PAM (タスク)

このセクションでは、PAM のフレームワークが特定のセキュリティーポリシーを使用するために必要なタスクについて説明します。PAM 構成ファイルに関連したいくつかのセキュリティー問題に注意するようにしてください。セキュリティーの問題については、「PAM の実装計画」を参照してください。

PAM (タスクマップ)

タスク	説明	参照先
PAM のインストールを計画します。	ソフトウェア構成処理を開始する前に、構成を検討および決定します。	「PAM の実装計画」
新しい PAM モジュールを追加します。	必要に応じて、サイト固有のモジュールを作成およびインストールし、汎用ソフトウェアにない要件に対応します。この手順ではこれらの新しい PAM モジュールのインストール方法について説明します。	「PAM モジュールを追加する方法」
ユーザーに新しい PAM ポリシーを割り当てます。	特定のユーザーに割り当てられる複数のサービスに対する特定の認証要件を確立します。	「ユーザーにカスタマイズされた PAM ポリシーを割り当てる方法」
すべてのユーザーに新しい権利プロファイルを割り当てます。	システム上のすべてのユーザーに割り当てられる複数のサービスに対する特定の認証要件を確立します。	「すべてのユーザーに新しい権利ポリシーを割り当てる方法」
`~/.rhosts` によるアクセスを拒否します。	`~/.rhosts` によるアクセスを回避することによって、セキュリティーをさらに強化します。	「PAM を使用して、リモートシステムからの rhost 式アクセスを防ぐ方法」
エラー記録を開始します。	`syslog` を使用して PAM エラーメッセージの記録を開始します。	「PAM のエラーレポートを記録する方法」

PAM の実装計画

配布時に、PAM 構成は標準的なセキュリティーポリシーを実装します。このポリシーは、多くの状況で機能します。別のセキュリティーポリシーを実装する必要がある場合に注意すべき問題は、次のとおりです。

何が必要か、特にどの PAM サービスモジュールを選択するかを決定します。
特別な構成オプションが必要なサービスを確認します。必要に応じて、サービス名 other を使用してサービスのデフォルトを提供します。
モジュールを実行する順番を決定します。
各モジュールに対する制御フラグを選択します。すべての制御フラグの詳細については、「PAM スタックのしくみ」を参照してください。
各モジュールに必要なオプションを選択します。各モジュールのマニュアルページには、特別なオプションが一覧表示されます。

PAM 構成を変更する前に考慮すべきいくつかの推奨事項を次に示します。

モジュールタイプごとにサービス名 other のエントリを使用して、PAM 構成にすべてのアプリケーションを含める必要がないようにします。
制御フラグのセキュリティーへの影響を必ず考慮してください。

モジュールに関連するマニュアルページを参照します。これらのマニュアルページには、各モジュールの機能、使用可能なオプション、スタック内のモジュール間の相互作用などの説明があります。

注意 - PAM 構成が正しく構成されていない場合や、壊れている場合は、どのユーザーもログインできなくなる可能性があります。この場合、sulogin コマンドでは PAM が使用されないため、マシンをシングルユーザーモードでブートして問題を解決するために root パスワードが必要になります。

PAM 構成を変更したあとは、引き続きシステムにアクセスできる間にできるだけ変更を確認して問題を解決してください。変更によって影響を受ける可能性があるコマンドは、すべてテストしてください。

PAM モジュールを追加する方法

この手順では、新しい PAM モジュールを追加する方法を示します。新しいモジュールは、サイト固有のセキュリティーポリシーを網羅するため、またはサードパーティーのアプリケーションをサポートするために作成します。

始める前に

root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。

どの制御フラグおよびどのオプションを使用するかを決定します。
制御フラグについては、「PAM スタックのしくみ」を参照してください。
モジュールファイルの所有者が root で、そのアクセス権が 555 になるように設定します。
pfedit を使用して適切な PAM 構成ファイルを編集し、このモジュールを適切なサービスに追加します。
変更は、/etc/pam.conf または /etc/pam.d/service のどちらかに対して行うことができます。
モジュールが適切に追加されたことを検証します。
構成ファイルが正しく構成されていない場合は、テストする必要があります。ssh などの直接サービスを使用してログインし、su コマンドを実行します。

