Solaris -> Solaris10 -> セキュリティー

ローカルアカウント管理

ユーザ作成

ユーザ作成前に新しいグループを作成する
# groupadd -g 8000 operator

# awk -F: '$1=="operator"' /etc/group
operator::8000:
#

ユーザを作成する。
# useradd -g 8000 -u 8001 -d /tmp ope001
# awk -F: '$1=="ope001"' /etc/passwd
ope001:x:8001:8000::/tmp:/bin/sh
#

パスワード管理

ユーザ作成直後はロックされている。
# passwd -s ope001
ope001    LK
#

/etc/shadow ファイルの内容
# awk -F: '$1=="ope001"' /etc/shadow
ope001:*LK*:::::::1
#

パスワードを設定する。
# passwd ope001
New Password: *********
Re-enter new Password:
passwd: password successfully changed for ope001
#


パスワード確認する。PSであれば使用可能状態
# passwd -s ope001
ope001    PS
#

/etc/shadow ファイルの内容
# awk -F: '$1=="ope001"' /etc/shadow
ope001:67nVccT3gMF6Y:14258::::::
#

ログインできるか確認
# telnet localhost
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
login: ope001
Password:
Sun Microsystems Inc.   SunOS 5.10      Generic January 2005
$ id
uid=8001(ope001) gid=8000(operator)
$
パスワードのロックとロック解除

パスワードをロックしログインできないようにする。
# passwd -s ope001
ope001    PS
#

# passwd -l ope001  ロックコマンド
passwd: password information changed for ope001
#

# passwd -s ope001
ope001    LK         LK であればロック状態
#

ロックを解除し再びログインできるようにする
# passwd -u ope001  ロック解除コマンド
passwd: password information changed for ope001
#

# passwd -s ope001
ope001    PS         PS であれば使用可能状態
#
ユーザが初回ログイン時にパスワードを設定させる場合

# passwd -d ope001  パスワードを削除する
passwd: password information changed for ope001
# passwd -s ope001
ope001    NP
#

この状態でログインする
# telnet localhost
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
login: ope001
Choose a new password.
New Password: *******
Re-enter new Password: *******
telnet: password successfully changed for ope001
Last login: Wed Jan 14 17:29:14 from localhost
Sun Microsystems Inc.   SunOS 5.10      Generic January 2005
$

ログイン制御

/etc/defauot/login ファイルの設定値
SLEEPTIME=1             ログイン失敗時、次のlogin表示間隔秒
RETRIES=3               ログインリトライ回数
SYSLOG_FAILED_LOGINS=3  メッセージ出力失敗回数

設定値の動作確認
sol02# telnet localhost
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
login: ope001       1回目
Password:
Login incorrect
  この間の待ち時間 SLEEPTIME=1 (秒)
  コメントアウトした場合は待ち時間なしで次の login:が表示される
login: ope001       2回目
Password:
Login incorrect
login: ope001       3回目
Password:
Login incorrect     3回失敗で Login incorrect
                    RETRIES=3の設定値を参照
Connection to localhost closed by foreign host.
#
ログファイル
SYSLOG_FAILED_LOGINS=3 を設定した場合のメッセージ /var/adm/messages 

Jan 14 16:58:28 sol02 login: [ID 658745 auth.crit] 
REPEATED LOGIN FAILURES ON /dev/pts/3 FROM localhost, ope001


失敗した場合の履歴ログ
* ファイルがない場合出力されないので、
ログが必要な場合は touch でloginlog ファイルを作成する。
/var/adm/loginlog
ope001:/dev/pts/3:Wed Jan 14 16:58:22 2009
ope001:/dev/pts/3:Wed Jan 14 16:58:24 2009
ope001:/dev/pts/3:Wed Jan 14 16:58:27 2009
ログインに失敗した場合アカウントをロックさせる場合は以下の設定を行う。
/etc/default/policy.conf
LOCK_AFTER_RETRIES=YES

3回失敗してロックされるか確認する。
# telnet localhost
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
login: ope001
Password:
Login incorrect
login: ope001
Password:
Login incorrect
login: ope001
Password:
Login incorrect
Connection to localhost closed by foreign host.
#

ロックされた
# passwd -s ope001
ope001    LK
#

パスワードの暗号化文字列が残っているのでロックを解除すれば再び元のパスワード
でログインできる。
# awk -F: '$1=="ope001"' /etc/shadow
ope001:*LK*67nVccT3gMF6Y:14258::::::3
#


先頭へ

      Document-Folder          一覧
HP-UX
HULFT
JAVA
JP1
JavaScript
Linux
MAC
PHP
Perl
Python
Ruby
SOA
Solaris
Unix全般
Windows
XML
エクセル
スタイルシート
セキュリティー
データベース
ネットワーク
パソコン
ブラウザ
プログラム構文
仮想化
          RSS-Folder
ニュース
   アットマーク・アイティ(@IT)
   シンクイット(ThinkIT)
   インターネットコム
   インターネットウォッチ
   日経IT-Pro
   日経パソコン
   CNET Japan
   ZD-NetJapan
   MYCOM
   RBB-Today
ベンダー
   日本IBM
   日本HP
   サンマイクロシステムズ
   NEC
   富士通
   日立
ソフトウェア
   マイクロソフト
   トレンドマイクロ
   オラクル
   サイボウズ
   Mozilla
   野村総合研究所
   (その他ソフトウェア企業)
更新履歴 一覧
 07/08 PERF
プログラム構文
 07/07 PERF
プログラム構文
 06/25 オブジェクトプログラミング2
Perl>サンプル
 07/12 クローン作成
仮想化>vCenter
 07/12 vyatta設定
ネットワーク>vyatta
 07/12 vyattaインストール
ネットワーク>vyatta
 07/12 リポジトリサーバ
Linux>サーバ構築
 07/05 VMwareのインストール
仮想化>VMware
 07/05 PXEブート
仮想化>KVM
 07/01 DHCPでのPXEブート
仮想化>KVM
 06/27 qcow2仮想DISK作成
仮想化>KVM
 06/13 NWの設定
仮想化>VMwareEsxi
 06/13 IPアドレスの変更
仮想化>VMwareEsxi
 06/12 自動ssh
Unix全般>シェル>Bash
 06/12 diffプログラミング
Python
Google