このセクションでは、すべてのユーザーのデフォルトの umask 値を変更し、ログインの失敗を制限することによって悪質なログイン試行を防ぎ、コンソールユーザーがシステムをシャットダウンする機能を削除します。システムごと、ユーザーごと、または権利プロファイルを通じたログイン試行の失敗を制限できます。パスワードの制約については、Oracle Solaris 11.4 Security and Hardening Guidelines の Passwords and Password Policyを参照してください。
このセクションは、新機能 – account-policy サービスの有効化を完了したことが前提となります。
account-policy サービスの config/etc_default_login ステンシルのプロパティーであるセキュリティー属性には次のものが含まれています。
$ svcprop -p login/environment account-policy:default login/environment/path astring login/environment/root_path astring login/environment/set_shell boolean login/environment/timezone astring login/environment/ulimit integer login/environment/umask integer
たとえば、すべてのログインに対してより制限された umask 値を設定する方法を参照してください。account-policy(8S) のマニュアルページも参照してください。
この手順では、すべてのユーザーに対するデフォルトの umask 値を変更します。umask ユーティリティーは、ユーザーが作成したファイルのファイルアクセス権ビットを設定します。デフォルトの umask 値 022 では十分に制限されない場合は、この手順を使用して、より制限されたマスクを設定します。
始める前に
新機能 – account-policy サービスの有効化を完了したことが前提となります。User Security 権利プロファイルが割り当てられている管理者になる必要があります。root 役割にはこのプロファイルが割り当てられます。詳細は、割り当てられている管理権利の使用を参照してください。
umask 026 – 適度なファイル保護を提供します。
(751) – グループには r、他のユーザーには x
umask 027 – 厳密なファイル保護を提供します
(750) – グループには r、他のユーザーにはアクセス権なし
umask 077 – 完全なファイル保護を提供します。
(700) – グループや他のユーザーのアクセスを禁止します。
$ svcprop account-policy | grep umask login/environment/umask integer
$ pfbash svccfg -s account-policy svc:/.../account-policy> setprop config/etc_default_login/disabled = boolean: false svc:/.../account-policy> setprop login/environment/umask = 026 svc:/.../account-policy> exit $ svcadm refresh account-policy
関連項目
詳細については、次を参照してください。
Oracle Solaris 12 でのファイルのセキュリティー保護とファイル整合性の検証 の umask のデフォルト値
選択したマニュアルページには、useradd(8)、account-policy(8S)、および umask(1) が含まれています。