[バックナンバーのトップへ] [Linux システム管理のトップへ] いますぐ実践! Linux システム管理 / Vol.056 / 読者数:812名 こんばんは、うすだです。 1週分のお休みをいただきましたが、 その間にいろいろネタを探した…というわけでもなく、 あっという間に黄金週間が終ってしまいました。 普段、休みといえば、だらだら過ごしがちなのですが、黄金週間中は意外にも、 家族であちこち遊びに行っていました。 しかし、遊びに行くのは楽しいのですが、いまは、どこへ行くにもなにをするにも、 お金がかかります。 だから、無料や安いほうがいいんだ、というつもりはありません。 それよりも、潔く、ぽんっとお金を出せるようになりたいと思います。 そのために、最近は、年収を上げよう! と思うようになりました。 しかし、そんなみみっちい目的を他のひとに知られるのも、 なんだかなぁって気がします。 ですので、いまは、ひとに言えるような、大きな夢を探しています。 なんだそりゃって感じですが、今週も、はりきってまいりましょう! 今週のお題 - パスワードチェックを厳しくする パスワードの変更には passwd コマンドを用いる、というのは、 みなさんご存知だと思います。 しかし、ユーザのみなさまに、安易なパスワードをつけられてしまいますと、 セキュリティ上よろしくありません。 われわれシステム管理者が、日々24時間、たゆまず努力している意味が、 なくなってしまいます。 …というのは大げさですが、じゃあなんとかなるのかよってことにはなるわけです。 はい、多少は、なんとかすることができますよ。 というわけで、今週は、パスワードのチェックを厳しくしてみようと思います。 これをうまく活用して、あなたの愛するシステムから、 安直なパスワードを追放してしまいましょう。 (あるいは、今よりも制限を緩くすることもできます…。) 今回は、PAM という仕組みを使います。 具体的には、/lib/security/pam_cracklib.so を使います。 pam_cracklib.so は、RedHat 系のディストリビューションでは普通にあるようですが、 Debian では標準でインストールされないようです。 以下のように、apt などであらかじめ入れておいてください。 # apt-get install libpam-cracklib さて、passwd コマンドでは、PAM というものを使って、 ユーザが入力した新しいパスワードの確認を行います。 具体的な確認内容は、/etc/pam.d/password に記述します。 FedoraCore や VineLinux などでは、以下のようになっています。 auth required pam_stack.so service=system-auth account required pam_stack.so service=system-auth password required pam_stack.so service=system-auth passwd コマンドが参照するのは、最後の行です。 詳しい説明は省略しますが、/etc/pam.d/system-auth を見よ、 と書いてあります。 そして、/etc/pam.d/system-auth の中の、password で始まる行は、 以下のようになっています。(以下は、VineLinux3.2 の場合です。) password requisite /lib/security/$ISA/pam_cracklib.so \ retry=3 type= password sufficient /lib/security/$ISA/pam_unix.so nullok \ use_authtok md5 shadow password required /lib/security/$ISA/pam_deny.so またまた詳しい説明は省略しますが、パスワードの設定や更新の際には、 pam_cracklib.so を用いて確認せよ、と書かれています。 pam_cracklib.so は、現在のパスワードとの差を確認したり、 入力されたパスワードが辞書に含まれたり単純なものでないか確認したりします。 pam_cracklib.so の後の、retry=3 などは、細かい指定を行うための引数です。 この引数を駆使することで、お好みの設定にすることができます。 