TOP情報セキュリティ> 実際に操作を学習させよう
TOMOYO Linux
初体験 TOMOYO Linux!

第3回:TOMOYO Linuxで管理業務を委託

著者:NTTデータ先端技術  半田 哲夫   2007/7/3
前のページ  1  2  3  4
実際に操作を学習させよう

   先ほどと同様にexampleユーザとしてsshログインしてから、次のコマンドを実行してください。
/sbin/service httpd restart

   そして、rootユーザとしてログインしなおしてポリシーエディタを起動すると、/sbin/serviceコマンドを実行したことによって図6のように、ドメインが増えていることが確認できます。

許可したい操作を行った後のドメイン遷移
図6:許可したい操作を行った後のドメイン遷移
(画像をクリックすると別ウィンドウに拡大図を表示します)

   この状態で、赤枠の範囲のプロファイルを「1」から「3」に変更してください(図7)。

強制モード用のプロファイルを割り当てる
図7:強制モード用のプロファイルを割り当てる
(画像をクリックすると別ウィンドウに拡大図を表示します)

   これで、赤枠の範囲が強制モードになりました。この状態では、exampleユーザはrootユーザとしてシェルを実行しているのにもかかわらず、Apacheの再起動(および/bin/bashの開始時に自動実行されるいくつかのコマンド)しかできなくなります(図8)。

exampleユーザとしてログインするとアクセスが制限される
図8:exampleユーザとしてログインするとアクセスが制限される
(画像をクリックすると別ウィンドウに拡大図を表示します)

   なお、青枠の範囲は強制モードではないため、従来のrootユーザは自由に行動することができます(図9)。

rootユーザとしてログインするとアクセスは制限されない
図9:rootユーザとしてログインするとアクセスは制限されない
(画像をクリックすると別ウィンドウに拡大図を表示します)


次回はTOMOYO Linuxの認証機能をチェック

   rootユーザでのsshログインはなるべく避けるべきですが、やむを得ずrootユーザでのログインを許可しなければならないケースもあるかと思います。

   TOMOYO Linuxではこの問題に対して、多段階の認証を行うことにより対処しています。この手法は、不正なログインを防止するのに用いることもできます。次回は、その手順について解説します。

前のページ  1  2  3  4


NTTデータ先端技術株式会社 半田 哲夫
著者プロフィール
NTTデータ先端技術株式会社  半田 哲夫
2001年4月にNTTデータカスタマサービス株式会社に入社して半年後、OJTのためにNTTデータ技術開発本部へ派遣され、Linuxと出会う。2003年度から原田氏と共にTOMOYO Linuxの研究開発を続けている。


INDEX
第3回:TOMOYO Linuxで管理業務を委託
  TOMOYO Linuxで管理業務を委託
  ログインシェルを使ったドメイン遷移
  ここが違うTOMOYO Linux
実際に操作を学習させよう