ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
![]() |
Oracle Solaris の管理: セキュリティーサービス Oracle Solaris 11 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
NIS ドメイン用の新しいパスワードアルゴリズムを指定する方法
LDAP ドメイン用の新しいパスワードアルゴリズムを指定する方法
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
リモートログインを制限したり、ユーザーにパスワードを持つように要求したり、root アカウントに複雑なパスワードを設定するように要求したりできます。失敗したアクセス操作を監視し、ログインを一時的に無効にすることもできます。
次のタスクマップは、ユーザーログインを監視する手順と、ユーザーログインを無効にする手順を示しています。
|
root パスワードを変更するときは、システムのすべてのユーザーに適用されるパスワード要件に従う必要があります。
始める前に
root 役割になっている必要があります。
# passwd root New Password: Re-enter new Password: passwd: password successfully changed for root
パスワードが要件に適合しない場合は、メッセージが画面に表示されます。このメッセージは有益です。3 回試行したあとは、もう一度コマンドを実行してパスワードを変更する必要があります。
passwd: Password too short - must be at least 6 characters. passwd: The password must contain at least 2 alphabetic character(s). passwd: The password must contain at least 1 numeric or special character(s).
始める前に
root 役割になっている必要があります。
# logins -x -l username
ログインステータス情報の拡張セットを表示します。
指定するユーザーのログインステータスを表示します。変数 username はユーザーのログイン名です。複数のログイン名はコンマで区切ります。
logins コマンドは、適切なパスワードデータベースを使ってユーザーのログインステータスを表示します。このデータベースは、ローカルの /etc/passwd ファイルか、ネームサービスのパスワードデータベースです。詳細は、logins(1M) のマニュアルページを参照してください。
例 3-1 ユーザーのログインステータスを表示する
次の例では、ユーザー jdoe のログインステータスが表示されます。
# logins -x -l jdoe jdoe 500 staff 10 Jaylee Jaye Doe /home/jdoe /bin/bash PS 010103 10 7 -1
ユーザーのログイン名を示します。
ユーザー ID (UID) を示します。
ユーザーのプライマリグループを示します。
グループ ID (GID) を示します。
コメントを示します。
ユーザーのホームディレクトリを示します。
ログインシェルを示します。
次のパスワード有効期限情報を示します。
パスワードの最終変更日
次に変更するまでに必要な日数
変更しないで使用できる日数
警告期間
始める前に
root 役割になっている必要があります。
# logins -p
-p オプションを指定すると、パスワードを持たないユーザーが一覧表示されます。logins コマンドは、分散ネームサービスが nsswitch.conf ファイルで指定されないかぎり、ローカルシステムの passwd データベースを使用します。
例 3-2 パスワードを持たないユーザーを表示する
次の例では、ユーザー pmorph はパスワードを持っていません。
# logins -p pmorph 501 other 1 Polly Morph #
システムシャットダウンや定常的な保守の際にユーザーのログインを一時的に無効にします。スーパーユーザーのログインは影響を受けません。詳細は、nologin(4) のマニュアルページを参照してください。
始める前に
root 役割になっている必要があります。
# vi /etc/nologin
例 3-3 ユーザーログインを無効にする
この例では、システムを使用できないことがユーザーに通知されます。
# vi /etc/nologin (Add system message here) # cat /etc/nologin ***No logins permitted.*** ***The system will be unavailable until 12 noon.***
システムを実行レベル 0、つまりシングルユーザーモードにしてログインを無効にすることもできます。システムをシングルユーザーモードにする方法については、『x86 プラットフォーム上の Oracle Solaris のブートおよびシャットダウン』の第 3 章「システムのシャットダウン (手順)」を参照してください。
この手順は、端末ウィンドウで行われたログイン試行の失敗を記録します。この手順では、デスクトップでのログイン試行の失敗は記録されません。
始める前に
root 役割になっている必要があります。
# touch /var/adm/loginlog
# chmod 600 /var/adm/loginlog
# chgrp sys /var/adm/loginlog
たとえば、間違ったパスワードを使用してシステムに 5 回ログインします。次に、/var/adm/loginlog ファイルを表示します。
# more /var/adm/loginlog jdoe:/dev/pts/2:Tue Nov 4 10:21:10 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:21 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:30 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:40 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:49 2010 #
loginlog ファイルには、失敗操作ごとに 1 つずつエントリが入っています。各エントリには、ユーザーのログイン名、tty デバイス、操作の失敗回数が入っています。4 回以下の失敗であれば、ログに記録されません。
loginlog ファイルのサイズが大きくなる場合は、コンピュータシステムへの侵入が試みられている可能性があります。このため、このファイルの内容を定期的にチェックして空にしてください。詳細は、loginlog(4) のマニュアルページを参照してください。
この手順は、失敗したログイン試行をすべて syslog ファイルに記録します。
始める前に
root 役割になっている必要があります。
/etc/default/login ファイルを編集して、エントリを変更します。SYSLOG=YES のコメントを解除していることを確認してください。
# grep SYSLOG /etc/default/login # SYSLOG determines whether the syslog(3) LOG_AUTH facility should be used SYSLOG=YES # The SYSLOG_FAILED_LOGINS variable is used to determine how many failed #SYSLOG_FAILED_LOGINS=5 SYSLOG_FAILED_LOGINS=0 #
# touch /var/adm/authlog
# chmod 600 /var/adm/authlog
# chgrp sys /var/adm/authlog
失敗を authlog ファイルに送ります。
たとえば、間違ったパスワードを使用し、通常のユーザーとしてシステムにログインします。次に、スーパーユーザーとして /var/adm/authlog ファイルを表示します。
# more /var/adm/authlog Nov 4 14:46:11 example1 login: [ID 143248 auth.notice] Login failure on /dev/pts/8 from example2, stacey #
例 3-4 ログインが 3 回失敗したあとのアクセス操作を記録する
/etc/default/login ファイルの SYSLOG_FAILED_LOGINS の値を 3 に設定する点以外は、前述の作業と同じです。
例 3-5 ログイン試行が 3 回失敗したあとで接続を遮断する
/etc/default/login ファイルの RETRIES エントリのコメントを解除し、RETRIES の値を 3 に設定します。この編集結果はただちに適用されます。1 つのセッションでログインが 3 回試されたあと、システムは接続を遮断します。