How to build Internet Server with Linux
last update: 29 Sep 2004
home
|index
|previous
|next
|contents
認証の基本
まずはじめに、Unix系システムの基本的なセキュリティ機構である、認証について述べます。
3.1.1 パスワードの選択、管理
いまさらくどくど書きませんが、どんなに完全なセキュリティシステムを作っても、
鍵をかけ忘れてはどうにもなりません。推測しやすいパスワードも、ないに等しい
ものです。
不用意にアカウントを発行することもセキュリティホールを自ら作っているような
ものです。また、使用していないアカウントは削除すべきです。
3.1.2 シャドウパスワード
シャドウパスワード方式とは、暗号化したパスワードを/etc/shadowファイルに
保存することでセキュリティを高める方法です。
長い間、UNIX系OSのパスワードは/etc/passwdファイルに暗号化して保存されていました。
/etc/passwdファイルはさまざまなプログラムがユーザ認証に利用するため、
このファイルのパーミッションは、一般ユーザに対して可読(読み出し可能)にしておかなければなりません。
| note: |
例えば、lsコマンドを実行したときにファイルの所有者名が表示されますが、
それはlsコマンド実行中に/etc/passwdファイルを使ってユーザIDから所有者名を得ているのです。
|
そのため、一般ユーザになりすましたクラッカーに、rootの(暗号化した)パスワードを解読されて、サーバを乗っ取られる可能性があります。
このような事態を避けるため、/etc/passwdファイルにはパスワード関連情報を一切記述せず、
rootユーザのみ可読な/etc/shadowファイルに暗号化したパスワードを保存するシャドウパスワード方式が考案されました。
RedHat7.0以降はデフォルトでシャドウパスワード方式が使われています。
RedHat6.2以前のシステムを使用している場合、インストール時にシャドウパスワード方式を使うかどうか選択できます。
pwconvコマンドで、通常のパスワード方式からシャドウパスワード方式に移行できます。
シャドウパスワード方式への移行
|
3.2 PAM(Pluggable Authentication Modules)
|
PAM(Pluggable Authentication Modules)とは、ユーザ認証を制御するモジュール群と、
それらモジュール群を利用するためのAPIを含めたシステムのことです。
Unix系OS上でアプリケーションを作成する際、ユーザ認証機能も独自に作ると、
開発に手間がかかるだけでなく、セキュリティホールを抱え込む危険性が高まります。
そこでユーザ認証機構を独立させてモジュール化し、
アプリケーション開発におけるユーザ認証関連のセキュリティ問題の発生を抑えると共に、
管理を簡略化してセキュリティを高めるシステム、PAMが開発されました。
現在では、RedHat(5.0以降)を含む、ほとんどのディストリビューションがPAMをサポートしています。
PAMの設定ファイルは/etc/pam.dディレクトリ以下にあります。RedHat7.2サーバインストールでは、次のような設定ファイル群があります。
# ls /etc/pam.d/
chfn kbdrate login ppp rsh su
chsh linuxconf other rexec smtp sudo system-auth
ftp linuxconf-pair passwd rlogin sshd
|
ls /etc/pam.d
以下に、PAMの設定ファイルの書式について説明します。
type control module-path module-arguments
|
PAM設定ファイルの書式
書式の各項目について説明します。
- type
| auth | パスワードなどでユーザ認証を行う。 |
| account | ユーザがアカウントを持っているか否かを確認する。 |
| password | ユーザが認証情報を変更する際に使用する。 |
| session | ユーザ認証の前後に実行することを指定する。 |
- control
| required | 認証に失敗すると認証を拒否する。 |
| requisite | 認証に失敗すると認証を拒否し、以降のモジュールを実行しない。 |
| sufficient | 認証に成功した場合、これ以前のモジュールで認証に失敗していても、認証する。 |
| optional | これ以外のすべてのモジュールが無効であったときのみ、認証の許可/拒否を行う。 |
- module,module-arguments
主なモジュールを概説します。
| pam_cracklib | 新規パスワードの検査を行う。推測しやすい文字列などを拒否する。 |
| pam_deny | すべてのアクセスを拒否する。 |
| pam_limits | リソースの制限を設定する。 |
| pam_listfile | 指定したファイルに基づきアクセス制御を行う。 |
| pam_permit | アクセスを常に許可する。 |
| pam_securetty | ログインターミナルの検査をする。 |
| pam_shells | /etc/shellsファイルにユーザの使用するshellが記述されている場合、認証を行う。 |
| pam_pwdb | パスワードデータベースライブラリを呼び出し、pam_unix_*モジュール群を更新する。 |
例として、/etc/pam.d/ftpファイルを示します。
1 #%PAM-1.0
2 auth required /lib/security/pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
3 auth required /lib/security/pam_pwdb.so shadow nullok
4 auth required /lib/security/pam_shells.so
5 account required /lib/security/pam_pwdb.so
6 session required /lib/security/pam_pwdb.so
|
/etc/pam.d/ftp
2行目で、ユーザ認証を行うための設定ファイルとして"/etc/ftpusers"ファイルが指定されています。
他の引数は"item=user"、"sense=deny"となっています。これにより、「指定された設定ファイルに存在するユーザのアクセスを拒否する」と設定されていることが分かります。
その他、PAMに関する詳細は、次のURLを参照してください。
http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/
home
|index
|previous
|next
|contents
since 04/Oct/2004