Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第6章 セキュリティと認証

pam_cracklib の追加のパスワードチェック

Red Hat Enterprise Linux 5.9 では、maxclassrepeat オプションおよび gecoscheck オプションへの対応がバックポートされ pam_cracklib モジュールに追加されました。 これらのオプションは、ユーザーが入力する新しいパスワードのプロパティをチェックしたり、パスワードが指定された制限を満たさない場合は拒否するために使用します。maxclassrepeat オプションは、同一の文字クラス (小文字、大文字、その他の文字) を連続して使用できる最大文字数を制限します。gecoscheck オプションは、 新しいパスワードを入力しているユーザーの /etc/passwd エントリ内の GECOS フィールドにある単語 (空白で区切られた文字列) が、 その入力しているパスワードに含まれているかどうかを確認します。 詳細については、pam_cracklib(8) の man ページを参照してください。BZ#809247

M2Crypto の IPv6 サポート

m2crypto パッケージが提供するライブラリにより、 プログラムは Python スクリプトから OpenSSL 関数を呼び出すことができます。 この m2crypto が IPv4 および IPv6 いずれとでも動作するよう HTTPS 実装を修正する更新が行われています。 また、M2Crypto.SSL.Connection オブジェクトに IPv6 ソケットを作成するよう指示できるようになりました。BZ#761596

sudoer エントリ検索時のマッチの正式な処理方法

sudo ユーティリティは、sudoers エントリを /etc/nsswitch.conf ファイルで参照して、ファイルまたは LDAP 内を検索します。以前は、sudoers エントリの 1 番目のデータベース内にマッチがあったとしても、検索動作は他のデータベース (ファイルも含め) でも引き続き続行しました。Red Hat Enterprise Linux 5.9 では、/etc/nsswitch.conf ファイルにオプションが追加され、ユーザーはデータベースを指定できるようになりました。これで、sudoers エントリのマッチが見つかるため、他のデータベースをクエリする必要がなくなり、大規模な環境での sudoers エントリ検索のパフォーマンスが向上します。この動作はデフォルトでは有効ではないため、選択したデータベースの後に [SUCCESS=return] の文字列を追加して設定する必要があります。この文字列の直前にくるデータベース内に一致がある場合は、他のデータベースはクエリされません。840097