ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
このセクションでは、PAM のフレームワークが特定のセキュリティーポリシーを使用するために必要なタスクについて説明します。PAM 構成ファイルに関連したいくつかのセキュリティー問題に注意するようにしてください。セキュリティーの問題については、「PAM の実装計画」を参照してください。
|
配布時に、PAM 構成は標準的なセキュリティーポリシーを実装します。このポリシーは、多くの状況で機能します。別のセキュリティーポリシーを実装する必要がある場合に注意すべき問題は、次のとおりです。
何が必要か、特にどの PAM サービスモジュールを選択するかを決定します。
特別な構成オプションが必要なサービスを確認します。必要に応じて、サービス名 other を使用してサービスのデフォルトを提供します。
モジュールを実行する順番を決定します。
各モジュールに対する制御フラグを選択します。すべての制御フラグの詳細については、「PAM スタックのしくみ」を参照してください。
各モジュールに必要なオプションを選択します。各モジュールのマニュアルページには、特別なオプションが一覧表示されます。
PAM 構成を変更する前に考慮すべきいくつかの推奨事項を次に示します。
モジュールタイプごとにサービス名 other のエントリを使用して、PAM 構成にすべてのアプリケーションを含める必要がないようにします。
制御フラグのセキュリティーへの影響を必ず考慮してください。
モジュールに関連するマニュアルページを参照します。これらのマニュアルページには、各モジュールの機能、使用可能なオプション、スタック内のモジュール間の相互作用などの説明があります。
注意 - PAM 構成が正しく構成されていない場合や、壊れている場合は、どのユーザーもログインできなくなる可能性があります。この場合、sulogin コマンドでは PAM が使用されないため、マシンをシングルユーザーモードでブートして問題を解決するために root パスワードが必要になります。 |
PAM 構成を変更したあとは、引き続きシステムにアクセスできる間にできるだけ変更を確認して問題を解決してください。変更によって影響を受ける可能性があるコマンドは、すべてテストしてください。
この手順では、新しい PAM モジュールを追加する方法を示します。新しいモジュールは、サイト固有のセキュリティーポリシーを網羅するため、またはサードパーティーのアプリケーションをサポートするために作成します。
始める前に
root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
制御フラグについては、「PAM スタックのしくみ」を参照してください。
変更は、/etc/pam.conf または /etc/pam.d/service のどちらかに対して行うことができます。
構成ファイルが正しく構成されていない場合は、テストする必要があります。ssh などの直接サービスを使用してログインし、su コマンドを実行します。
注 - rsh サービスは、デフォルトでは有効になっていません。よりセキュアな接続を提供するには、代わりに ssh コマンドを使用します。
始める前に
root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
この手順によって、rlogin セッション中、~/.rhosts ファイルは読み取られなくなります。これにより、ローカルシステムに認証されていないリモートシステムからのアクセスを防止できます。~/.rhosts または /etc/hosts.equiv ファイルのいずれかが存在するかどうかやその内容には関係なく、すべての rlogin アクセスにはパスワードが必要です。
システムへの認証されていないアクセスを防ぐために、rsh サービスを無効にすることを忘れないでください。
# svcadm disable network/shell:default
必要に応じて、rlogin サービスも無効にします。
# svcadm disable network/login:rlogin
始める前に
root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
# svcs system-log STATE STIME FMRI disabled 13:11:55 svc:/system/system-log:rsyslog online 13:13:27 svc:/system/system-log:default
注 - rsyslog サービスインスタンスがオンラインである場合は、rsyslog.conf ファイルを変更します。
ログレベルの詳細は、syslog.conf(4) のマニュアルページを参照してください。ほとんどの PAM エラーの報告は、LOG_AUTH 機能に対して行われます。
# svcadm refresh system-log:default
注 - rsyslog サービスがオンラインである場合は、system-log:rsyslog サービスインスタンスをリフレッシュします。
始める前に
root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
このファイルの効果については、下のテキストにあるコメントを参照してください。
# cat /etc/opt/pam_policy/custom-config # # PAM configuration which uses UNIX authentication for console logins, # LDAP for SSH keyboard-interactive logins, and denies telnet logins. # login auth requisite pam_authtok_get.so.1 login auth required pam_dhkeys.so.1 login auth required pam_unix_auth.so.1 login auth required pam_unix_cred.so.1 login auth required pam_dial_auth.so.1 # sshd-kbdint auth requisite pam_authtok_get.so.1 sshd-kbdint auth binding pam_unix_auth.so.1 server_policy sshd-kbdint auth required pam_unix_cred.so.1 sshd-kbdint auth required pam_ldap.so.1 # telnet auth requisite pam_deny.so.1 telnet account requisite pam_deny.so.1 telnet session requisite pam_deny.so.1 telnet password requisite pam_deny.so.1
このファイルは root が所有している必要があり、グループまたはその他のユーザーが書き込み可能であってはいけません。
# ls -l /etc/opt/pam_policy total 5 -r--r--r-- 1 root 4570 Jun 21 12:08 custom-config
/etc/opt/pam_policy 内の custom-config ファイルは、jill という名前のユーザーに割り当てられます。
# useradd -K pam_policy=/etc/opt/pam_policy/custom-config jill
始める前に
root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
この例では、ldap PAM ポリシーが使用されます。
# profiles -p "PAM Per-User Policy of LDAP" \ 'set desc="Profile which sets pam_policy=ldap"; set pam_policy=ldap; exit;'
pfedit を使用して、新しいポリシーを PROFS_GRANTED 宣言に追加します。
# cat /etc/security/policy.conf . . AUTHS_GRANTED= PROFS_GRANTED=Basic Solaris User,PAM Per-User Policy of LDAP CONSOLE_USER=Console User
プロファイルが前の手順の手順 1 で作成された場合は、その権利プロファイルを、次のコマンドを使用してユーザーに割り当てることができます。
# usermod -P +"PAM Per-User Policy of LDAP" jill