スーパーユーザーの監視と制限

スーパーユーザーのアカウントを使用する代わりに、役割によるアクセス制御を設定できます。役割によるアクセス制御を RBAC と呼びます。RBAC の概要については、第 18 章「役割によるアクセス制御 (概要)」を参照してください。RBAC の設定方法については、第 19 章「役割によるアクセス制御 (手順)」を参照してください。

su コマンドを使用するユーザーを監視する方法

sulog ファイルには、ユーザーからスーパーユーザーに切り替えたときの su コマンドの使用を含め、すべての su コマンドの使用歴が記録されます。

1. スーパーユーザーになるか、同等の役割を引き受けます。

2. /var/adm/sulog ファイルの内容を定期的に監視します。

   # more /var/adm/sulog SU 12/20 16:26 + pts/0 nathan-root SU 12/21 10:59 + pts/0 nathan-root SU 01/12 11:11 + pts/0 root-janedoe SU 01/12 14:56 + pts/0 pmorph-root SU 01/12 14:57 + pts/0 pmorph-root

   ここには、次のような情報が表示されます。

   • コマンドが入力された日時

   • コマンドの成否

     + は成功を表します。- は失敗を表します。

   • コマンドが実行されたポート

   • ユーザー名と切り替えたユーザー ID

   このファイルへの su ログの記録は、デフォルトで、 /etc/default/su ファイルの次のエントリで有効になっています。

   SULOG=/var/adm/sulog

コンソールへのスーパーユーザー (root) アクセス操作を表示する方法

1. スーパーユーザーになるか、同等の役割を引き受けます。

2. /etc/default/su ファイルを編集します。

3. 次の行のコメントを解除します。

   CONSOLE=/dev/console

4. su コマンドを使ってスーパーユーザー になります。

   システムコンソールにメッセージが出力されるか確認します。

   この方法では、現在作業中のシステムでスーパーユーザーのアクセス権を取得しようとする人をただちに検出できます。

スーパーユーザー (root) でのリモートログインを防ぐ方法

Solaris リリースをインストールすると、デフォルトで、スーパーユーザーログインはコンソールに限定されます。

1. スーパーユーザーになるか、同等の役割を引き受けます。

2. /etc/default/login ファイルを編集します。

3. 次の行のコメントを解除します。

   CONSOLE=/dev/console

   スーパーユーザーアクセスをコンソールに限定しておくと、コンソールからしかスーパーユーザーとしてシステムにログインできません。このシステムにリモートログインするユーザーは、まず自分のユーザーログインを使用してログインする必要があります。自分のユーザー名でログインしたあとに、su コマンドを使ってスーパーユーザーになります。

4. このシステムにスーパーユーザーとしてリモートログインして、操作が失敗することを検証してください。