Go to main content

Oracle® Solaris 11.4 でのユーザーとプロセスのセキュリティー保護

印刷ビューの終了

更新: 2018 年 8 月
 
 

ログインポリシーの変更

このセクションは、新機能 – account-policy サービスの有効化を完了したことが前提となります。

account-policy サービスの config/etc_default_login ステンシルのプロパティーであるセキュリティー属性には次のものが含まれています。

$ svcprop -p login_policy account-policy:default
login_policy/annotation astring
login_policy/auto_unlock_time astring
login_policy/clearance astring
login_policy/disabletime count
login_policy/lock_after_retries astring
login_policy/pam_policy astring
login_policy/password_required boolean
login_policy/retries count
login_policy/root_login_device astring
login_policy/sleeptime count
login_policy/timeout count

詳細は、account-policy(8S) のマニュアルページを参照してください。

すべてのログインに対してアカウントロックを設定する方法

この手順を使用して、特定の数のログイン試行に失敗したあとにユーザーのアカウントをロックすることによって悪質なログイン試行を防ぎます。

Caution

注意  -  管理アクティビティーで使用されるシステムでは、この保護をシステム全体に設定しないでください。むしろ、管理システムに異常な使用状況がないかどうかをモニターし、管理者が常に管理システムを使用できるようにしてください。

始める前に

新機能 – account-policy サービスの有効化を完了したことが前提となります。User Security 権利プロファイルが割り当てられている管理者になる必要があります。root 役割にはこのプロファイルが割り当てられます。詳細は、割り当てられている管理権利の使用を参照してください。

  1. account-policy ステンシルから retries SMF プロパティーの完全名を見つけます。 
    $ svcprop account-policy | grep retries
login_policy/lock_after_retries astring
login_policy/retries count
  2. lock_after_retries プロパティーの値を yes に設定します。 
    $ pfbash svccfg -s account-policy
svc:/.../account-policy> setprop config/etc_default_login/disabled = boolean: false
svc:/.../account-policy> setprop login_policy/lock_after_retries = yes
svc:/.../account-policy> exit
  3. retries カウントを 3 に設定してサービスをリフレッシュします。 
    $ svccfg -s account-policy \
setprop login_policy/retries = 3
$ svcadm refresh account-policy
  4. (オプション) ロック済みアカウントでユーザーが再認証できるようになるまでの時間を指定します。
    1. account-policy ステンシルから unlock SMF プロパティーの完全名を見つけます。 
      $ svcprop account-policy | grep unlock
login_policy/auto_unlock_time astring
    2. auto_unlock_time プロパティー値を設定してサービスをリフレッシュします。

      次のコマンドにより、ユーザーはアカウントがロックされてから 3 時間 5 分後に、管理者が操作しなくてもログインできます。

      $ svccfg -s account-policy \
  setprop login_policy/auto_unlock_time = 185m
$ svcadm refresh account-policy
  5. ロックされたユーザーをロック解除するには、passwd コマンドを使用します。 
    # passwd -u username

    管理者として、filesldap の両方のネームサービスでユーザーアカウントをロック解除できます。

関連項目

Copyright © 2002, 2018, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