Security Center:パスワードセキュリティの強化

システム

ログインパスワードを変更する手順

Linux

Linuxサーバーにログインし、passwd <UserName> コマンドを実行してログインパスワードを変更します。 コマンドを実行した後、プロンプトに従って新しいパスワードを入力します。

<username> にユーザー名を指定しない場合、現在のユーザーのパスワードが変更されます。

Windows

この例では、Windows server 2019を実行するサーバーのログインパスワードが変更されています。

1. Windowsサーバーにログオンします。 Windowsデスクトップの左下隅にあるアイコンをクリックします。

2. アイコンをクリックします。 [Windowsの設定] ウィンドウで、[アカウント] をクリックします。

3. 左側のナビゲーションウィンドウで、[サインインオプション] をクリックします。

4. プロンプトに従って、サーバーのログインパスワードを変更します。

MySQLデータベース

1. MySQLデータベースにログインします。

2. 次のコマンドを実行して、データベースユーザーに関するパスワード情報を表示します。

   SELECT user, host, authentication_string FROM user;

   説明

   このコマンドは、MySQLデータベースの一部のバージョンでサポートされていない場合があります。 コマンドの実行後にパスワード情報を取得できない場合は、次のコマンドを実行します。

   SELECT user, host, password FROM user; 

3. 次のコマンドを実行して、クエリ結果と弱いパスワードに関するアラート情報に基づいて、特定のユーザーのパスワードを変更します。

   SET PASSWORD FOR '<UserName>'@'<HostName>' = PASSWORD('<NewPassword>'); 

4. flush privileges; コマンドを実行します。

Redisデータベース

1. Redisデータベースにログインし、redis.confファイルを開きます。

2. 次のコマンドを実行して、現在のパスワードを変更するか、パスワードを設定します。

   requirepass <NewPassword>;

   ログインパスワードが設定されている場合、コマンドの実行後にログインパスワードが変更されます。 ログインパスワードが設定されていない場合は、コマンドの実行後にパスワードを設定します。

3. Redisサービスを再起動します。

SQL Serverデータベース

• Linux OS

  SQL Serverデータベースにログインし、次のコマンドを実行してログインパスワードを変更します。

  exec sp_password <OldPassWord >,< NewPassword >,< UserName>

• Windows オペレーティングシステム

  SQL Serverデータベースクライアントにログインし、[セキュリティ] > [ログイン] を選択し、必要なユーザー名を見つけて、弱いパスワードを複雑なパスワードに変更します。

MongoDBデータベース

1. MongoDBデータベースにログインします。

2. use adminコマンドを実行して、ユーザーadminに切り替えます。

3. db.changeUserPassword("<UserName>", "<NewPassword>") コマンドを実行して、データベースのログインユーザー名とパスワードを変更します。

   長さが12文字を超える、数字、大文字、小文字、および特殊文字を含む複雑なパスワードを設定することをお勧めします。

4. ID認証機能を有効にします。

   MongoDBデータベースのmongod.confファイルを開き、security.authorization設定項目をenabledに設定するか、auth設定項目をtrueに設定します。

5. systemctl restart mongodコマンドを実行して、MongoDBサービスを再起動します。

PostgreSQLデータベース

1. PostgreSQLデータベースにログインします。

2. 次のコマンドを実行して、弱いパスワードを変更します。

   ALTER USER <UserName> WITH PASSWORD <NewPassword>;

Tomcat

1. Tomcatサーバーのルートディレクトリに移動し、conf/tomcat-user.xmlファイルを開きます。

2. ユーザーノードのパスワード属性値を複雑なパスワードに変更します。

Rsync

1. rsyncサーバーのrsyncd.confファイルを開きます。

2. secrets file設定項目を見つけ、設定項目内のrsyncd.secretファイルへのパスを取得します。

3. <UserName >:< NewPassword> 形式のrsyncd.secretファイルを編集し、ログオンユーザーのパスワードを複雑なパスワードに変更します。

4. rsyncサービスを再起動します。

SVN

1. Subversion (SVN) リポジトリのディレクトリを開きます。

2. <path>/conf/svnserve.confファイルでpassword-dbを見つけます。

3. password-dbの設定に基づいてパスワード設定ファイルへのパスを見つけ、パスワード設定ファイルのパスワードを指定したパスワードに変更します。 デフォルトでは、パスワード設定ファイルの名前はpasswdです。

