Solaris のシステム管理 (セキュリティサービス)

スーパーユーザーの監視と制限

スーパーユーザーのアカウントを使用する代わりに、役割によるアクセス制御を設定できます。役割によるアクセス制御を RBAC と呼びます。RBAC の概要については、第 18 章「役割によるアクセス制御 (概要)」を参照してください。RBAC の設定方法については、第 19 章「役割によるアクセス制御 (手順)」を参照してください。

su コマンドを使用するユーザーを監視する方法

sulog ファイルには、ユーザーからスーパーユーザーに切り替えたときの su コマンドの使用を含め、すべての su コマンドの使用歴が記録されます。

  1. スーパーユーザーになるか、同等の役割を引き受けます。

  2. /var/adm/sulog ファイルの内容を定期的に監視します。


    # more /var/adm/sulog
    SU 12/20 16:26 + pts/0 nathan-root
    SU 12/21 10:59 + pts/0 nathan-root
    SU 01/12 11:11 + pts/0 root-janedoe
    SU 01/12 14:56 + pts/0 pmorph-root
    SU 01/12 14:57 + pts/0 pmorph-root

    ここには、次のような情報が表示されます。

    • コマンドが入力された日時

    • コマンドの成否

      + は成功を表します。- は失敗を表します。

    • コマンドが実行されたポート

    • ユーザー名と切り替えたユーザー ID

    このファイルへの su ログの記録は、デフォルトで、 /etc/default/su ファイルの次のエントリで有効になっています。


    SULOG=/var/adm/sulog

コンソールへのスーパーユーザー (root) アクセス操作を表示する方法

  1. スーパーユーザーになるか、同等の役割を引き受けます。

  2. /etc/default/su ファイルを編集します。

  3. 次の行のコメントを解除します。


    CONSOLE=/dev/console

  4. su コマンドを使ってスーパーユーザー になります。

    システムコンソールにメッセージが出力されるか確認します。

    この方法では、現在作業中のシステムでスーパーユーザーのアクセス権を取得しようとする人をただちに検出できます。

スーパーユーザー (root) でのリモートログインを防ぐ方法


注 –

Solaris リリースをインストールすると、デフォルトで、スーパーユーザーログインはコンソールに限定されます。


  1. スーパーユーザーになるか、同等の役割を引き受けます。

  2. /etc/default/login ファイルを編集します。

  3. 次の行のコメントを解除します。


    CONSOLE=/dev/console

    スーパーユーザーアクセスをコンソールに限定しておくと、コンソールからしかスーパーユーザーとしてシステムにログインできません。このシステムにリモートログインするユーザーは、まず自分のユーザーログインを使用してログインする必要があります。自分のユーザー名でログインしたあとに、su コマンドを使ってスーパーユーザーになります。

  4. このシステムにスーパーユーザーとしてリモートログインして、操作が失敗することを検証してください。