このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。
次のようなコマンドを使用して、ロック解除されたユーザー・アカウントがあるかどうか定期的にシステムを確認します。
# for u in `cat /etc/passwd | cut -d: -f1 | sort`; do passwd -S $u; done
abrt LK 2012-06-28 0 99999 7 -1 (Password locked.)
adm LK 2011-10-13 0 99999 7 -1 (Alternate authentication scheme in use.)
apache LK 2012-06-28 0 99999 7 -1 (Password locked.)
avahi LK 2012-06-28 0 99999 7 -1 (Password locked.)
avahi-autoipd LK 2012-06-28 0 99999 7 -1 (Password locked.)
bin LK 2011-10-13 0 99999 7 -1 (Alternate authentication scheme in use.)
...
このコマンドの出力の2番目のフィールドに、ユーザー・アカウントがロックされているかどうか(LK
)、パスワードがないかどうか(NP
)、または有効なパスワードがあるかどうか(PS
)が示されます。 3番目のフィールドには、ユーザーがパスワードを最後に変更した日付が示されます。 残りのフィールドには、パスワードの最小経過期間、最大経過期間、警告期間、パスワードの非アクティブ期間およびパスワードのステータスに関するその他の情報が示されます。 期間の単位は日数です。
保護されていないアカウントにパスワードを設定するには、passwdコマンドを使用します。
未使用のアカウントをロックするには、passwd -lを使用します。 userdelを使用して、アカウントを完全に削除することもできます。
詳細は、passwd(1)
およびuserdel(8)
の各マニュアル・ページを参照してください。
ユーザー・パスワードのエージング方法を指定するには、/etc/login.defs
ファイルで次の設定を編集します。
設定 | 説明 |
---|---|
| パスワードを変更するまでに使用できる最大日数。 デフォルト値は99,999日です。 |
| パスワードを変更する間隔として許容される最大日数。 デフォルト値は0日です。 |
| パスワードの期限が切れる前に警告が表示される日数。 デフォルト値は7日です。 |
詳細は、login.defs(5)
マニュアル・ページを参照してください。
ユーザー・アカウントが非アクティブになってからロックされるまでの期間を変更するには、usermodコマンドを使用します。 たとえば、非アクティブ期間を30日に設定します。
# usermod -f 30 username
新規ユーザー・アカウントのデフォルトの非アクティブ期間を変更するには、useraddコマンドを使用します。
# useradd -D -f 30
値-1は、非アクティブのためにユーザー・アカウントがロックされることはないことを示します。
詳細は、useradd(8)
およびusermod(8)
の各マニュアル・ページを参照してください。
root
以外のユーザー・アカウントのユーザーIDが0でないことを確認します。
# awk -F":" '$3 == 0 { print $1 }' /etc/passwd
root
デフォルトのユーザー・アカウントとパスワードを作成するソフトウェアをインストールする場合は、ベンダーのデフォルト・パスワードをただちに変更します。 OpenLDAPなどのLDAP実装を使用する集中ユーザー認証は、ユーザー認証および管理タスクを簡易化するのに役立ちます。また、未使用のアカウントまたパスワードなしのアカウントから発生するリスクを減らすことができます。
デフォルトでは、Oracle Linuxシステムはroot
として直接ログインできないように構成されています。 事前に指定ユーザーとしてログインしてから、suまたはsudoを使用してroot
としてタスクを実行します。 この構成により、システム・アカウンティングで特権管理アクションを実行するユーザーの元のログイン名を追跡できます。 特定ユーザーにsudoを使用して特定の管理タスクを実行できる権限を付与するには、visudoコマンドを使用して/etc/sudoers
ファイルを変更します。 たとえば、次のエントリでは、ユーザーerin
はsudoを使用した場合にrootと同じ権限を得ますが、
frank
にはchkconfig、service、rpm、yumなどのコマンドを実行できる限定された権限セットを定義しています。
erin ALL=(ALL) ALL frank ALL= SERVICES, SOFTWARE