4. SVNサービスを再起動します。

vsftpd

• ローカルユーザー

  1. vsftpd.confファイルを開きます。

  2. anonymous_enable設定項目を追加し、設定項目をNOに設定します。 設定項目が既に存在する場合は、設定項目の値をNOに変更します。 これは匿名のログオンを拒否します。

  3. passwd <UserName> コマンドを実行して、FTPサービスを使用するユーザーのパスワードを変更します。

  4. プロンプトに従って、要件を満たす複雑なパスワードを設定します。

• 仮想ユーザー

  1. /etc/vsftpd/login.txtファイルを開きます。

  2. ユーザーのパスワードを変更し、新しいパスワードを保存します。

     このファイルでは、行1はユーザAのユーザ名を含み、行2はユーザAのパスワードを含み、行3はユーザBのユーザ名を含み、行4はユーザBのパスワードを含み、以下同様である。

  3. db_load -T -t hash -f /etc/vsftpd/login.txt /etc/vsftpd/login.dbコマンドを実行します。

  4. /etc/pam.d/vsftpdファイルを編集します。

     db=/etc/vsftpd/loginパラメーターを、auth pam_userdb.soおよびaccount pam_userdb.soを含む行に追加します。 次に、変更を保存します。 以下の図は一例です。

  5. vsftpdサービスを再起動します。

FTP

1. rootユーザーとしてLinuxサーバーにログオンします。

2. 以下のコマンドを実行します。

   passwd ftp <UserName>

3. プロンプトに従って新しいパスワードを入力します。

   すべての認証トークンが正常に更新されましたメッセージが表示された場合、パスワードが変更されます。

InfluxDBデータベース

1. InfluxDBデータベースにログインします。

2. 次のコマンドを実行して、データベースへのログインに使用するアカウントのパスワードを変更します。

   NewPasswordを新しいパスワードに置き換えます。 新しいパスワードは一重引用符 (') で囲む必要があります。

   set password for "<UserName>" = "<NewPassword>" 

JBoss 6およびJBoss 7

• JBoss 6

  1. /conf/props/jmx-console-users.propertiesファイルを見つけて、ファイル内のパスワードを変更します。 新しいパスワードは、<UserName> =<password> 形式である必要があります。

  2. JBoss6サービスを再起動します。

     1. ps -ef | grep jbossコマンドを実行して、JBoss6の現在のプロセスを表示します。

     2. kill -9 process IDコマンドを実行して、プロセスを終了します。

        プロセスIDをJBoss 6のプロセスIDに置き換えます。

     3. 次のコマンドを実行して、JBossサービスを開始します。

        jboss6_pathをJBoss 6のインストールディレクトリに置き換えます。

        jboss6_path/bin/run.sh

• JBoss 7

  1. /configuration/mgmt-users.propertiesファイルを見つけて、パスワードが弱いユーザー名を削除します。

  2. JBossのインストールディレクトリでbin/adduser.shスクリプトを実行します。 次に、プロンプトに従って複雑なパスワードを設定する新しいユーザーを追加します。

ジェンキンス

1. Jenkinsコンソールにログインします。

2. [設定] をクリックし、[設定] ページに移動します。

3. [パスワード] フィールドに新しいパスワードを入力します。

OpenLDAP

1. 次のコマンドを実行して、OpenLDAP管理者のパスワードの値と位置を照会します。

   ldapsearch -H ldapi:// -LLL -Q -Y EXTERNAL -b "cn=config" "(olcRootDN=*)" dn olcRootDN olcRootPW

2. 次のコマンドを実行してパスワードを生成します。

   slappasswd -s <NewPassword>

   コマンドを実行すると、新しいパスワードのハッシュ値が返されます。

3. newpassword.ldifという名前のファイルを作成し、次の内容をファイルに追加します。

   dn: olcDatabase={2}hdb,cn=config changetype: modify replace: olcRootPW olcRootPW: NewHash

   dnを含む行の内容は、ステップ1で実行されるコマンドによって返されるdnの値であり、NewHashの値は新しいパスワードのハッシュ値です。

4. 次のコマンドを実行して、作成したをインポートします。ldifファイル:

