PAM がアクセスする注目すべき設定ファイルを次に記します。

パスワード選択の制限はpam_unix(8)とpam_cracklib(8)モジュールで実装されています。それらは引数を使って設定します。

	ティップ
	PAMモジュールはファイル名のサフィクスとして".so"を使います。

集中化された軽量ディレクトリーアクセスプロトコル(LDAP)を採用することで多くのネットワーク上のUnix的や非Unix的システムを最新の集中システム管理が実現できます。軽量ディレクトリーアクセスプロトコルのオープンソース実装はOpenLDAPソフトウエアーです。

LDAPサーバーは、libpam-ldapとlibnss-ldapパッケージで提供されるPAMとNSSを使うことでDebianシステムにアカウント情報を提供します。この実現ためにはいくつかの設定が必要です(著者は本設定を使っていないため、次の情報は完全に二次情報です。ご理解の上お読み下さい。)。

libpam-docパッケージで提供されるpam_ldap.conf(5)や"/usr/share/doc/libpam-doc/html/"やglibc-docパッケージで提供される"infolibc'NameServiceSwitch'"といった文書を参照下さい。

同様に、これに代わる集中化されたシステムは他の方法を使っても設定できます。

これはRichard M. Stallmanが書いた昔の"info su"の最後に書かれていた有名な文言です。ご心配は無用です。現在DebianにあるsuはPAMを使っているので"/etc/pam.d/su"の中の"pam_wheel.so"の行をエネーブルすることでsuを使えるのをrootグループに限定できます。

libpam-cracklibパッケージをインストールすると、例えば"/etc/pam.d/common-password"に次のような行があれば、パスワード規則を強化できます。

lennyの場合:

password required pam_cracklib.so retry=3 minlen=9 difok=3
password required pam_unix.so use_authtok nullok md5

squeezeの場合:

password required pam_cracklib.so retry=3 minlen=9 difok=3
password [success=1 default=ignore] pam_unix.so use_authtok nullok md5
password requisite pam_deny.so
password required pam_permit.so

sudoはシステム管理者がユーザーに制限付きのroot権限を与え、そのroot活動を記録するように設計されたプログラムです。sudoはユーザーの通常パスワードだけが必要です。sudoパッケージをインストールし、"/etc/sudoers"の中のオプションを設定することによりアクティベートして下さい。"/usr/share/doc/sudo/examples/sudoersの設定例を参照下さい。

単一ユーザーシステムにおける私のsudoの使い方(see「sudoの設定」)は自分自身の失敗からの防衛を目指しています。sudoを使うことは、常にrootアカウントからシステムを使うよりは良い方法だと個人的には考えます。例えば、次は"<some_file>"の所有者を"<my_name>"に変更します。

$ sudo chown <my_name> <some_file>

rootのパスワード(自分でシステムインストールをしたDebianユーザーなら当然知っています)を知っていれば、どのユーザーアカウントからいかなるコマンドも"su -c"とすればrootもとで実行できます。

セキュリティー強化したLinux(SELinux)は強制アクセス制御(MAC)ポリシーのある通常のUnix的な権限モデルより厳格な枠組みです。ある条件下ではrootの権限すら制限を受けます。

システムのセキュリティーのためにできるだけ多くのサーバープログラムを無効とするのは良い考えです。このことはネットワークサーバーの場合は決定的です。直接デーモンとしてであれスーパーサーバープログラム経由であれ有効にされている使っていないサーバーがあることはセキュリティーリスクと考えられます。

sshd(8)等の多くのプログラムがPAMを使ったアクセスコントロールを使っています。サーバーサービスへのアクセスを制限するには多くの方法があります。

「ランレベル管理例」と「各initスクリプトのデフォールトのパラメーター」と「PAMとNSSによってアクセスされる設定ファイル」と「ネットワークサービスの初期化」と「Netfilterインフラ」を参照下さい。