引数には、主に、以下のようなものがあります。 retry=N N回まで失敗が許されます。 type=XXX プロンプトに使われる文字列。 difok=N 現在のパスワードと N文字以上異なれば許可。 minlen=N パスワードが N文字以上だと許可。 dcredit=-N 数字が N文字以上含まれていれば許可。 ucredit=-N 大文字が N文字以上含まれていれば許可。 lcredit=-N 小文字が N文字以上含まれていれば許可。 ocredit=-N その他の文字が N文字以上含まれていれば許可。 駆け足かつ大雑把にご説明しましたが、なにはともあれ実践! ということで、 試してみましょう。 まずは、パスワードの文字数を、6文字以上に限定してみましょう。 /etc/pam.d/system-auth の pam_cracklib.so の行を、以下のように変更します。 password requisite /lib/security/$ISA/pam_cracklib.so \ retry=3 type= minlen=6 こうすると、パスワードの文字数が6以上でないといけなくなります。 実際には、dcredit などの値と連動していますので、 5文字以下の場合でも許されることがあります。 厳密に minlen 以上にしたい場合は、dcredit などの値を 0 に指定してください。 password requisite /lib/security/$ISA/pam_cracklib.so \ retry=3 type= minlen=6 dcredit=0 ucredit=0 lcredit=0 ocredit=0 次に、現在のパスワードと3文字以上異なり、 大文字が2文字以上含まれるパスワードに限定してみましょう。 同様に、pam_cracklib.so の行を、以下のように変更します。 password requisite /lib/security/$ISA/pam_cracklib.so \ retry=3 type= difok=3 ucredit=-2 大文字ではなく数字にしたければ、dcredit=-2 などとしてください。 以上、簡単ではありますが、パスワードのチェックを厳しくする方法を、 ご紹介しました。 ユーザのみなさまが蜂起しない程度に厳しくして、快適なシステム管理の生活を、 お過ごしください。 ちなみに、Debian の場合も、/etc/pam.d/common-password を以下のようにすれば、 同様の効果が得られます。 (/etc/pam.d/password が、common-password を参照しています。) password required pam_cracklib.so retry=3 type= password sufficient pam_unix.so nullok use_authtok md5 password required pam_deny.so pam_cracklib.so の行の最後に、お好みの設定を加えてください。 宿題の答え 先週の宿題は、 今週のお題で作成したスクリプトを、もう少し柔軟にしてください。 でした。 どんなスクリプトだったかは、先週のを見ていただくとして…。 Vol.055 - メールを集計する http://www.usupi.org/sysad/055.html たとえば、大文字小文字の区別をなくしたければ、以下のようにします。 (以下は、投票だけを集計する Perl スクリプトです。) #!/usr/bin/perl my %sum; while(<>) { chop; if(/^[Vv][Oo][Tt][Ee]\s*=\s*(\S+)/) { if(lc($1) eq "good" || lc($1) eq "bad") { $sum{lc($1)}++; } else { $sum{'other'}++; } } } print "Good: $sum{'good'}\nBad: $sum{'bad'}\n"; print "Other: $sum{'other'}\n"; また、間違ってカウントしてしまわないように、 メールのパターンを複雑にするという手も、ありではないかと思います。 WHOIS の形式を真似て、以下のようなメールを送るようにするとします。 To: vote@usupi.org From: usu@usupi.org Subject: [result] vote a.