|
1.
PAM
PAMとは、共有ライブラリのセットで、プログラムの中でユーザ認証を提供する代替手段となります。
pamUSEフラグは、デフォルトで有効になっています。このように、
Gentoo LinuxにおけるPAMの設定は、本当に合理的なものになっています。しかし、
改善の余地というものは常にあるものです。まずは、
cracklibをインストールしてみましょう。
コード表示 1.1: cracklibをインストールする |
# emerge cracklib
|
コード表示 1.1: /etc/pam.d/passwd |
auth required pam_unix.so shadow nullok
account required pam_unix.so
password required pam_cracklib.so difok=3 retry=3 minlen=8 dcredit=-2 ocredit=-2
password required pam_unix.so md5 use_authtok
session required pam_unix.so
|
これによりcracklibが追加され、ユーザのパスワードは最低8文字で、数字と記号を最低2文字含み、最後に使用したパスワードと3文字以上異なるものになります。
こうしておけば、
ユーザは良いパスワードを選択するよう強制されます(パスワードポリシー)。
詳細なオプションに関しては、
PAMのドキュメントを参照して下さい。
コード表示 1.1: /etc/pam.d/sshd |
auth required pam_unix.so nullok
auth required pam_shells.so
auth required pam_nologin.so
auth required pam_env.so
account required pam_unix.so
password required pam_cracklib.so difok=3 retry=3 minlen=8 dcredit=-2 ocredit=-2 use_authtok
password required pam_unix.so shadow md5
session required pam_unix.so
session required pam_limits.so
|
/etc/pam.d以下のPAMファイルで設定されない全てのサービスには、
/etc/pam.d/otherで定義されるルールが適用されます。
もちろん、デフォルトではdenyに設定されます。但し、
ログを多めに取るのが好みな筆者は、pam_warn.soを追加しています。
最後に触れる設定は、pam_limitsです。これは、
/etc/security/limits.confにより制御されます。
設定に関する詳細は、
(/etc/security/limits.conf)のセクションを参照して下さい。
コード表示 1.1: /etc/pam.d/other |
auth required pam_deny.so
auth required pam_warn.so
account required pam_deny.so
account required pam_warn.so
password required pam_deny.so
password required pam_warn.so
session required pam_deny.so
session required pam_warn.so
|
|