	ティップ
	NFS他のRPCを使うプログラムためにはSun RPCサービスはアクティブにする必要があります。

	ティップ
	もし現代的なDebianシステムでリモートアクセスで問題に会った場合には、"/etc/hosts.deny"中に"ALL:PARANOID"等の問題となっている設定があればコメントアウトします。(ただしこの種の行為に関するセキュリティーリスクに注意を払わなければいけません。)

多くのトランスポーテーションレイヤーサービスはパスワード認証も含めて暗号化せずにメッセージをプレーンテキストで通信します。途中で傍受されかねないインターネットの荒野を経由して暗号化せずパスワードを送ることは非常によくない考えです。これらに関しては、"トランスポーテーションレイヤーセキュリティー"(TLS)もしくはその前身の"セキュアーソケットレイヤー"(SSL)で暗号化することでパスワードを含むすべての通信をセキュアーにしてサービスができます。

暗号化にはCPUタイムがかかります。CPUに友好的な代替方法として、POPには"パスワードを認証されたポストオフィスプロトコル"(APOP)やSMTPやIMAPには"チャレンジレスポンス認証メカニズムMD5"(CRAM-MD5)といったセキュアーな認証プロトコルでパスワードのみを保護しつつ通信はプレーンテキストですることもできます。(最近メールクライアントからメールサーバーにインターネット経由でメールメッセージを送る際には、CRAM-MD5で認証をしたのちネットワークプロバイダーによるポート25ブロッキングを避けて従来のSMTPポート25の代わりにメッセージサブミッションポート587を使うことがよく行われます。)

セキュアーシェル(SSH)プログラムはセキュアーな認証とともにインセキュアーなネットワークを通過したお互いに信頼し合っていないホスト間のセキュアーで暗号化された通信を可能にします。OpenSSHクライアントssh(1)とOpenSSHデーモンsshd(8)から成り立っています。SSHはポートフォーワーディング機能を使いPOPやXのようなインセキュアープロトコルの通信をインターネット経由でトンネルするのに使えます。

クライアントは、ホストベースド認証、公開鍵認証、チャレンジレスポンス認証、パスワード認証を使って認証をとろうとします。公開鍵認証を利用すると、リモートからのパスワード無しログインができるようになります。「リーモートアクセスサーバーとユーティリティー(SSH)」を参照下さい。

たとえ、セキュアーシェル (SSH)やポイントツーポイントトンネリングプロトコル(PPTP)サーバーのようなセキュアーサービスを走らせる場合でも、ブルートフォースのパスワード推測等による侵入の可能性は残っています。次のようなセキュリティーのためのツールとともに、ファイアーウォールポリシー(「Netfilterインフラ」参照)を使うのはセキュリティー状況を向上させることが期待できます。

あなたの機器に他人がroot権限を持ってアクセスするのを阻止するには、次のアクションが必要です。

ハードディスクへの物理的アクセスがあれば、パスワードをリセットすることは次の手順を使うと比較的簡単です。

grub-rescue-pcの起動時にGRUBのメニュー項目を編集可能(「2段目: ブートローダー」参照)なら、次の手順を使えてさらに簡単です。

これで、システムのrootシェルにパスワード無しに入れるようになりました。

	注記
	rootシェルにアクセスさえできれば、システム上の全てにアクセスできシステム上のどのパスワードでもリセットできます。さらに。johnとかcrackパッケージ(「システムのセキュリティーと整合性のチェック」参照)のようなブルートフォースのパスワードクラッキングツールを使ってすべてのユーザーアカウントのパスワードが破られるかもしれません。こうして破られたパスワードは他のシステムへの侵入を引き起こしかねません。

この様な懸念を回避できる唯一の合理的なソフトウエアー的解決法は、dm-cryptとinitramfs(「データー暗号化ティップ」参照)をつかう、ソフトウエアー暗号化されたルートパーティション(もしくは"/etc" パーティション)を使うことです。でも、パスワードがシステム起動毎に必要になってしまいます。