Solaris 移行ガイド

Solaris 7 のセキュリティ機能

SunOS 4.x システムのセキュリティ機能のうち、ほとんどが Solaris 7 の環境でも使用できます。これらの機能には次のものがあります。

GSS-API に基づいて RPC が変更されました。その結果、セキュリティの完全性と信頼性が向上し、NFS サービスが特定または単独のセキュリティ機構に拘束されなくなります。また、認証キーの長さを 192 ビットから 640 ビットに拡張することで、 NIS+ セキュリティを強化しています。

NFS の管理』では、Secure NFS と .rhosts ファイルについて説明しています。『TCP/IP とデータ通信』では、インターネットセキュリティの管理について説明しています。

ローカルの SunOS 5.6 システムのセキュリティには、別ファイルへの暗号化されたパスワードの格納や、ログインデフォルトの制御、制限付きシェルなどが含まれます。『NIS+ への移行』と『NFS の管理』で説明されている、同じ機能の NIS+ セキュリティは、システムへのアクセスをネットワーク全体で制御します。

次の項では、ローカルでのシステム制御におけるセキュリティ機能について要約しています。

/etc/passwd/etc/shadow ファイル

SunOS 5.6 の passwd コマンドは暗号化したパスワードを別のファイル /etc/shadow に格納し、シャドーファイルへの root のアクセスのみを許可します。これにより、以前の /etc/passwd ファイルにあったような暗号化されたパスワードへのアクセスを防止します。

また、/etc/shadow ファイルは個々のユーザログインアカウントのパスワード有効期限の設定を強制的に行うエントリを含んでいます。passwd ファイルと shadow ファイルへのエントリを変更するメカニズムについては、『Solaris のシステム管理 (第 2 巻)』に説明があります。

/etc/default ファイル

デフォルトのシステムアクセスを制御するいくつかのファイルは、/etc/default ディレクトリに格納されます。これらのファイルはネットワークの特定のシステムへアクセスすることを制限します。表 5-1 では、/etc/default ディレクトリにあるファイルについて要約します。

表 5-1 /etc/default ディレクトリにあるファイル

/etc/default/login

root のアクセスを含むシステムログイン条件を制御する。デフォルトでは、root のアクセスをコンソールに制限する。 

/etc/default/passwd

パスワード有効期限のデフォルト条件を制御する。 

/etc/default/su

システムにアクセスする root (su) のログをどこにとるか、またその root のアクセスをどこに表示させるかを制御する。

制限付きシェル

システム管理者は、制限付きの Korn シェル (rksh) および Bourne シェル (rsh) を使用して特定のユーザアカウントに対する操作を制限できます。

制限付きシェルは次のような操作を許可しません。

これらのシェルの説明については、 ksh(1)sh(1) のマニュアルページを参照してください。

制限付きシェルとリモートシェルには異なるパス名を持つ同じコマンド名 (rsh) があることに注意してください。