いますぐ実践! Linuxシステム管理

[バックナンバーのトップへ] [Linux システム管理のトップへ]


いますぐ実践! Linux システム管理 / Vol.056 / 読者数:812名

こんばんは、うすだです。

1週分のお休みをいただきましたが、 その間にいろいろネタを探した…というわけでもなく、 あっという間に黄金週間が終ってしまいました。

普段、休みといえば、だらだら過ごしがちなのですが、黄金週間中は意外にも、 家族であちこち遊びに行っていました。

しかし、遊びに行くのは楽しいのですが、いまは、どこへ行くにもなにをするにも、 お金がかかります。

だから、無料や安いほうがいいんだ、というつもりはありません。
それよりも、潔く、ぽんっとお金を出せるようになりたいと思います。

そのために、最近は、年収を上げよう! と思うようになりました。
しかし、そんなみみっちい目的を他のひとに知られるのも、 なんだかなぁって気がします。

ですので、いまは、ひとに言えるような、大きな夢を探しています。

なんだそりゃって感じですが、今週も、はりきってまいりましょう!

今週のお題 - パスワードチェックを厳しくする

パスワードの変更には passwd コマンドを用いる、というのは、 みなさんご存知だと思います。

しかし、ユーザのみなさまに、安易なパスワードをつけられてしまいますと、 セキュリティ上よろしくありません。
われわれシステム管理者が、日々24時間、たゆまず努力している意味が、 なくなってしまいます。

…というのは大げさですが、じゃあなんとかなるのかよってことにはなるわけです。 はい、多少は、なんとかすることができますよ。

というわけで、今週は、パスワードのチェックを厳しくしてみようと思います。
これをうまく活用して、あなたの愛するシステムから、 安直なパスワードを追放してしまいましょう。
(あるいは、今よりも制限を緩くすることもできます…。)

今回は、PAM という仕組みを使います。
具体的には、/lib/security/pam_cracklib.so を使います。
pam_cracklib.so は、RedHat 系のディストリビューションでは普通にあるようですが、 Debian では標準でインストールされないようです。
以下のように、apt などであらかじめ入れておいてください。

  # apt-get install libpam-cracklib

さて、passwd コマンドでは、PAM というものを使って、 ユーザが入力した新しいパスワードの確認を行います。
具体的な確認内容は、/etc/pam.d/password に記述します。
FedoraCore や VineLinux などでは、以下のようになっています。

  auth       required     pam_stack.so service=system-auth
  account    required     pam_stack.so service=system-auth
  password   required     pam_stack.so service=system-auth

passwd コマンドが参照するのは、最後の行です。
詳しい説明は省略しますが、/etc/pam.d/system-auth を見よ、 と書いてあります。
そして、/etc/pam.d/system-auth の中の、password で始まる行は、 以下のようになっています。(以下は、VineLinux3.2 の場合です。)

  password    requisite     /lib/security/$ISA/pam_cracklib.so \
  retry=3 type=
  password    sufficient    /lib/security/$ISA/pam_unix.so nullok \
  use_authtok md5 shadow
  password    required      /lib/security/$ISA/pam_deny.so

またまた詳しい説明は省略しますが、パスワードの設定や更新の際には、 pam_cracklib.so を用いて確認せよ、と書かれています。

pam_cracklib.so は、現在のパスワードとの差を確認したり、 入力されたパスワードが辞書に含まれたり単純なものでないか確認したりします。

pam_cracklib.so の後の、retry=3 などは、細かい指定を行うための引数です。 この引数を駆使することで、お好みの設定にすることができます。

引数には、主に、以下のようなものがあります。

  retry=N     N回まで失敗が許されます。
  type=XXX    プロンプトに使われる文字列。
  difok=N     現在のパスワードと N文字以上異なれば許可。
  minlen=N    パスワードが N文字以上だと許可。
  dcredit=-N  数字が N文字以上含まれていれば許可。
  ucredit=-N  大文字が N文字以上含まれていれば許可。
  lcredit=-N  小文字が N文字以上含まれていれば許可。
  ocredit=-N  その他の文字が N文字以上含まれていれば許可。

