすると、どのユーザーもログインできなくなる可能性があります。この場合、sulogin コマンドは PAM を使用しないので、root パスワードを使用してマシンをシングルユーザーモードでブートして問題を解決する必要があります。
/etc/pam.conf ファイルを変更したあと、システムにアクセスできる間にできる限り調査して問題を解決します。変更によって影響を受ける可能性があるコマンドは、すべてテストしてください。たとえば、新しいモジュールを telnet サービスに追加した場合、telnet コマンドを使用して、行った変更が期待どおりに動作しているかどうかを検証します。
この手順では、新しい PAM モジュールを追加する方法を示します。新しいモジュールは、サイト固有のセキュリティーポリシーを網羅するためや、Sun 以外のアプリケーションをサポートするために作成します。
スーパーユーザーになるか、同等の役割を引き受けます。
役割には、認証と特権コマンドが含まれます。役割の詳細については、「RBAC の構成 (作業マップ)」を参照してください。
使用する制御フラグとオプションを決定します。
制御フラグについては、「PAM スタックのしくみ」を参照してください。
モジュールファイルの所有者が root で、そのアクセス権が 555 になるように設定します。
PAM 構成ファイル /etc/pam.conf を編集して、このモジュールを適切なサービスに追加します。
モジュールが適切に追加されたことを検証します。
構成ファイルが間違って構成されているおそれもあるので、システムをリブートする前にテストを行う必要があります。システムをリブートする前に、ssh などの直接サービスを使用してログインし、su コマンドを実行します。サービスは、システムをブートしたときに 1 度だけ生成されるデーモンである場合があります。その場合には、システムをリブートしてから、モジュールが追加されていることを確認する必要があります。
スーパーユーザーになるか、同等の役割を引き受けます。
役割には、認証と特権コマンドが含まれます。役割の詳細については、「RBAC の構成 (作業マップ)」を参照してください。
rhosts_auth.so.1 を含む行をすべて PAM 構成ファイルから削除します。
この手順によって、rlogin セッション中、~/.rhosts ファイルは読み取られなくなります。これにより、ローカルシステムに認証されていない遠隔システムからのアクセスを防止できます。~/.rhosts ファイルまたは /etc/hosts.equiv ファイルの存在またはその内容にかかわらず、すべての rlogin アクセスにはパスワードが必要になります。
rsh サービスを無効にします。
~/.rhosts ファイルへのその他の非承認アクセスを防ぐには、rsh サービスも無効にする必要があります。
# svcadm disable network/shell |
スーパーユーザーになるか、同等の役割を引き受けます。
役割には、認証と特権コマンドが含まれます。役割の詳細については、「RBAC の構成 (作業マップ)」を参照してください。
必要な記録のレベルに /etc/syslog.conf ファイルを構成します。
記録レベルの詳細については、syslog.conf(4) を参照してください。
syslog デーモンの構成情報を再表示します。
# svcadm refresh system/system-log |