TOP情報セキュリティ> 検問を通るルートを決められる
TOMOYO Linux
初体験 TOMOYO Linux!

第4回:不正なログインを防止する方法
著者:NTTデータ先端技術  半田 哲夫   2007/7/10
前のページ  1  2   3  次のページ
検問を通るルートを決められる

   図3のようにペンギンさんを複数配置すると、果物屋と薬局に行くには検問を1回だけ通ればよく、銀行に行くには3回の検問を通らなければいけないようにすることができます。つまり、買い物を頼みたい人(管理業務の一部を委託したい人)に対して最初の検問を通過する方法を教えたとしても、その人が銀行に寄り道して余計なことをしないようにできる訳です。
TOMOYO Linux の場合
図3:TOMOYO Linux の場合(再掲)

   また、ペンギンさんを複数配置することが役に立つのは、他人に頼みたいことがある場合に限りません。侵入者が正当な利用者のふりをして最初の検問を突破(なりすましによってシステムにログイン)された場合でも、その後に続く第2、第3の検問を突破することはできないので、不正なログイン対策としても利用できるのです。
実現手順

   最初の検問はsshサーバプログラムが行うので、通常はパスワード認証か公開鍵認証のどちらかになります。それに対し、2番目以降の検問はシステム管理者が独自に作成したプログラムに行わせるので、どのような認証方式でも利用できます。

   そこで今回は、携帯電話などにメールで送られてきたワンタイムパスワードを用いた認証を利用することにします。ここでは、sshサービスが動いているサーバから、sendmailサービスなどを利用して携帯電話にメールを送信できる環境を想定しています。

   まず、TOMOYO Linuxツールに含まれているmailauthプログラムを/sbinディレクトリに移動します。

mv /root/ccstools/mailauth /sbin/

   もしrootユーザだけがこのプログラムを使う場合は、/root/ccstoolsディレクトリのままでかまいません。しかしroot以外のユーザも使う場合には、/sbinなど誰もがアクセスできるディレクトリに置く必要があります。

   続いて、/sbin/mailauthコマンドを用いてユーザ認証を行うスクリプトを作成します。エディタを実行し、以下の内容を入力して「/bin/mailauth」で保存し、エディタを終了してください。なお「username@example.com」の部分は皆さんの携帯電話のメールアドレスに読み替えてください。

#! /sbin/mailauth
EXEC_ON_SUCCESS /bin/bash
MAIL_COMMAND mail -s "your password" username@example.com

   今作成した/bin/mailauthを、以下のコマンドで実行可能な状態にします。

chmod a+x /bin/mailauth

前のページ  1  2   3  次のページ

NTTデータ先端技術株式会社 半田 哲夫
 著者プロフィール
NTTデータ先端技術株式会社  半田 哲夫
2001年4月にNTTデータカスタマサービス株式会社に入社して半年後、OJTのためにNTTデータ技術開発本部へ派遣され、Linuxと出会う。2003年度から原田氏と共にTOMOYO Linuxの研究開発を続けている。
INDEX
第4回:不正なログインを防止する方法
  不正なログインを防止する方法について
検問を通るルートを決められる
  実際に試してみよう