駆け足かつ大雑把にご説明しましたが、なにはともあれ実践! ということで、 試してみましょう。

まずは、パスワードの文字数を、6文字以上に限定してみましょう。
/etc/pam.d/system-auth の pam_cracklib.so の行を、以下のように変更します。

  password    requisite     /lib/security/$ISA/pam_cracklib.so \
  retry=3 type= minlen=6

こうすると、パスワードの文字数が6以上でないといけなくなります。
実際には、dcredit などの値と連動していますので、 5文字以下の場合でも許されることがあります。 厳密に minlen 以上にしたい場合は、dcredit などの値を 0 に指定してください。

  password    requisite     /lib/security/$ISA/pam_cracklib.so \
  retry=3 type= minlen=6 dcredit=0 ucredit=0 lcredit=0 ocredit=0

次に、現在のパスワードと3文字以上異なり、 大文字が2文字以上含まれるパスワードに限定してみましょう。
同様に、pam_cracklib.so の行を、以下のように変更します。

  password    requisite     /lib/security/$ISA/pam_cracklib.so \
  retry=3 type= difok=3 ucredit=-2

大文字ではなく数字にしたければ、dcredit=-2 などとしてください。

以上、簡単ではありますが、パスワードのチェックを厳しくする方法を、 ご紹介しました。
ユーザのみなさまが蜂起しない程度に厳しくして、快適なシステム管理の生活を、 お過ごしください。

ちなみに、Debian の場合も、/etc/pam.d/common-password を以下のようにすれば、 同様の効果が得られます。
(/etc/pam.d/password が、common-password を参照しています。)

  password   required   pam_cracklib.so retry=3 type=
  password   sufficient pam_unix.so nullok use_authtok md5
  password   required   pam_deny.so

pam_cracklib.so の行の最後に、お好みの設定を加えてください。

宿題の答え

先週の宿題は、

  今週のお題で作成したスクリプトを、もう少し柔軟にしてください。

でした。

どんなスクリプトだったかは、先週のを見ていただくとして…。

Vol.055 - メールを集計する
http://www.usupi.org/sysad/055.html

たとえば、大文字小文字の区別をなくしたければ、以下のようにします。
(以下は、投票だけを集計する Perl スクリプトです。)

  #!/usr/bin/perl
  my %sum;
  while(<>) {
      chop;
      if(/^[Vv][Oo][Tt][Ee]\s*=\s*(\S+)/) {
          if(lc($1) eq "good" || lc($1) eq "bad") {
              $sum{lc($1)}++;
          } else {
              $sum{'other'}++;
          }
      }
  }
  print "Good:  $sum{'good'}\nBad:   $sum{'bad'}\n";
  print "Other: $sum{'other'}\n";

また、間違ってカウントしてしまわないように、 メールのパターンを複雑にするという手も、ありではないかと思います。
WHOIS の形式を真似て、以下のようなメールを送るようにするとします。

  To: vote@usupi.org
  From: usu@usupi.org
  Subject: [result] vote

  a.[Vote]  Good
  b.[Name]  栗描いてるひと
  c.[Mail]  kuri@usupi.org

この形式のメールを処理するスクリプトは、以下のようになります。

  #!/usr/bin/perl
  my %sum;
  while(<>) {
      chop;
      if(/^a\.\[[Vv][Oo][Tt][Ee]\]\s*(\S+)/) {
          if(lc($1) eq "good" || lc($1) eq "bad") {
              $sum{lc($1)}++;
          } else {
              $sum{'other'}++;
          }
      }
  }
  print "Good:  $sum{'good'}\nBad:   $sum{'bad'}\n";
  print "Other: $sum{'other'}\n";

