このセクションでは、すべてのユーザーのデフォルトの umask 値を変更し、ログインの失敗を制限することによって悪質なログイン試行を防ぎ、コンソールユーザーがシステムをシャットダウンする機能を削除します。システムごと、ユーザーごと、または権利プロファイルを通じたログイン試行の失敗を制限できます。パスワードの制約については、Oracle Solaris 11.4 Security and Hardening Guidelines の Passwords and Password Policyを参照してください。
umask ユーティリティーは、ユーザーが作成したファイルのファイルアクセス権ビットを設定します。デフォルトの umask 値 022 では十分に制限されない場合は、この手順を使用して、より制限されたマスクを設定します。
始める前に
スケルトンファイルを編集する権限がある管理者になる必要があります。root 役割にはこれらの権限が割り当てられます。詳細は、割り当てられている管理権利の使用を参照してください。
# ls -1a /etc/skel .bashrc .profile local.cshrc local.login local.profile
次の値のいずれかを選択します。
umask 026 – 適度なファイル保護を提供します。
(751) – グループには r、他のユーザーには x
umask 027 – 厳密なファイル保護を提供します
(750) – グループには r、他のユーザーにはアクセス権なし
umask 077 – 完全なファイル保護を提供します。
(700) – グループや他のユーザーのアクセスを禁止します。
関連項目
詳細については、次を参照してください。
Oracle Solaris 12 でのファイルのセキュリティー保護とファイル整合性の検証 の umask のデフォルト値
選択したマニュアルページには、useradd(8) および umask(1) が含まれています。
この手順を使用して、特定の数のログイン試行に失敗したあとに通常ユーザーアカウントをロックします。ユーザーごと、システムごと、または権利プロファイルを通じた選択済みユーザーに対して、アカウントロックを設定できます。
始める前に
管理アクティビティーで使用されるシステムでは、この保護をシステム全体に設定しないでください。むしろ、管理システムに異常な使用状況がないかどうかをモニターし、管理者が常に管理システムを使用できるようにしてください。
root 役割になる必要があります。詳細は、割り当てられている管理権利の使用を参照してください。
属性値のスコープを選択します。
手順については、ログインポリシーの変更を参照してください。
# pfedit /etc/security/policy.conf ... #LOCK_AFTER_RETRIES=NO LOCK_AFTER_RETRIES=YES ...
この保護は、このコマンドの実行対象のユーザーに対してのみ適用されます。ユーザー数が多い場合、これはスケーラブルな解決方法ではありません。
# usermod -K lock_after_retries=yes username
この保護は、この権利プロファイルを割り当てるすべてのユーザーまたはシステムに適用されます。
# profiles -p shared-profile -S ldap shared-profile: set lock_after_retries=yes ...
権利プロファイルの作成の詳細は、権利プロファイルと承認の作成を参照してください。
権利プロファイルを共有するユーザーの数が多い場合は、権利プロファイルにこの値を設定することがスケーラブルな解決方法になります。
# usermod -P shared-profile username
また、policy.conf ファイルでシステムごとにプロファイルを割り当てることもできます。
# pfedit /etc/security/policy.conf ... #PROFS_GRANTED=Basic Solaris User PROFS_GRANTED=shared-profile,Basic Solaris User
属性値のスコープを選択します。
手順については、ログインポリシーの変更を参照してください。
# pfedit /etc/default/login ... #RETRIES=5 RETRIES=3 ...
# usermod -K lock_after_retries=3 username
権利プロファイルと承認の作成を確認し、lock_after_retries=3 を含む権利プロファイルを作成します。
# usermod -K unlock_after=185m username
このユーザーは、アカウントがロックされてから 3 時間 5 分後に、管理者が操作しなくてもログインできます。
# passwd -u username
ロックされたユーザーは、管理者の操作なしではログインできません。files と ldap の両方のネームサービスでユーザーアカウントをロック解除できます。
関連項目
ユーザーおよび役割のセキュリティー属性については、 権利リファレンスを参照してください。
選択したマニュアルページには、passwd(1)、policy.conf(5)、profiles(1)、user_attr(5)、および usermod(8) が含まれています。
この手順を使用して、システムのコンソール上のユーザーがシステムを保存停止したり、電源を切ったりすることを回避します。コンソールユーザーがシステムのハードウェアを取り外すことができる場合、このソフトウェア解決方法は有効ではありません。
始める前に
root 役割になる必要があります。詳細は、割り当てられている管理権利の使用を参照してください。
$ profiles -p "Console User" info name=Console User desc=Manage System as the Console User auths=solaris.system.shutdown,solaris.device.cdrw, solaris.smf.manage.vbiosd,solaris.smf.value.vbiosd profiles=Suspend To RAM,Suspend To Disk,Brightness,CPU Power Management, Network Autoconf User
手順については、権利プロファイルを作成する方法を参照してください。
サンプルの置換プロファイルを次に示します。
$ profiles -p "Site Console User" info name=Site Console User desc=Read devices and control brightness on the console auths=solaris.device.cdrw, profiles=Brightness,CPU Power Management,Network Autoconf User
#CONSOLE_USER=Console User
この権利プロファイルをユーザーに割り当てます。
# usermod -P shared-profile username
また、SMF または policy.conf ファイルのいずれかで、プロファイルをシステムごとに割り当てることもできます。
account-policy サービスが有効な場合、使用例 35, すべてのログインへの権利プロファイルの追加に示すようにプロファイルを SMF で割り当てます。
非推奨。account-policy サービスが有効でない場合、policy.conf ファイルを編集します。
# pfedit /etc/security/policy.conf... #PROFS_GRANTED=Basic Solaris User PROFS_GRANTED=shared-profile,Basic Solaris User
関連項目
詳細は、account-policy(8S)、policy.conf(5)、および usermod(8) のマニュアルページを参照してください。