遠隔ログインを禁止して、サーバの管理は直づけしているキーボードからのみ行う。このようなセキュリティポリシーを徹底させたい場合には、コンソールログイン自体を制限してしまえばよい。
Red Hat Linuxなど多くのRed Hatディストリビューションでは、PAMを利用して認証制御が行われている。この中でも「pam_console.so」というモジュールがコンソールの認証を受け持つものであり、使用しないよう設定すればよい。具体的には、次のように/etc/pam.d/ディレクトリ下を覗き、pam_console.soへの参照をコメントアウトさせよう。
次のように、単にgrepすることで11個所に記述されていることが分かる。
# pwd /etc/pam.d # cat ./*|grep pam_console.so session optional pam_console.so session optional pam_console.so auth required pam_console.so auth required pam_console.so session optional pam_console.so auth required pam_console.so auth required pam_console.so session optional pam_console.so auth required pam_console.so session optional /lib/security/pam_console.so auth required /lib/security/pam_console.so |
また「-l」オプションを指定すると、どのファイル内に記述されているのかも限定できる。
# grep -l pam_console.so * gdm gdm-autologin halt kbdrate login poweroff reboot sshd v4l-conf xdm xserver |
Copyright © ITmedia, Inc. All Rights Reserved.