[Vote] Good b.[Name] 栗描いてるひと c.[Mail] kuri@usupi.org この形式のメールを処理するスクリプトは、以下のようになります。 #!/usr/bin/perl my %sum; while(<>) { chop; if(/^a\.\[[Vv][Oo][Tt][Ee]\]\s*(\S+)/) { if(lc($1) eq "good" || lc($1) eq "bad") { $sum{lc($1)}++; } else { $sum{'other'}++; } } } print "Good: $sum{'good'}\nBad: $sum{'bad'}\n"; print "Other: $sum{'other'}\n"; 最初の if 文の中身が変わっただけですね。 なんだか、ぜんぜん説明になっていませんが、スクリプトを見比べたり、 実際に動かすなどして、確認してみてください。 今週の宿題 今週の宿題は、 一定期間経つと、パスワードを変更しないといけなくなるように、設定 してください。 です。 今週のネタを活用して、安直なパスワードを設定できなくしても、 定期的にパスワード変更する習慣がなければ、その効果も半減してしまいます。 ここは、組織のため会社のためみんなのため、一定期間が経つと、 強制的に変更しないといけなくなるように、設定してみましょう。 そのためには、過去に取り上げた、あのコマンドで設定します。 リンクを載せると、答えを教えてしまうことになりますので、 載せないでおきます。ご了承ください。 あとがき 黄金週間中に、よめから、叱咤激励されました。 あなたは、自分の意志表示をしないので、やりたいことがわからないし、 いろんな決め事をぜんぶひとまかせにしている、と言われました。 たしかに、わたしは末っ子ですので、小さいころから、叱られないようにふるまい、 自分の意見を主張せず、まわりに気を使わせていたように思います。 いまでも、会社で、やれ納期が厳しいだの、仕事が多いだのと文句ばかり言っています。 そのくせ、お客様に直接交渉したり、自分からやりたい事を主張したりせず、 流されるままに、日々の最低限の仕事だけをこなしています。 いや、言われたときは正直どんと落ち込みましたが、おかげで、このままではいかん! という自覚ができました。 これからは、自分の意志で考え、主張するように努力しようと思います。 「地上最強の商人」という本の言葉を借りれば、 これから「私は古い皮膚を脱ぎ捨てて、まったく新しい人間と」なろうと思います。 …気分的にですが。 今週も、ここまで読んでいただき、ありがとうございました。 それでは、また来週に、お会いしましょう! 「いますぐ実践! Linux システム管理」の解除は、以下からできます。 http://www.usupi.org/sysad/ (まぐまぐ ID:149633) バックナンバーは、こちらにほぼ全部そろっています。 http://www.usupi.org/sysad/backno.html 「栗日記」−毎日栗の絵を描いています。今日はこれから描きます。 http://www.usupi.org/kuri/ (まぐまぐ ID:126454) http://usupi.seesaa.net/ [バックナンバーのトップへ] [Linux システム管理のトップへ]

▼ トップ ▼ バックナンバー     [日付順] [目的別] ▼ プロフィール ▼ リンク 独学Linux Linuxデスクトップ環境に関する情報が満載です。 メルマガもありますよ。 Server World CentOS 5 をサーバとしたときの設定例が、これでもかというくらいたくさん載っています。 CentOS以外のディストリビューションや、Solaris10の例も充実しています。 LINUXで自宅サーバーを構築・導入(Fedora8) Fedora8のインストールの仕方から管理方法まで、詳しく載っています。 SearchManには情報がもりだくさんです。 マロンくん.NET 〜サーバ管理者への道〜 Linuxをサーバとして使用するための、いろいろな設定方法が載っています。 マロンくんもかわいいです。 なんといっても、マロンくんという名前がいいですね!! 日本の Linux 情報 日本の、Linux 総本山的なところです。 