ログインとパスワードの保護 (タスク)

リモートログインを制限したり、ユーザーにパスワードを持つように要求したり、root アカウントに複雑なパスワードを設定するように要求したりできます。失敗したアクセス操作を監視し、ログインを一時的に無効にすることもできます。

ログインとパスワードの保護 (タスクマップ)

次のタスクマップは、ユーザーログインを監視する手順と、ユーザーログインを無効にする手順を示しています。

root パスワードを変更する方法

root パスワードを変更するときは、システムのすべてのユーザーに適用されるパスワード要件に従う必要があります。

始める前に

root 役割になっている必要があります。

• パスワードを変更します。

  # passwd root
  New Password:
  Re-enter new Password:
  passwd: password successfully changed for root

  パスワードが要件に適合しない場合は、メッセージが画面に表示されます。このメッセージは有益です。3 回試行したあとは、もう一度コマンドを実行してパスワードを変更する必要があります。

  passwd: Password too short - must be at least 6 characters.
  passwd: The password must contain at least 2 alphabetic character(s).
  passwd: The password must contain at least 1 numeric or special character(s).

ユーザーのログインステータスを表示する方法

始める前に

root 役割になっている必要があります。

• logins コマンドを使用してユーザーのログインステータスを表示します。

  # logins -x -l username

  -x

  ログインステータス情報の拡張セットを表示します。

  -l username

  指定するユーザーのログインステータスを表示します。変数 username はユーザーのログイン名です。複数のログイン名はコンマで区切ります。

  logins コマンドは、適切なパスワードデータベースを使ってユーザーのログインステータスを表示します。このデータベースは、ローカルの /etc/passwd ファイルか、ネームサービスのパスワードデータベースです。詳細は、logins(1M) のマニュアルページを参照してください。

例 3-1 ユーザーのログインステータスを表示する

次の例では、ユーザー jdoe のログインステータスが表示されます。

# logins -x -l jdoe
jdoe       500     staff           10   Jaylee Jaye Doe
                   /home/jdoe
                   /bin/bash
                   PS 010103 10 7 -1

jdoe

ユーザーのログイン名を示します。

500

ユーザー ID (UID) を示します。

staff

ユーザーのプライマリグループを示します。

10

グループ ID (GID) を示します。

Jaylee Jaye Doe

コメントを示します。

/home/jdoe

ユーザーのホームディレクトリを示します。

/bin/bash

ログインシェルを示します。

PS 010170 10 7 -1

次のパスワード有効期限情報を示します。

• パスワードの最終変更日

• 次に変更するまでに必要な日数

• 変更しないで使用できる日数

• 警告期間

パスワードを持たないユーザーを表示する方法

始める前に

root 役割になっている必要があります。

• loginsコマンドを使用して、パスワードを持っていないユーザーをすべて表示します。

  # logins -p

  -p オプションを指定すると、パスワードを持たないユーザーが一覧表示されます。logins コマンドは、分散ネームサービスが nsswitch.conf ファイルで指定されないかぎり、ローカルシステムの passwd データベースを使用します。

例 3-2 パスワードを持たないユーザーを表示する

次の例では、ユーザー pmorph はパスワードを持っていません。

# logins -p
pmorph          501     other           1       Polly Morph
# 

ユーザーのログインを一時的に無効にする方法

システムシャットダウンや定常的な保守の際にユーザーのログインを一時的に無効にします。スーパーユーザーのログインは影響を受けません。詳細は、nologin(4) のマニュアルページを参照してください。

始める前に

root 役割になっている必要があります。

1. テキストエディタで、/etc/nologin ファイルを作成します。

   # vi /etc/nologin

2. システムの利用に関するメッセージを入力します。
3. ファイルを閉じて、保存します。

例 3-3 ユーザーログインを無効にする

この例では、システムを使用できないことがユーザーに通知されます。

# vi /etc/nologin
(Add system message here)
 
# cat /etc/nologin 
***No logins permitted.***

***The system will be unavailable until 12 noon.***

システムを実行レベル 0、つまりシングルユーザーモードにしてログインを無効にすることもできます。システムをシングルユーザーモードにする方法については、『x86 プラットフォーム上の Oracle Solaris のブートおよびシャットダウン』の第 3 章「システムのシャットダウン (手順)」を参照してください。

