コンソールのスーパーユーザー (root) アクセスの制限

スーパーユーザーのアカウントは、基本的な機能を実行するためにオペレーティングシステムに使用され、オペレーティングシステム全体を広範囲にわたって制御します。また、重要なシステムプログラムにアクセスして実行する権限を持ちます。このため、スーパーユーザーによって実行されるプログラムの場合、セキュリティ上の制約はほとんどありません。

/etc/default/login ファイルを通じて特定の装置へのスーパーユーザーアクセスを制限すると、システム上のスーパーユーザーアカウントを保護できます。たとえば、スーパーユーザーアクセスをコンソールに限定しておくと、コンソールからしかスーパーユーザーとしてシステムにログインできなくなります。誰かがシステムにリモートログインしてシステム管理作業を実行する場合は、まず自分のユーザーログインを使用してログインしてから、su コマンドを使用してスーパーユーザーになる必要があります。詳細な手順については、次の節を参照してください。

Solaris をインストールする場合、コンソールへのスーパーユーザーログインはデフォルトで制限されます。

スーパーユーザーのアカウントを使用しない場合は、役割によるアクセス制御 (RBAC) を設定します。RBAC の概要については、第 17 章「役割によるアクセス制御 (概要)」を参照してください。

スーパーユーザー (root) ログインをコンソールに限定する方法

1. スーパーユーザーになるか、同等の役割を引き受けます。

2. /etc/default/login ファイルを編集します。

3. 次の行のコメントを解除します。

   CONSOLE=/dev/console

   このシステムにリモートログインするユーザーは、まず自分のユーザーログインを使用してログインしてから、su コマンドを使用してスーパーユーザーになる必要があります。

4. このシステムにスーパーユーザーとしてリモートログインして、操作が失敗することを検証してください。