IT

ユーザーに対するセキュリティ管理【LPIC level1】

目次

  • ユーザーに対するセキュリティ管理
  • パスワード管理
  • ログインの禁止
  • ユーザーの切り替え
  • sudo(sudoの設定、sudoの利用)
  • システムのリソースの制限

ユーザーに対するセキュリティ管理

パスワード管理

パスワードに有効期限を設定することで、強制的にパスワード変更をユーザーに促すことが出来ます。

有効期限の設定は、chageコマンドで行います。

オプション説明
-lパスワードもしくはアカウントの有効期限を表示する。
-m 日数パスワード変更機関の最低日数を設定する。
-M 日数パスワードの最大有効期限日数を設定する。
-d 日数パスワードの最終更新日を設定する。
-W 日数パスワードの結城応期限切れの警告が何日前から始まるかを設定する。
-l 日数パスワードの有効期限後にアカウントがロックされるまでの日数
-E 日数ユーザーアカウントが無効になる日数を設定する。

オプションをつけずにchageコマンドを実行すると、対話モードになります。

ログインの禁止

rootアカウントでコンソールログインを行うだけのシステムでは、一般ユーザーのログインは不要です。

このような場合/etc/nologinファイルを作成しておくとrootアカウントによるログイン以外は禁止されます。

ユーザーの切り替え

常にrootユーザーで作業をすることは好ましくありません。普段は一般ユーザーとして作業し、root権限が必要な時だけrootユーザーとして作業するのが適切です。

suコマンドを使うと、一般的に別のユーザーになることが出来ます。

ユーザー名を省略すると、rootユーザーに変更されてシェルが起動します。

sudo

suコマンドによって一度root権限を取得してしまうと、そのユーザーはrootユーザーが実行できることは何もできてしまいます。

もし、特定の管理者コマンドのみの実行を許可したい場合は、sudoコマンドが利用できます。

sudoコマンドを使えば、任意の管理者コマンドを任意のユーザーに許可することが出来ます。

sudoの設定

sudoコマンドの利用設定をするには、rootユーザーでvisudoコマンドを実行します。

すると、デフォルトのエディタで/etc/sudoersファイルが開かれます。

以下、/etc/sudoersファイルの書式です。

項目説明
ユーザー名コマンドの実行を許可するユーザー名、グループ名、もしくはALL
ホスト名実行を許可するホスト名、IPアドレス、もしくはALL
実行ユーザー名コマンド実行時のユーザー名、もしくはALL
コマンド実行を許可するコマンドのパス、もしくはALL
NOPASSWD:指定すると、コマンド実行時にパスワードを問われない。

sudoの利用

sudoを利用するには、sudoコマンドの引数として、実行したいコマンドを指定します。

オプション説明
-l許可されているコマンドを表示する。
-i変更先ユーザーでシェルを起動する。(ログイン時の処理を行う)
-s変更先ユーザーでシェルを起動する。
-u ユーザーrootではなく指定したユーザーでコマンドを実行する。

システムリソースの制限

複数のユーザーでシステムを使う為、1人のユーザーがシステムメモリを使いきってしまうことを防ぐ為に、ユーザーが利用できるリソースを制限する必要があります。

ulimitコマンドとは、ユーザーが利用できるリソースを制御するコマンドです。

オプション説明
-a制限の設定値をすべて表示する。
-c サイズ生成されるコアファイルのサイズを指定する。
-f サイズシェルが生成できるファイルの最大サイズをブロック単位で指定する。
-n 数同時に開くことのできるファイルの最大数
-u プロセス数ひとりのユーザーが利用できる最大プロセス数を指定する。
-v サイズシェルとその子プロセスが利用できる最大仮想メモリサイズを指定する。

最後まで読んで頂き、ありがとうございました。

他の分野へ移動できる全体ページへは下記リンクから移動できます。