Tru64 UNIX 資料一覧

エンハンストセキュリティモードを有効にする方法

2007/8/17更新

対応バージョン: 5.1A

以下の手順で有効にする。

事前作業

オプションのエンハンストセキュリティサブセット(OSFC2SEC510 & OSFXC2SEC510)をインストールする。パスワードの平凡性チェック(*)を有効にする場合は更にOSFDCMTEXTxxxサブセットをインストールする。

複数マシンでクラスタ環境を構成している場合、インストールはクラスタメンバの1台に行い、このマシンを含めたクラスタメンバ全てをリブートする。

これにより他のマシンにもこの設定が適用される。

# setld -l /cdrom/ALPHA/BASE OSFC2SEC510
# setld -l /cdrom/ALPHA/BASE OSFXC2SEC510
# setld -i | grep SEC
OSFC2SEC510   installed   C2-Security (System Administration)
OSFXC2SEC510  installed   C2-Security GUI (System Administration)

(*) 平凡性チェック

簡単に推測できるパスワードを使わないようにするためにパスワードに対して行うチェック。

平凡性チェックにより辞書にある単語、ユーザ名、およびユーザ名を少し変えた単語をパスワードとして使うのを防ぐことができる。

変更 or 付加される機能

認証システムの変更

アカウント情報が/etc/passwdから/var/tcb/files/auth.dbにコピーされ、新しいセキュリティライブラリに切り替わる(シングルユーザモードで必要となるroot等のアカウント情報は/tcb/files/auth.dbに保存される)。

当機能を有効にすると新しいデーモンprpasswdd(保護パスワードデーモン)が導入され、そのデーモンの2つのインスタンス(親と子)が各クラスタメンバ上で実行される。

親は主に子の起動と再起動を担当し、子は認証データベースへの変更の書込を担当する。

パスワード有効期限の付加
ログイン最大試行回数制限の付加

ログイン失敗がその指定回数に達すると一定時間ログインできなくなる

監査機能の付加
アクセス制御リスト(ACL)機能の付加
端末のロギング機能の付加

(*) クラスタ環境では利用不能

設定手順

認証システムの変更

セキュリティレベルをBASEからENHANCEDに変更

# sysman secconfig

監査機能の付加

# sysman auditconfig

アクセス制御リスト(ACL)機能の付加

# sysman secconfig

考慮点

認証システムの変更

セキュリティモードを切替える際に現行のアカウントのパスワード有効期限が切れるので全アカウントのパスワードを再設定する必要がある。
ユーザ情報が/etc/{passwd,group}からデータベースに移るので、これらのファイルを利用しているプログラムやツールは処理の見直しが必要となる。