PAM の計画
ユーザーの環境に最適な PAM の使用方法を決定するために、次の問題から始めます。
-
何が必要か、特にどのモジュールを選択するかを決定する
-
特別な注意が必要なサービスを確認する。適宜、OTHER を使用する
-
モジュールを実行する順番を決定する
-
各モジュールに対する制御フラグを選択する
-
各モジュールに必要なオプションを選択する
ここで、PAM 構成ファイルを変更する前に次のことを考慮することをお勧めします。
-
すべてのアプリケーションを指定しなくてもいいように、モジュールタイプごとに OTHER エントリを使用する
-
sufficient 制御フラグと optional 制御フラグのセキュリティへの影響を確認する
-
モジュールに関連するマニュアルページを参照する。これらのマニュアルページには、各モジュールの機能、使用可能なオプション、スタック内のモジュール間の相互作用などの説明がある
注意 – PAM 構成ファイルの構成を間違えたり壊したりすると、スーパーユーザーでもログインできなくなる可能性があります。この場合、sulogin コマンドは PAM を使用しないので、スーパーユーザーは、マシンをシングルユーザーモードでブートして問題を解決する必要があります。
/etc/pam.conf ファイルを変更したあと、スーパーユーザーとしてログインしている間にできる限り調査します。変更によって影響を受ける可能性があるコマンドは、すべてテストしてください。たとえば、新しいモジュールを telnet サービスに追加した場合、telnet コマンドを使用して、行なった変更が期待どおりに動作しているかどうかを検証します。
- © 2010, Oracle Corporation and/or its affiliates