デフォルトでは、root は Oracle Solaris の役割です。ユーザーに変更し、再度役割に変更するか、またはこれを削除して使用しないようにするオプションがあります。
Oracle Enterprise Manager を使用している場合、または権利モデルではなく従来のスーパーユーザーによる管理モデルに従っている場合は、root をユーザーに変更する必要があります。背景情報については、管理に使用する権利モデルの決定を参照してください。
権利モデルに従っている場合は、ネットワークから取り外されたシステムを廃棄する場合に root をユーザーに変更することがあります。このシナリオでは、root としてシステムにログインするとクリーンアップが容易になります。
一部のサイトでは、本番システムでは root が正当なアカウントではないことがあります。root を使用しないように削除するには、Example 5–13 を参照してください。
この手順は、root がシステムに直接ログインできる必要があるシステムで行う必要があります。
始める前に
root 役割になる必要があります。
たとえば、その役割の割り当てを 2 人のユーザーから削除します。
% su - Password: xxxxxxxx # roles jdoe root # roles kdoe root # roles ldoe secadmin # usermod -R "" jdoe # usermod -R "" kdoe #
# rolemod -K type=normal root
現在 root 役割になっているユーザーはそのままです。root アクセスを持つほかのユーザーは、su を実行して root に変更することも、root ユーザーとしてシステムにログインすることもできます。
次のいずれかのコマンドを使用できます。
# getent user_attr root root::::auths=solaris.*;profiles=All;audit_flags=lo\:no;lock_after_retries=no; min_label=admin_low;clearance=admin_high
type キーワードが出力内に見つからないか、または normal に等しい場合、そのアカウントは役割ではありません。
# userattr type root
出力が空であるか、または normal が表示される場合、そのアカウントは役割ではありません。
この例では、root ユーザーが root ユーザーを役割に戻します。
最初に、root ユーザーは root アカウントを役割に変更し、その変更内容を確認します。
# usermod -K type=role root # getent user_attr root root::::type=role...
次に、root は root 役割をローカルユーザーに割り当てます。
# usermod -R root jdoe使用例 5-13 システム保守での root 役割の使用の防止
この例では、root アカウントによるシステムの保守を防ぐように、サイトのセキュリティーポリシーで要求します。管理者は、システムを保守する役割をすでに作成し、テストしています。これらの役割には、すべてのセキュリティープロファイルと System Administrator 権利プロファイルが含まれています。信頼できるユーザーには、バックアップを復元できる役割が割り当てられています。ユーザー、役割、または権利プロファイルの監査フラグを変更するか、または役割のパスワードを変更することができる役割はありません。
root アカウントがシステムの保守に使用されないようにするために、セキュリティー管理者は、root 役割の割り当てを削除します。root アカウントはシングルユーザーモードでシステムにログインできる必要があるため、そのアカウントのパスワードは保持されます。
# usermod -K roles= jdoe # userattr roles jdoe
トラブルシューティング
デスクトップ環境では、root が役割の場合は root として直接ログインすることはできません。このシステム上で root が役割になっていることを示す診断メッセージが表示されます。
root 役割を引き受けることができるローカルアカウントがない場合は、次のステップを実行します。
root としてシングルユーザーモードでシステムにログインし、ローカルユーザーアカウントとパスワードを作成します。
root 役割を新しいアカウントに割り当てます。
この新しいユーザーとしてログインし、root 役割を引き受けます。