HOMEサンプル問題・例題解説102試験の例題と解説110.2 ホストのセキュリティ設定

102試験の例題と解説

110.2ホストのセキュリティ設定

今回は、102試験の出題範囲から「110.2 ホストのセキュリティ設定」についての例題を解いてみます。

■例題
シャドウパスワードを利用している時に、実際にパスワード情報が格納されているファイルを記述しなさい。


※この例題は実際のLPIC試験とは異なります。

解答と解説

答えは /etc/shadow です。

Linuxが通常使用するユーザアカウント情報は、/etc/passwdに記述されていますが、このファイルはどのユーザでも参照することができます。
パスワードはMD5というアルゴリズムでハッシュ化されているので、すぐにパスワードは分かりませんが、プログラムを使用して時間さえかければパスワードは判明してしまいます。

そこで、パスワードの実体は/etc/shadowファイルに格納しておくのが、シャドウパスワードの仕組みです。/etc/shadowのファイルパーミッションはrootユーザしか読めない仕組みになっています。間違えて書き替えられないようにするため、rootユーザにも書き込み権限は与えられていません。

○/etc/shadowのパーミッションを確認
$ ls -l /etc/shadow
-r-------- 1 root root 1392 7月 26 19:25 /etc/shadow

では、どのようにしてパスワードを書き替えているのでしょうか。

パスワードを変更するコマンドとして、passwdコマンドがあります。このコマンドのパーミッションを見てみましょう。

○/usr/bin/passwdのパーミッションを確認
$ ls -l /usr/bin/passwd
-r-s--x--x 1 root root 21200 8月 22 2005 /usr/bin/passwd
^
|
SUIDされている

このように、SUIDされているのが分かります。つまり、passwdコマンドは実行されるとroot権限で動作します。rootであれば、パーミッションの変更もできますので、強制的な書き込みが可能です。このような一部のSUIDされているプログラムからのみ、/etc/shadowファイルは書き換えが行われるようになっています。

SUIDされたコマンドは、場合によってはパスワードのような重要な情報を読み書きできてしまうので、設定は必要最小限に留める必要があります。

  • 今回の解説について、理解できないポイントがあればどんどん質問を。
  • 採用になった方にはLPI-Japanオリジナルの記念品を贈呈します。
  • ご質問・ご意見はこちら
  • ※上記の解説とその内容については、例題作成者の監修です。
    内容や試験問題に関わるお問い合わせにつきましては、LPI-Japan事務局ではお応えできませんのでご了解ください。

このページのトップへ