RedHawk Linux User's Guide version 6.3 日本語版

RedHawk Linux User’s Guideサービス 13PAMを 使 用 する 各 々のプログラムはそれ 自 身 の「サービス」 名 称 を 定 義 します。loginプログラムはサービス・タイプをlogin と 定 義 し、ftpdはサービス・タイプをftp と 定 義 します。 一 般 的 にサービス・タイプはサービスへアクセスするために 利 用 されるプログラムの 名 称 で、(もしそれが異 なる 場 合 は)サービスを 提 供 するためにプログラムは 利 用 されません。ロール・ベース・アクセス 制 御 13RedHawk Linuxのロール・ベース・アクセス 制 御 はPAMを 使 って 実 行 されます。ロール・ベース・アクセス 制 御 スキームでは、capability.conf(5)ファイル 内 に 一 連連 のロール( 役 割 )を 設 定 します。ロールは 有 効 なLinuxケーパビリティ 一 式 として 定 義 されます。 現 在 の 全 ての 有 効 なLinuxケーパビリティは/usr/include/linux/capability.hカーネル・ヘッダ・ファイルの 中 、または_cap_names[] 文 字 配郤 列 の 使 用 により 見 ることが 可 能 です。これらは 付 録 Cで 更 に 詳 しく 説 明 されています。一 旦 ロールを 定 義 するとそれはその 次 のロールのケーパビリティの1つとして 使 用 されるという点 では、ロールは 積 み 木 のように 作 用 します。このように 新 たに 定 義 されたロールは、 以 前 に 定義 されたロールのケーパビリティを 継 承 します。この 機 能 の 例 は 後 述 されています。 詳 細 な 情 報についてはcapability.conf(5)のmanページを 参 照 して 下 さい。一 旦 役 割 を 定 義 したら、それはcapability.conf(5)ファイル 内 のユーザーまたはグループへ 割 り 当てられます。ユーザーは、 現 在 のシステムのログインで 有 効 なユーザーと 一 致 する 標 準 Linuxユーザーのログイン 名 です。グループは、 現 在 のシステムで 定 義 されている 有 効 なグループと 一 致 する 標 準 Linuxグループ 名 称 です。/etc/pam.dにあるファイルは、ユーザーがシステムへログインするために 使 用 することが 可 能 なサービスに 対 応 します。これらのファイルはpam_capabilityセッション 行 (pam_capabilityセッション 行 をサービス・ファイルへ 追 加 する 例 は「 例 」セクションで 後 述 )を 含 めて 変 更 される 必 要があります。 例 :/etc/pam.d/login (または/etc/pam.d/remote)ファイルは、telnetを 介 してのログインをカバーするのに 良 い 候 補 です。もしユーザーが 変 更 されていないサービスを 使 いシステムへログインする 場 合 、 特 別 なケーパビリティの 割 り 当 ては 行 われません。NOTE: もしケーパビリティが 使 用 される 場 合 、/etc/pam.d/suファイルは、su -l nobody daemonのような 呼 び 出 しがnobodyユーザーに 対 してケーパビリティの 一 覧 だけをdaemon へ与 え、 呼 び 出 しユーザーからは 余 分 なケーパビリティは 与 えられないことを 確 実 に 行 うセキュリティ 措 置 として 修 正 される 必 要 があります。以 下 のオプションは、/etc/pam.dのファイルにpam_capabilityセッション 行 が 供 給 する 時 に 指 定することが 可 能 です:conf=conf_filedebug構 成 ファイルの 場 所 を 指 定 します。もしこのオプションが 指 定 されない 場 合 、 既 定 の 場 所 は/etc/security/capability.confとなります。syslogを 介 してデバッグ 情 報 をロギングします。デバッグ 情 報 はsyslog authprivクラスに 記 録 されます。 通 常 、このログ 情 報 は/var/log/secureファイルに 集 められます。13-2