このセクションでは、特定のルート以外のユーザーについてのリモートログインを防ぐためのいくつかの方法について説明します。root によるリモートログインを防ぐには、/etc/default/login ファイル内の CONSOLE 変数値の説明およびOracle Solaris 11.4 でのシステムおよび接続されたデバイスのセキュリティー保護 の ログインとパスワードのセキュリティーを参照してください。
では、特定のルート以外のユーザーのリモートログインを防ぐためのいくつかの方法があります。
ユーザーが ssh などの PAM サービスにアクセスできる曜日と時間を指定できます。たとえば、access_times セキュリティー属性を使用して、jdoe が を使用できないようにします。
# usermod -K access_times={ssh}:Al0000-0000 jdoe
この値は、すべての曜日 (Al) について、利用可能なアクセス時間がないことを示しています。詳細は、user_attr(5) のマニュアルページを参照してください。
RBAC セキュリティー属性を使用することの 1 つの利点として、ユーザーおよび役割の構成コマンドに –S ldap オプションを使用して、LDAP 内の制限を維持できるということがあります。別の利点としては、アクセスが許可されるサービス名、曜日、時間を指定できることがあります。
の DenyUsers プロパティーに特定のユーザーを追加できます。詳細は、 ssh_config (5) のマニュアルページを参照してください。
pam_deny モジュールを含むように PAM スタックをカスタマイズし、ユーザーおよび役割構成コマンドに pam_policy セキュリティー属性を使用することによって、カスタマイズされた PAM スタックを特定のユーザーに割り当てることができます。詳細は、Managing Authentication in Oracle Solaris 11.4 の Configuring PAM、および pam_deny(7) と pam_user_policy(7) のマニュアルページを参照してください。
root を含むほかのすべてのユーザーが、そのディレクトリに格納されているデータにアクセスできないようにする、特定ユーザー向けのラベル付きディレクトリおよび認可上限を作成できます。ラベルによって、ユーザーはプロジェクト用のサンドボックスを作成できます。詳細は、データ損失保護のためのプロセスのラベル付けおよび sandboxing(7) のマニュアルページを参照してください。