最初の if 文の中身が変わっただけですね。

なんだか、ぜんぜん説明になっていませんが、スクリプトを見比べたり、 実際に動かすなどして、確認してみてください。

今週の宿題

今週の宿題は、

  一定期間経つと、パスワードを変更しないといけなくなるように、設定
  してください。

です。

今週のネタを活用して、安直なパスワードを設定できなくしても、 定期的にパスワード変更する習慣がなければ、その効果も半減してしまいます。
ここは、組織のため会社のためみんなのため、一定期間が経つと、 強制的に変更しないといけなくなるように、設定してみましょう。

そのためには、過去に取り上げた、あのコマンドで設定します。
リンクを載せると、答えを教えてしまうことになりますので、 載せないでおきます。ご了承ください。

あとがき

黄金週間中に、よめから、叱咤激励されました。

あなたは、自分の意志表示をしないので、やりたいことがわからないし、 いろんな決め事をぜんぶひとまかせにしている、と言われました。

たしかに、わたしは末っ子ですので、小さいころから、叱られないようにふるまい、 自分の意見を主張せず、まわりに気を使わせていたように思います。

いまでも、会社で、やれ納期が厳しいだの、仕事が多いだのと文句ばかり言っています。 そのくせ、お客様に直接交渉したり、自分からやりたい事を主張したりせず、 流されるままに、日々の最低限の仕事だけをこなしています。

いや、言われたときは正直どんと落ち込みましたが、おかげで、このままではいかん! という自覚ができました。

これからは、自分の意志で考え、主張するように努力しようと思います。

「地上最強の商人」という本の言葉を借りれば、 これから「私は古い皮膚を脱ぎ捨てて、まったく新しい人間と」なろうと思います。
…気分的にですが。

今週も、ここまで読んでいただき、ありがとうございました。
それでは、また来週に、お会いしましょう!

「いますぐ実践! Linux システム管理」の解除は、以下からできます。
http://www.usupi.org/sysad/ (まぐまぐ ID:149633)

バックナンバーは、こちらにほぼ全部そろっています。
http://www.usupi.org/sysad/backno.html

「栗日記」−毎日栗の絵を描いています。今日はこれから描きます。
http://www.usupi.org/kuri/ (まぐまぐ ID:126454)
http://usupi.seesaa.net/


[バックナンバーのトップへ] [Linux システム管理のトップへ]

トップ

バックナンバー
    [日付順] [目的別]

プロフィール

▼ リンク

独学Linux
Linuxデスクトップ環境に関する情報が満載です。 メルマガもありますよ。
Server World
CentOS 6をサーバとしたときの設定例が、これでもかというくらいたくさん載っています。 CentOS以外のディストリビューション(Fedora, Ubuntu)も充実しています。
LINUXで自宅サーバーを構築・導入(Fedora9)
Fedora9のインストールの仕方から管理方法まで、詳しく載っています。 SearchManには情報がもりだくさんです。
マロンくん.NET
〜サーバ管理者への道〜
Linuxをサーバとして使用するための、いろいろな設定方法が載っています。 マロンくんもかわいいです。 なんといっても、マロンくんという名前がいいですね!!
日経Linux
今や数少なくなってしまったLinuxの雑誌。ニュースやガイドもあります。
Linux Square − @IT
@ITが提供する、Linux の情報が満載。 載っていない設定方法はないんじゃないでしょうか。
gihyo.jp…技術評論社
Linuxに限らず様々な技術情報が満載のサイト。 SoftwareDesign誌も、 ソフトウェア技術者は必見です。
SourceForge.JP Magazine
Linux に限らず、オープンソース関連の記事が網羅されています。
ITmediaエンタープライズ:Linux Tips 一覧
Tips というより FAQ 集でしょうか。わからないことがあれば覗きましょう。
IBM developerWorks : Linux
開発者向けですが、勉強になりますよ。
Yahoo!ニュース - Linux
Yahoo!のLinuxに関するニュース一覧です。
栗日記
システム管理とかと全然関係ありませんが、毎日栗の絵を描いています。
システム管理につかれちゃったとき、癒されたいときに、ご覧ください。:-)
WEB RANKING - PC関連
ランキングに参加してみました。押してやってください。

▼ 作ってみました

Add to Google

▼ せんでん




▼ 最近読んだ本

▼ 気に入ってる本