 |
|
|
| 前のページ 1 2 3
|
|
| 実際に試してみよう
|
このスクリプトを実行し、正しくメールが届くかどうかを確認しましょう。
/bin/mailauth
メールが送信可能になっており、携帯電話側で受信拒否に設定されていないのであれば、数秒から数十秒でメールが届くはずです。うまくいかない場合はパソコン用のメールアドレスへ送信してみたり、ローカルホストのrootユーザ宛に送信してみるなどして、原因をみつけてください。
受信したメールの本文を見ると、以下のような意味不明な文字列が並んでいるはずです。
<0;5QPF,E/XV?B2]
これがユーザ認証のために使用するワンタイムパスワードです。この文字列を /bin/mailauthを実行した時に表示されたプロンプトに入力してください。正しく入力すればユーザ認証が成功し、シェルが実行されます。
このワンタイムパスワードは /bin/mailauthを実行した時にプログラムの内部で生成され、プログラムが終了すると同時に破棄されます。そのため、第3者がこのワンタイムパスワードを入手できたとしても、このワンタイムパスワードを生成した/bin/mailauthのプロンプトにアクセスできない限り、ユーザ認証に成功することはありません。
では、使い方が理解できたと思うので、実際にアクセス制御を行うためのポリシーの作成をはじめます。/bin/mailauthによるユーザ認証を通過したシェルからeditpolicyを起動し、/bin/mailauthを起動するためのシェル(赤枠の範囲)を学習モードにしてください(図4)。
図4:学習モード用のプロファイルを割り当てる (画像をクリックすると別ウィンドウに拡大図を表示します)
ssh経由でrootユーザとしてログインし、/bin/mailauthを実行してください。メールで送られてきたワンタイムパスワードを入力することで、ユーザ認証を通過します。
/bin/mailauthによるユーザ認証を通過後のシェルからeditpolicyを起動します。そこで、ログインシェルから/bin/mailauthを実行するまでの区間(赤枠の範囲)は行動を制限するためにプロファイル3を、/bin/mailauth から先の区間(青枠の範囲)は従来のシステムのように自由に動けるようにするためにプロファイル0を割り当てます(図5)。
図5:強制モード用のプロファイルを割り当てる (画像をクリックすると別ウィンドウに拡大図を表示します)
ここでは、ログイン直後から/bin/mailauthを実行するまでの区間(赤枠の範囲)だけを制限し、/bin/mailauthから先の区間(青枠の範囲)は制限を設けていないことに注目してください。この状態ではrootユーザとしてログインしているのにもかかわらず、/bin/mailauth(および/bin/bashの開始時に自動実行されるいくつかのコマンド)の実行しか行えません。
今回はログイン後にできるコマンドを/bin/mailauthだけに限定しましたが、管理業務の一部を委託したい場合には、/bin/mailauth以外に許可したいコマンドを赤枠の範囲に加えてください。委託された人は/bin/mailauth を実行してもワンタイムパスワードを入手することができないので、/bin/mailauthによるユーザ認証を通過してシステムを自由に操作することはできません。
|
| まとめ
|
「第3回:TOMOYO Linuxで管理業務を委託」と今回の2回にわたり、TOMOYO Linuxのドメイン遷移を応用した管理業務の一部を別の人に委託する方法と、不正なログインを防止するための方法を紹介しました。
実際のシステムで使う上では、今回触れなかった注意点がいくつかありますが、アイデア次第で様々な使い方ができます。次回は、TOMOYO Linuxの設定を直感的に行うためのGUIエディタについて紹介する予定です。
|
前のページ 1 2 3
|
|
|
|
|
著者プロフィール
NTTデータ先端技術株式会社 半田 哲夫
2001年4月にNTTデータカスタマサービス株式会社に入社して半年後、OJTのためにNTTデータ技術開発本部へ派遣され、Linuxと出会う。2003年度から原田氏と共にTOMOYO Linuxの研究開発を続けている。
|
|
|
|
|
|
