Solaris のシステム管理 (セキュリティサービス)

PAM (手順)

この節では、PAM のフレームワークを完全に機能させるために必要な作業について説明します。特に、PAM 構成ファイルに関連するセキュリティのいくつかの問題について注意する必要があります。

PAM (作業マップ)

作業 

説明 

参照先 

PAM のインストールを計画する 

 ソフトウェア構成処理を開始する前に、構成を検討および決定するPAM の計画

新しい PAM モジュールを追加する 

 必要に応じて、サイト固有のモジュールを作成およびインストールし、汎用ソフトウェアにない要件に対応する。この手順はインストール処理を含むPAM モジュールを追加する方法

~/.rhosts によるアクセスを拒否する

~/.rhosts によるアクセスを拒否して、セキュリティを強化する手順PAM を使用して、リモートシステムからの非承認アクセスを防ぐ方法

エラーレポートを開始する 

syslog を使用して PAM エラーメッセージのレポートを開始するPAM のエラーレポートを開始する方法

PAM の計画

ユーザーの環境に最適な PAM の使用方法を決定するために、次の問題から始めます。

ここで、PAM 構成ファイルを変更する前に次のことを考慮することをお勧めします。

PAM モジュールを追加する方法

  1. スーパーユーザーになるか、同等の役割を引き受けます。

  2. 使用する制御フラグとオプションを決定します。

    モジュールについては、PAM モジュールを参照してください。

  3. 新しいモジュールを /usr/lib/security/sparcv9 にコピーします。

    Solaris 8 の場合は、/usr/lib/security にコピーします。

  4. モジュールファイルの所有者が root で、そのアクセス権が 555 になるように、アクセス権を設定します。

  5. PAM 構成ファイル /etc/pam.conf を編集して、このモジュールを適切なサービスに追加します。

検証

構成ファイルが間違って構成されているおそれもあるので、システムをリブートする前にテストを行う必要があります。システムをリブートする前に、rloginsu、および telnet を実行してください。サービスは、システムをブートしたときに 1 度だけ生成されるデーモンである場合があります。その場合には、システムをリブートしてから、モジュールが追加されていることを確認する必要があります。

PAM を使用して、リモートシステムからの非承認アクセスを防ぐ方法

PAM 構成ファイルから「rlogin auth rhosts_auth.so.1」エントリを削除します。この手順によって、rlogin セッション中、 ~/.rhosts ファイルは読み取られなくなり、ローカルシステムに認証されていないリモートシステムからのアクセスを防止できます。~/.rhosts ファイルまたは /etc/hosts.equiv ファイルの存在またはその内容にかかわらず、すべての rlogin アクセスにパスワードが必要になります。


注 –

~/.rhosts ファイルへのその他の非承認アクセスを防ぐには、rsh サービスも無効にする必要があります。サービスを無効にする最良の方法は、/etc/inetd.conf ファイルからサービスエントリを削除することです。PAM 構成ファイルを変更しても、サービスを無効にはできません。


PAM のエラーレポートを開始する方法

  1. /etc/syslog.conf ファイルを編集して、PAM エラーレポートに次のエントリを必要に応じて追加します。

    • auth.alert — すぐに修正する必要がある状態についてのメッセージ

    • auth.crit – 致命的なメッセージ

    • auth.err – エラーメッセージ

    • auth.info – 情報提供用メッセージ

    • auth.debug – デバッグメッセージ

  2. syslog デーモンを再起動するか、SIGHUP シグナルを syslog デーモンに送信して、PAM のエラー報告を有効にします。

例 — PAM のエラーレポートを開始する

次の例では、すべての警告メッセージを画面に表示します。致命的なメッセージはスーパーユーザーに電子メールで送信されます。情報メッセージとデバッグ用メッセージは、/var/log/pamlog ファイルに追加されます。


auth.alert	/dev/console
auth.crit	'root'
auth.info;auth.debug	/var/log/pamlog

ログ内の各行は、タイムスタンプ、メッセージを生成したシステム名、およびメッセージ本体で構成されます。pamlog ファイルには、大量の情報が記録される可能性があります。