JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Solaris のシステム管理 (セキュリティサービス)     Oracle Solaris 10 8/11 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
search filter icon
search icon

ドキュメントの情報

はじめに

パート I セキュリティーの概要

1.  セキュリティーサービス (概要)

パート II システム、ファイル、およびデバイスのセキュリティー

2.  マシンセキュリティーの管理 (概要)

3.  システムアクセスの制御 (作業)

4.  デバイスアクセスの制御 (作業)

5.  基本監査報告機能の使用方法 (作業)

6.  ファイルアクセスの制御 (作業)

7.  自動セキュリティー拡張ツールの使用 (手順)

パート III 役割、権利プロファイル、特権

8.  役割と特権の使用 (概要)

9.  役割によるアクセス制御の使用 (手順)

10.  役割によるアクセス制御 (参照)

11.  特権 (手順)

12.  特権 (参照)

パート IV 暗号化サービス

13.  Oracle Solaris の暗号化フレームワーク (概要)

14.  Oracle Solaris の暗号化フレームワーク (手順)

15.  Oracle Solaris 鍵管理フレームワーク

パート V 認証サービスと安全な通信

16.  認証サービスの使用 (手順)

17.  PAM の使用

PAM (概要)

PAM を使用する利点

PAM フレームワークの概要

Solaris 10 リリースにおける PAM への変更

PAM (手順)

PAM (作業マップ)

PAM の実装計画

PAM モジュールを追加する方法

PAM を使用して、遠隔システムからの rhost 式アクセスを防ぐ方法

PAM のエラーレポートを記録する方法

PAM の構成 (参照)

PAM 構成ファイルの構文

PAM スタックのしくみ

PAM スタックの例

18.  SASL の使用

19.  Oracle Solaris Secure Shell の使用 (手順)

20.  Oracle Solaris Secure Shell (参照)

パート VI Kerberos サービス

21.  Kerberos サービスについて

22.  Kerberos サービスの計画

23.  Kerberos サービスの構成 (手順)

24.  Kerberos エラーメッセージと障害追跡

25.  Kerberos 主体とポリシーの管理 (手順)

26.  Kerberos アプリケーションの使用 (手順)

27.  Kerberos サービス (参照)

パート VII Oracle Solaris 監査

28.  Oracle Solaris 監査 (概要)

29.  Oracle Solaris 監査の計画

30.  Oracle Solaris 監査の管理 (手順)

31.  Oracle Solaris 監査 (参照)

用語集

索引

PAM (手順)

この節では、PAM のフレームワークが特定のセキュリティーポリシーを使用するために必要な作業について説明します。PAM 構成ファイルに関連するセキュリティーのいくつかの問題について注意する必要があります。セキュリティーの問題については、「PAM の実装計画」を参照してください。

PAM (作業マップ)

作業
説明
参照先
PAM のインストールを計画します。
ソフトウェア構成処理を開始する前に、構成を検討および決定します。
「PAM の実装計画」
新しい PAM モジュールを追加します。
必要に応じて、サイト固有のモジュールを作成およびインストールし、汎用ソフトウェアにない要件に対応します。この手順ではこれらの新しい PAM モジュールのインストール方法について説明します。
「PAM モジュールを追加する方法」
~/.rhosts によるアクセスを拒否します。
~/.rhosts によるアクセスを拒否して、セキュリティーを強化します。
「PAM を使用して、遠隔システムからの rhost 式アクセスを防ぐ方法」
エラー記録を開始します。
syslog を使用して PAM エラーメッセージの記録を開始します。
「PAM のエラーレポートを記録する方法」

PAM の実装計画

配布時に、pam.conf 構成ファイルは標準的なセキュリティーポリシーを実装します。このポリシーは、多くの状況で機能します。別のセキュリティーポリシーを実装する必要がある場合に注意すべき問題は、次のとおりです。

ここで、PAM 構成ファイルを変更する前に次のことを考慮することをお勧めします。

PAM モジュールを追加する方法

この手順では、新しい PAM モジュールを追加する方法を示します。新しいモジュールは、サイト固有のセキュリティーポリシーを網羅するためや、Sun 以外のアプリケーションをサポートするために作成します。

  1. スーパーユーザーになるか、同等の役割を引き受けます。

    役割には、認証と特権コマンドが含まれます。役割の詳細は、「RBAC の構成 (作業マップ)」を参照してください。

  2. 使用する制御フラグとオプションを決定します。

    制御フラグについては、「PAM スタックのしくみ」を参照してください。

  3. モジュールファイルの所有者が root で、そのアクセス権が 555 になるように設定します。
  4. PAM 構成ファイル /etc/pam.conf を編集して、このモジュールを適切なサービスに追加します。
  5. モジュールが適切に追加されたことを検証します。

    構成ファイルが間違って構成されているおそれもあるので、システムをリブートする前にテストを行う必要があります。システムをリブートする前に、ssh などの直接サービスを使用してログインし、su コマンドを実行します。サービスは、システムをブートしたときに 1 度だけ生成されるデーモンである場合があります。その場合には、システムをリブートしてから、モジュールが追加されていることを確認する必要があります。

PAM を使用して、遠隔システムからの rhost 式アクセスを防ぐ方法

  1. スーパーユーザーになるか、同等の役割を引き受けます。

    役割には、認証と特権コマンドが含まれます。役割の詳細は、「RBAC の構成 (作業マップ)」を参照してください。

  2. rhosts_auth.so.1 を含む行をすべて PAM 構成ファイルから削除します。

    この手順によって、rlogin セッション中、~/.rhosts ファイルは読み取られなくなります。これにより、ローカルシステムに認証されていない遠隔システムからのアクセスを防止できます。~/.rhosts ファイルまたは /etc/hosts.equiv ファイルの存在またはその内容にかかわらず、すべての rlogin アクセスにはパスワードが必要になります。

  3. rsh サービスを無効にします。

    ~/.rhosts ファイルへのその他の非承認アクセスを防ぐには、rsh サービスも無効にする必要があります。 

    # svcadm disable network/shell

PAM のエラーレポートを記録する方法

  1. スーパーユーザーになるか、同等の役割を引き受けます。

    役割には、認証と特権コマンドが含まれます。役割の詳細は、「RBAC の構成 (作業マップ)」を参照してください。

  2. 必要な記録のレベルに /etc/syslog.conf ファイルを構成します。

    記録レベルの詳細については、syslog.conf(4) を参照してください。

  3. syslog デーモンの構成情報を再表示します。
    # svcadm refresh system/system-log
Copyright © 2002, 2011, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