すべてのログイン失敗操作を監視する方法

この作業は、失敗したログイン操作をすべて syslog ファイルに記録します。

1. Primary Administrator 役割を引き受けるか、スーパーユーザーになります。

   Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。

2. SYSLOG と SYSLOG_FAILED_LOGINS に希望する値を指定して、/etc/default/login ファイルを設定します。

   /etc/default/login ファイルを編集して、エントリを変更します。SYSLOG=YES のコメントを解除していることを確認してください。

   # grep SYSLOG /etc/default/login # SYSLOG determines whether the syslog(3) LOG_AUTH facility # should be used SYSLOG=YES … SYSLOG_FAILED_LOGINS=0 #

3. ログ操作の情報を記録できる適切なアクセス権でファイルを作成します。

   1. /var/adm ディレクトリに authlog ファイルを作成します。

      # touch /var/adm/authlog

   2. authlog ファイルに、root ユーザーの読み取り権と書き込み権を設定します。

      # chmod 600 /var/adm/authlog

   3. authlog ファイルのグループのメンバーシップを sys に変更します。

      # chgrp sys /var/adm/authlog

4. 失敗したパスワード操作を記録するように、syslog.conf ファイルを編集します。

   失敗は、authlog ファイルに送る必要があります。

   1. syslog.conf ファイルに次のエントリを入力します。

      syslog.conf 内の同じ行にあるフィールドは、タブで区切ります。

      auth.notice <Press Tab> /var/adm/authlog

   2. syslog デーモンの構成情報を再表示します。

      # svcadm refresh system/system-log

5. ログが正常に記録されるか検証します。

   たとえば、間違ったパスワードを使用し、通常のユーザーとしてシステムにログインします。続いて、Primary Administrator 役割かスーパーユーザーとして、/var/adm/authlog ファイルを表示します。

   # more /var/adm/authlog Nov 4 14:46:11 example1 login: [ID 143248 auth.notice] Login failure on /dev/pts/8 from example2, stacey #

6. 定期的に /var/adm/authlog ファイルを監視します。

例 3–4 ログインが 3 回失敗したあとのアクセス操作を記録する

/etc/default/login ファイルの SYSLOG_FAILED_LOGINS の値を 3 に設定する点以外は、前述の作業と同じです。

例 3–5 ログイン操作が 3 回失敗したあとで接続を遮断する

/etc/default/login ファイルの RETRIES エントリのコメントを解除し、RETRIES の値を 3 に設定します。この編集結果はただちに適用されます。1 つのセッションでログインが 3 回試されたあと、システムは接続を遮断します。