Solaris のシステム管理 (セキュリティサービス)

PAM (手順)

この節では、PAM のフレームワークが特定のセキュリティーポリシーを使用するために必要な作業について説明します。PAM 構成ファイルに関連するセキュリティーのいくつかの問題について注意する必要があります。セキュリティーの問題については、「PAM の実装計画」を参照してください。

PAM (作業マップ)

作業 

説明 

参照先 

PAM のインストールを計画します。 

ソフトウェア構成処理を開始する前に、構成を検討および決定します。 

「PAM の実装計画」

新しい PAM モジュールを追加します。 

必要に応じて、サイト固有のモジュールを作成およびインストールし、汎用ソフトウェアにない要件に対応します。この手順ではこれらの新しい PAM モジュールのインストール方法について説明します。 

「PAM モジュールを追加する方法」

~/.rhosts によるアクセスを拒否します。

~/.rhosts によるアクセスを拒否して、セキュリティーを強化します。

「PAM を使用して、遠隔システムからの rhost 式アクセスを防ぐ方法」

エラー記録を開始します。 

syslog を使用して PAM エラーメッセージの記録を開始します。

「PAM のエラーレポートを記録する方法」

PAM の実装計画

配布時に、pam.conf 構成ファイルは Solaris の標準的なセキュリティーポリシーを実装します。このポリシーは、多くの状況で機能します。別のセキュリティーポリシーを実装する必要がある場合に注意すべき問題は、次のとおりです。

ここで、PAM 構成ファイルを変更する前に次のことを考慮することをお勧めします。

ProcedurePAM モジュールを追加する方法

この手順では、新しい PAM モジュールを追加する方法を示します。新しいモジュールは、サイト固有のセキュリティーポリシーを網羅するためや、Sun 以外のアプリケーションをサポートするために作成します。

  1. スーパーユーザーになるか、同等の役割を引き受けます。

    役割には、認証と特権コマンドが含まれます。役割の詳細については、「RBAC の構成 (作業マップ)」を参照してください。

  2. 使用する制御フラグとオプションを決定します。

    制御フラグについては、「PAM スタックのしくみ」を参照してください。

  3. モジュールファイルの所有者が root で、そのアクセス権が 555 になるように設定します。

  4. PAM 構成ファイル /etc/pam.conf を編集して、このモジュールを適切なサービスに追加します。

  5. モジュールが適切に追加されたことを検証します。

    構成ファイルが間違って構成されているおそれもあるので、システムをリブートする前にテストを行う必要があります。システムをリブートする前に、ssh などの直接サービスを使用してログインし、su コマンドを実行します。サービスは、システムをブートしたときに 1 度だけ生成されるデーモンである場合があります。その場合には、システムをリブートしてから、モジュールが追加されていることを確認する必要があります。

ProcedurePAM を使用して、遠隔システムからの rhost 式アクセスを防ぐ方法

  1. スーパーユーザーになるか、同等の役割を引き受けます。

    役割には、認証と特権コマンドが含まれます。役割の詳細については、「RBAC の構成 (作業マップ)」を参照してください。

  2. rhosts_auth.so.1 を含む行をすべて PAM 構成ファイルから削除します。

    この手順によって、rlogin セッション中、~/.rhosts ファイルは読み取られなくなります。これにより、ローカルシステムに認証されていない遠隔システムからのアクセスを防止できます。~/.rhosts ファイルまたは /etc/hosts.equiv ファイルの存在またはその内容にかかわらず、すべての rlogin アクセスにはパスワードが必要になります。

  3. rsh サービスを無効にします。

    ~/.rhosts ファイルへのその他の非承認アクセスを防ぐには、rsh サービスも無効にする必要があります。


    # svcadm disable network/shell
    

ProcedurePAM のエラーレポートを記録する方法

  1. スーパーユーザーになるか、同等の役割を引き受けます。

    役割には、認証と特権コマンドが含まれます。役割の詳細については、「RBAC の構成 (作業マップ)」を参照してください。

  2. 必要な記録のレベルに /etc/syslog.conf ファイルを構成します。

    記録レベルの詳細については、syslog.conf(4) を参照してください。

  3. syslog デーモンの構成情報を再表示します。


    # svcadm refresh system/system-log