JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Oracle Solaris の管理: セキュリティーサービス     Oracle Solaris 11 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
search filter icon
search icon

ドキュメントの情報

はじめに

パート I セキュリティーの概要

1.  セキュリティーサービス (概要)

パート II システム、ファイル、およびデバイスのセキュリティー

2.  マシンセキュリティーの管理 (概要)

3.  システムアクセスの制御 (タスク)

システムアクセスの制御 (タスクマップ)

ログインとパスワードの保護 (タスク)

ログインとパスワードの保護 (タスクマップ)

root パスワードを変更する方法

ユーザーのログインステータスを表示する方法

パスワードを持たないユーザーを表示する方法

ユーザーのログインを一時的に無効にする方法

ログイン失敗操作を監視する方法

すべてのログイン失敗操作を監視する方法

パスワード暗号化のデフォルトアルゴリズムの変更 (タスク)

パスワード暗号化のアルゴリズムを指定する方法

NIS ドメイン用の新しいパスワードアルゴリズムを指定する方法

LDAP ドメイン用の新しいパスワードアルゴリズムを指定する方法

スーパーユーザーの監視と制限 (タスク)

su コマンドを使用するユーザーを監視する方法

スーパーユーザーのログインを制限し監視する方法

システムハードウェアへのアクセスの制御 (タスク)

ハードウェアアクセスのパスワードを必須にする方法

システムのアボートシーケンスを無効にする方法

4.  ウイルススキャンサービス (タスク)

5.  デバイスアクセスの制御 (タスク)

6.  基本監査報告機能の使用方法 (タスク)

7.  ファイルアクセスの制御 (タスク)

パート III 役割、権利プロファイル、特権

8.  役割と特権の使用 (概要)

9.  役割に基づくアクセス制御の使用 (タスク)

10.  Oracle Solaris のセキュリティー属性 (参照)

パート IV 暗号化サービス

11.  暗号化フレームワーク (概要)

12.  暗号化フレームワーク (タスク)

13.  鍵管理フレームワーク

パート V 認証サービスと安全な通信

14.  ネットワークサービスの認証 (タスク)

15.  PAM の使用

16.  SASL の使用

17.  Secure Shell の使用 (タスク)

18.  Secure Shell (参照)

パート VI Kerberos サービス

19.  Kerberos サービスについて

20.  Kerberos サービスの計画

21.  Kerberos サービスの構成 (タスク)

22.  Kerberos エラーメッセージとトラブルシューティング

23.  Kerberos 主体とポリシーの管理 (タスク)

24.  Kerberos アプリケーションの使用 (タスク)

25.  Kerberos サービス (参照)

パート VII Oracle Solaris での監査

26.  監査 (概要)

27.  監査の計画

28.  監査の管理 (タスク)

29.  監査 (参照)

用語集

索引

スーパーユーザーの監視と制限 (タスク)

スーパーユーザーのアカウントを使用する代わりに、役割に基づくアクセス制御 (RBAC) を設定できます。RBAC の概要は、「役割に基づくアクセス制御 (概要)」を参照してください。RBAC の設定方法については、第 9 章役割に基づくアクセス制御の使用 (タスク)を参照してください。

su コマンドを使用するユーザーを監視する方法

sulog ファイルには、ユーザーからスーパーユーザーに切り替えたときの su コマンドの使用を含め、すべての su コマンドの使用歴が記録されます。

始める前に

root 役割になっている必要があります。

注意事項

??? を含むエントリは、su コマンドの制御端末を識別できないことを示しています。通常、デスクトップが表示される前の su コマンドのシステム呼び出しには、??? が含まれます。たとえば、SU 10/10 08:08 + ??? root-root です。ユーザーがデスクトップセッションを開始すると、ttynam コマンドは、次のように制御端末の値を sulog に返します。 SU 10/10 10:10 + pts/3 jdoe-root

次のようなエントリは、su コマンドがコマンド行で呼び出されなかったことを示している場合があります。SU 10/10 10:20 + ??? root-oracle。Trusted Extensions のユーザーが GUI を使用して oracle 役割に切り替えた可能性があります。

スーパーユーザーのログインを制限し監視する方法

この方法では、ローカルシステムにアクセスしようとする root をただちに検出できます。

始める前に

root 役割になっている必要があります。

  1. /etc/default/login ファイルの CONSOLE エントリを確認します。
    CONSOLE=/dev/console

    デフォルトのコンソールデバイスは /dev/console に設定されています。このように設定されていると、root はコンソールにログインできます。root はリモートログインを行うことはできません。

  2. root がリモートログインできないことを検証します。

    リモートシステムから、root としてログインを試みます。

    mach2 % ssh -l root mach1
Password: <Type root password of mach1>
Password: 
Password: 
Permission denied (gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive).

    デフォルトの構成では、root は役割であり、役割はログインできません。また、デフォルトの構成では、ssh プロトコルによって root ユーザーのログインが阻止されます。

  3. root になろうとする試みを監視します。

    デフォルトでは、root になろうとする試みが SYSLOG ユーティリティーによってコンソールに表示されます。

    1. デスクトップに端末コンソールを開きます。
    2. 別のウインドウで、su コマンドを使ってスーパーユーザーになります。
      % su -
Password: <Type root password>
#

      端末コンソールにメッセージが表示されます。

      Sep 7 13:22:57 mach1 su: 'su root' succeeded for jdoe on /dev/pts/6

例 3-7 スーパーユーザーのアクセス試行のログを作成する

この例では、スーパーユーザーになろうとする試みは SYSLOG によってログされていません。そのため、管理者は、/etc/default/su ファイルの #CONSOLE=/dev/console エントリのコメントを解除して、試行のログを作成します。

# CONSOLE determines whether attempts to su to root should be logged
# to the named device
#
CONSOLE=/dev/console

ユーザーがスーパーユーザーになろうとすると、その試行が端末コンソールに表示されます。

SU 09/07 16:38 + pts/8 jdoe-root

注意事項

/etc/default/login ファイルにデフォルトの CONSOLE エントリが含まれている場合、リモートシステムからスーパーユーザーになるには、ユーザーはまず自分のユーザー名でログインする必要があります。自分のユーザー名でログインしたあとに、su コマンドを使ってスーパーユーザーになることができます。

コンソールに Mar 16 16:20:36 mach1 login: ROOT LOGIN /dev/pts/14 FROM mach2.Example.COM のようなエントリが表示されたら、システムはリモート root ログインを認めていることになります。リモートシステムからのスーパーユーザーアクセスを禁止するには、/etc/default/login ファイルの #CONSOLE=/dev/console エントリを CONSOLE=/dev/console に変更します。

Copyright © 2002, 2012, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