Linux Square − @IT @ITが提供する、Linux の情報が満載。 載っていない設定方法はないんじゃないでしょうか。 Open Tech Press Linux に限らず、オープンソース関連の記事が網羅されています。 ITmediaエンタープライズ:Linux Tips 一覧 Tips というより FAQ 集でしょうか。わからないことがあれば覗きましょう。 IBM developerWorks : Linux 開発者向けですが、勉強になりますよ。 Yahoo!ニュース - Linux Yahoo!のLinuxに関するニュース一覧です。 システム管理とかと全然関係ありませんが、毎日栗の絵を描いています。 システム管理につかれちゃったとき、癒されたいときに、ご覧ください。:-) ランキングに参加してみました。押してやってください。 ▼ 作ってみました ▼ せんでん ▼ 最近読んだ本 ハリー・ポッターと不死鳥の騎士団 J.K.Rowling   ハリポ月刊なので読み直してます ハリー・ポッターと炎のゴブレット J.K.Rowling   ハリポ月刊なので読み直してます ハリー・ポッターとアズカバンの囚人 J.K.Rowling   ハリポ月刊なので読み直してます ハリー・ポッターと秘密の部屋 J.K.Rowling   ハリポ月刊なので読み直してます ハリー・ポッターと賢者の石 J.K.Rowling   ハリポ月刊なので読み直してます アルケミスト パウロ・コエーリョ   また読んだ 賢者の書 喜多川 泰   違った視点から見られてよかった セキュリティウォリア Cyrus Peikari, Anton Chuvakin   やや冗長…ためにはなりました CORE MEMORY John Alderman, Mark Richards   この筐体でPC作ってほしい! 新訳 星の王子さま サン=テグジュベリ 倉橋 由美子   つまらない大人になったのか… ..... [X] 「センネン画報」 今日 マチ子 「粟津潔 デザインする言葉」 粟津潔 「Binary Hacks」 高林 哲,鵜飼 文敏,佐藤 祐介,浜地 慎一郎,首藤 一幸 「Make: Volume01」 オライリー・ジャパン 「セーラが町にやってきた」 清野 由実 「手紙屋」 喜多川 泰 「Linuxカーネル2.6解読室」 高橋 浩和,小田 逸郎,山幡 為佐久 「人蕩し術」 無能 唱元 「子育てハッピーアドバイス2」 明橋 大二, 太田 知子 「ラッセル幸福論」 B. Russell 「それでも人生にイエスと言う」 Viktor Emil Frankl 「子育てハッピーアドバイス」 明橋 大二, 太田 知子 「考具」 加藤 昌治 「北欧デザイン<3>」 渡部 千春 「北斎の謎を解く」 諏訪 春雄 「体感美術館」 平野 暁臣 「チベット永遠の書」 Theodore Illion 「リナックスの革命」 Pekka Himanen 「人月の神話」 Frederick Phillips,Jr. Brooks 「ヤバい経済学」 Steven D. Levitt, Stephen J. Dubner 「小布施ッション<2001-2002>」 セーラ・マリ カミングス 「アンパンマン伝説」 やなせ たかし 「夢をかなえるゾウ」 水野 敬也 「ゲーム開発者のためのAI入門」 David M. Bourg, Glenn Seemann 「北欧デザイン<2>」 渡部 千春 「北欧デザイン<1>」 渡部 千春 「ヒューマン2.0」 渡辺 千賀 「中国・ロシア同盟がアメリカを滅ぼす日」 北野 幸伯 「超ロング・セラー 絶滅寸前商品」 湯浅 豊彦 「The BUG(ザ・バグ)」 すずき ひろのぶ,かとう みつあき 「デザインのデザイン」 原 研哉 「マキアヴェッリ語録」 塩野 七生 「ハンバーガーを待つ3分間の値段」 斎藤 由多加 「星の旅人-スペイン「奥の細道」-」 黛 まどか 「食品の裏側」 安部 司 「On Lisp」 Paul Graham 「ぼくが医者をやめた理由 つづき」 永井 明 「あなたならどうする?」 Jack Nikolaschka 「セキュアプログラミング−失敗から学ぶ設計・実装・運用・管理」       Mark G. Graff, Kenneth R. van Wyk 「「左利き」は天才？