ログイン失敗操作を監視する方法

この手順は、端末ウィンドウで行われたログイン試行の失敗を記録します。この手順では、デスクトップでのログイン試行の失敗は記録されません。

始める前に

root 役割になっている必要があります。

1. /var/adm ディレクトリに loginlog ファイルを作成します。

   # touch /var/adm/loginlog

2. loginlog ファイルに root ユーザーの読み取り/書き込み権を設定します。

   # chmod 600 /var/adm/loginlog

3. loginlog ファイルのグループのメンバーシップを sys に変更します。

   # chgrp sys /var/adm/loginlog

4. ログが正常に記録されるか検証します。

   たとえば、間違ったパスワードを使用してシステムに 5 回ログインします。次に、/var/adm/loginlog ファイルを表示します。

   # more /var/adm/loginlog
   jdoe:/dev/pts/2:Tue Nov  4 10:21:10 2010
   jdoe:/dev/pts/2:Tue Nov  4 10:21:21 2010
   jdoe:/dev/pts/2:Tue Nov  4 10:21:30 2010
   jdoe:/dev/pts/2:Tue Nov  4 10:21:40 2010
   jdoe:/dev/pts/2:Tue Nov  4 10:21:49 2010
   #

   loginlog ファイルには、失敗操作ごとに 1 つずつエントリが入っています。各エントリには、ユーザーのログイン名、tty デバイス、操作の失敗回数が入っています。4 回以下の失敗であれば、ログに記録されません。

   loginlog ファイルのサイズが大きくなる場合は、コンピュータシステムへの侵入が試みられている可能性があります。このため、このファイルの内容を定期的にチェックして空にしてください。詳細は、loginlog(4) のマニュアルページを参照してください。

すべてのログイン失敗操作を監視する方法

この手順は、失敗したログイン試行をすべて syslog ファイルに記録します。

始める前に

root 役割になっている必要があります。

1. SYSLOG と SYSLOG_FAILED_LOGINS に希望する値を指定して、/etc/default/login ファイルを設定します。

   /etc/default/login ファイルを編集して、エントリを変更します。SYSLOG=YES のコメントを解除していることを確認してください。

   # grep SYSLOG /etc/default/login
   # SYSLOG determines whether the syslog(3) LOG_AUTH facility should be used
   SYSLOG=YES
   # The SYSLOG_FAILED_LOGINS variable is used to determine how many failed
   #SYSLOG_FAILED_LOGINS=5
   SYSLOG_FAILED_LOGINS=0
   #

2. ログ操作の情報を記録できる適切なアクセス権でファイルを作成します。
   1. /var/adm ディレクトリに authlog ファイルを作成します。

      # touch /var/adm/authlog

   2. authlog ファイルに、root ユーザーの読み取り権と書き込み権を設定します。

      # chmod 600 /var/adm/authlog

   3. authlog ファイルのグループのメンバーシップを sys に変更します。

      # chgrp sys /var/adm/authlog

3. 失敗したパスワード操作を記録するように、syslog.conf ファイルを編集します。

   失敗を authlog ファイルに送ります。

   1. syslog.conf ファイルに次のエントリを入力します。

      syslog.conf 内の同じ行にあるフィールドは、タブで区切ります。

      auth.notice <Press Tab>  /var/adm/authlog

   2. system-log サービスを更新します。

      # svcadm refresh system/system-log

4. ログが正常に記録されるか検証します。

   たとえば、間違ったパスワードを使用し、通常のユーザーとしてシステムにログインします。次に、スーパーユーザーとして /var/adm/authlog ファイルを表示します。

   # more /var/adm/authlog
   Nov  4 14:46:11 example1 login: [ID 143248 auth.notice] 
    Login failure on /dev/pts/8 from example2, stacey
   #

5. 定期的に /var/adm/authlog ファイルを監視します。

例 3-4 ログインが 3 回失敗したあとのアクセス操作を記録する

/etc/default/login ファイルの SYSLOG_FAILED_LOGINS の値を 3 に設定する点以外は、前述の作業と同じです。

例 3-5 ログイン試行が 3 回失敗したあとで接続を遮断する

/etc/default/login ファイルの RETRIES エントリのコメントを解除し、RETRIES の値を 3 に設定します。この編集結果はただちに適用されます。1 つのセッションでログインが 3 回試されたあと、システムは接続を遮断します。