PAM を使用して、リモートシステムからの rhost 式アクセスを防ぐ方法

注 - rsh サービスは、デフォルトでは有効になっていません。よりセキュアな接続を提供するには、代わりに ssh コマンドを使用します。

始める前に

root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。

PAM 構成ファイルから、rhosts_auth.so.1 を含むすべての行を削除します。
この手順によって、rlogin セッション中、~/.rhosts ファイルは読み取られなくなります。これにより、ローカルシステムに認証されていないリモートシステムからのアクセスを防止できます。~/.rhosts または /etc/hosts.equiv ファイルのいずれかが存在するかどうかやその内容には関係なく、すべての rlogin アクセスにはパスワードが必要です。
rsh サービスを無効にします。
システムへの認証されていないアクセスを防ぐために、rsh サービスを無効にすることを忘れないでください。
```
# svcadm disable network/shell:default
```
rlogin サービスを無効にします。
必要に応じて、rlogin サービスも無効にします。
```
# svcadm disable network/login:rlogin
```

PAM のエラーレポートを記録する方法

始める前に

root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。

どの system-log サービスインスタンスがオンラインであるかを判定します。
```
# svcs system-log
STATE          STIME    FMRI
disabled       13:11:55 svc:/system/system-log:rsyslog
online         13:13:27 svc:/system/system-log:default
```
注 - rsyslog サービスインスタンスがオンラインである場合は、rsyslog.conf ファイルを変更します。
/etc/syslog.conf ファイルを構成して必要なロギングのレベルを設定します。
ログレベルの詳細は、syslog.conf(4) のマニュアルページを参照してください。ほとんどの PAM エラーの報告は、LOG_AUTH 機能に対して行われます。
system-log サービスの構成情報をリフレッシュします。
```
# svcadm refresh system-log:default
```
注 - rsyslog サービスがオンラインである場合は、system-log:rsyslog サービスインスタンスをリフレッシュします。

ユーザーにカスタマイズされた PAM ポリシーを割り当てる方法

始める前に

root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。

新しい PAM ポリシー構成ファイルを作成します。

このファイルの効果については、下のテキストにあるコメントを参照してください。

# cat /etc/opt/pam_policy/custom-config
#
# PAM configuration which uses UNIX authentication for console logins,
# LDAP for SSH keyboard-interactive logins, and denies telnet logins.
#
login auth requisite          pam_authtok_get.so.1
login auth required           pam_dhkeys.so.1
login auth required           pam_unix_auth.so.1
login auth required           pam_unix_cred.so.1
login auth required           pam_dial_auth.so.1
#
sshd-kbdint  auth requisite          pam_authtok_get.so.1
sshd-kbdint  auth binding            pam_unix_auth.so.1 server_policy
sshd-kbdint  auth required           pam_unix_cred.so.1
sshd-kbdint  auth required           pam_ldap.so.1
#
telnet    auth     requisite    pam_deny.so.1
telnet    account  requisite    pam_deny.so.1
telnet    session  requisite    pam_deny.so.1
telnet    password requisite    pam_deny.so.1

新しいファイルのファイルアクセス権をチェックします。
このファイルは root が所有している必要があり、グループまたはその他のユーザーが書き込み可能であってはいけません。
```
# ls -l /etc/opt/pam_policy
total 5
-r--r--r--   1 root         4570 Jun 21 12:08 custom-config
```
ユーザーに新しい PAM ポリシーを割り当てます。
/etc/opt/pam_policy 内の custom-config ファイルは、jill という名前のユーザーに割り当てられます。
```
# useradd -K pam_policy=/etc/opt/pam_policy/custom-config jill
```

すべてのユーザーに新しい権利ポリシーを割り当てる方法

始める前に

root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。

新しい権利ポリシーを作成します。

この例では、ldap PAM ポリシーが使用されます。

# profiles -p "PAM Per-User Policy of LDAP" \
      'set desc="Profile which sets pam_policy=ldap";
       set pam_policy=ldap; exit;'

すべてのユーザーに新しい権利プロファイルを割り当てます。
pfedit を使用して、新しいポリシーを PROFS_GRANTED 宣言に追加します。
```
# cat /etc/security/policy.conf
  .
  .

AUTHS_GRANTED=
PROFS_GRANTED=Basic Solaris User,PAM Per-User Policy of LDAP
CONSOLE_USER=Console User
```

例 14-1 ユーザーへの権利プロファイルの割り当て

プロファイルが前の手順の手順 1 で作成された場合は、その権利プロファイルを、次のコマンドを使用してユーザーに割り当てることができます。

# usermod -P +"PAM Per-User Policy of LDAP" jill

ナビゲーションリンクをスキップ
印刷ビューの終了
	Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語)