−利き手をめぐる脳と進化の謎」       David Wolman 「自分の中に毒を持て」 岡本 太郎 「アトピーの薬を減らす本」 田中 貴子 「岡本太郎「明日の神話」修復960日間の記録」 吉村 絵美留 「X51.ORG THE ODYSSEY」 佐藤 健寿 「アレルギーっ子の暮らし応援BOOK」 佐藤 のり子 「沖縄文化論」 岡本 太郎 「「伝説の社員」になれ!」 土井 英司 「コンピュータの構成と設計(上)」 Patterson & Hennessy 「カラスのジョンソン」 明川 哲也 「ドリルを売るには穴を売れ」 佐藤 義典 「頭がよくなる照明術」 結城 未来 「クロフォードのインタラクティブデザイン論」 Chris Crawford 「いじめの根を絶ち子どもを守るガイド」 Barbara Coloroso 「非常識のすすめ―逆発想の仏教論」 ひろさちや 「Linuxアドバンストネットワーク構築ガイド - HAサーバ構築編」       デージーネット 「イノベーションの達人!」 Tom Kelly, Jonathan Littman 「クリエーター50人が語る創造の原点」 小原 啓渡 「欺術 - 史上最強のハッカーが明かす禁断の技法」 Kevin Mitnick 「楽しい気象観察図鑑」 武田 康男 「入門 Ajax」 高橋 登史朗 「リリカルな自画像」 岡本 太郎 「やぎの目ゴールデンベスト」 林 雄司 「初めてのPython 第2版」 Mark Lutz,David Ascher 「鼻兎」 小林 賢太郎 「なぜ、これがアートなの?」 Amelia Arenas 「芸術起業論」 村上 隆 「まほう色の瞳」 Enrique Barrios 「ラーメンズつくるひとデコ」 ラーメンズ 「R25 つきぬけた男たち」 R25編集部 「美の呪力」 岡本 太郎 「しろのあお」 上大岡 トメ 「ザ・ゴール」 Eliyahu M. Goldratt 「ハッカーと画家」 Paul Graham 「岡本太郎に乾杯」 岡本 敏子 「Fedore Core Expert」 Software Design 「誰も知らない男」 ブルース・バートン 「子どもが育つ魔法の言葉」 ドロシー・ロー・ノルト 「国家の罠」 佐藤 優 「夜回り先生」 水谷 修 「やぎの目絵日記」 林 雄司 「7つの習慣」 スティーブン・R. コヴィー 「まろ、ん?−大掴源氏物語」 小泉 吉宏 「ザ・サーチ グーグルが世界を変えた」 ジョン・バッテル 「ポストモダン・マーケティング」 スティーブン ブラウン 「機動戦士ガンダムさん」 大和田 秀樹 「小エロのひみつ - Webやぎの目研究発表」 林 雄司 「これ、誰がデザインしたの?」 渡部千春 「60分間・企業ダントツ化プロジェクト」 神田 昌典 「ガルシアへの手紙」 エルバート ハバード 「人生は素晴らしいものだ」 オグ・マンディーノ 「ザ・マインドマップ」 トニー・ブザン,バリー・ブザン 「ワインバーグのシステム思考法」 G.M.ワインバーグ 「渋谷ではたらく社長の告白」 藤田 晋 「渋井真帆の日経新聞読みこなし隊」 渋井 真帆 「コラム息切れ」 小野 法師丸 「早朝起業」 松山 真之介 「変な人が書いた驚くほどツイてる話」 斎藤 一人 「35歳から仕事で大切にしたいこと」 村井 勉 「金融広告を読め」 吉本 佳生 「発想する会社!」 トム・ケリー,ジョナサン・リットマン 「エハイク」 吉田 戦車 「人生の旋律」 神田 昌典 「仕事の思想」 田坂 広志 「CPUの創りかた」 渡波 郁 「非常識な成功法則」 神田 昌典 …これ以前は記録してません… ▼ 気に入ってる本 夢をかなえるゾウ 水野 敬也   いままでで最高の「笑える」成功本 Linuxデバイスドライバ Alessandro Rubini, Jonathan Corbet   ドライバ作らなくてもためになる Firefoxの改造テクニック! 大浦 淳   いま栗日記拡張を考えてます Apacheモジュール プログラミングガイド 小山 浩之   Apacheの中身もわかるよ 図解 実戦マーケティング戦略 佐藤 義典   栗日記も戦略的に行こう! やぎの目ゴールデンベスト 林 雄司   よめも爆笑してました アルケミスト パウロ・コエーリョ   ヘコみそうなとき読みます X51.ORG THE ODYSSEY 佐藤 健寿   X51.ORGの集大成 チベット永遠の書 Theodore Illion   いろんな意味ですごい!! 影響力の武器 ロバート・B・チャルディーニ   思わず納得します