   ldapmodify -H ldapi:// -Y EXTERNAL -f newpasswd.ldif

Linux OpenVPN

次の手順を実行して、pwd-fileファイルを編集し、OpenVPNのパスワードを変更します。

1. pwd-fileファイルを見つけます。 ほとんどの場合、ファイルは /etc/openvpnディレクトリに保存されます。

2. クライアント証明書の認証をキャンセルするには、次の文をファイルに追加します。

   client-cert-not-required

3. ファイルに次のステートメントを追加して、ユーザーパスワードスクリプトを有効にします。

   auth-user-pass-verify /etc/openvpn/checkpsw.sh via-env

4. 次の文をファイルに追加して、システムによって生成されるアラートをブロックします。

   script-security  system

5. /etc/openvpn/psw-fileファイルを編集します。 各行はアカウントを表します。 ユーザー名とパスワードをスペースで区切ります。 例：

   cat /etc/openvpn/psw-file 
   abcdocker <NewPassWord>
   abc <NewPassWord>
   test <NewPassWord>

6. 次のコマンドを実行して、checkpsw.shスクリプトを取得します。

   wget http:// openvpn.se/files/other/checkpsw.sh

   説明

   デフォルトでは、checkpsw.shスクリプトは /etc/openvpn/psw-fileファイルからユーザー名とパスワードを読み取ります。

Oracleデータベース

1. Oracleデータベースにログインします。

2. 次のコマンドを実行して、パスワードを変更します。

   alter user <UserName> identified by <NewPassWord>;

pptpd

1. /etc/ppp/chap-secretsファイルを編集します。

2. ユーザー名とパスワードを <username> pptpd <NewPassword> 形式で指定します。

   UserName、pptpd、およびNewPasswordをタブで区切ります。

3. pptpdサービスを再起動します。

Proftpd

次のコマンドを実行し、プロンプトに従って新しいパスワードを入力します。

File_Pathは、関係する仮想ユーザーのファイルパスを指定します。

ftpasswd -- passwd -- name=<UserName> -- change-password -- file=File_Path

RabbitMQ

次のコマンドを実行して、弱いパスワードを変更します。

rabbitmqctl change_password <UserName> '<NewPassword>'

VncServer

1. VNC Serverを無効にして、VNC ServerがインストールされているサーバーのVNC serverのインストールディレクトリに移動します。

   弱いパスワードがrootユーザーに属していない場合は、インストールディレクトリに移動した後にログオンするか、弱いパスワードが属するユーザーに切り替えます。 たとえば、パスワードを変更するユーザーがaliuserの場合、su - aliuserコマンドを実行します。

2. インストールディレクトリからpasswdファイルを削除します。 例: /home/aliuser/.vnc/passwd

3. vncpasswdコマンドを実行してパスワードをリセットします。

   重要

   VNC Serverパスワードの場合、システムはパスワードの最初の8文字のみをチェックします。 たとえば、新しいパスワードをAliyunpasswdに設定した場合、最初の8文字のAliyunpaのみが有効になります。 新しいパスワードが複雑さの要件を満たさない場合、新しいパスワードは解読されるリスクが高くなります。 新しいパスワードが複雑さの要件を満たしていることを確認します。

Weblogic 12c

1. WebLogicコンソールにログインします。

2. 左側のナビゲーションウィンドウで、[セキュリティレルム] > [レルム] > [ユーザーとグループ] > [ユーザー] を選択します。

3. パスワードを変更するユーザーを選択します。

4. [パスワード] タブで、新しいパスワードを入力して確認し、[保存] をクリックします。

5. WebLogicコンソールの左上隅にある [変更センター] セクションに [変更の有効化] が表示されている場合は、[変更の有効化] をクリックします。

6. サーバーにログインし、'% DOMAIN_HOME %/servers/AdminServer/security/boot.propertiesファイルで選択したユーザーのpasswordフィールドの値を変更します。

   新しいパスワードは、WebLogicコンソールで入力したパスワードと同じである必要があります。 パスワードを変更すると、AES暗号化が自動的に有効になります。

7. % DOMAIN_HOME %/bin/stopWeblogic.shコマンドを実行して、WebLogicを安全に停止します。 次に、WebLogicを再起動します。

Activemq

1. activemq_/pathconf/ ディレクトリに移動し、設定ファイルを見つけます。

   activemq_pathは、アプリケーションのインストールパスを指定します。

2. vim jetty-realm.propertiesコマンドを実行して、設定ファイルを編集します。

3. ユーザーを追加または変更します。

   ユーザー名とパスワードを <username>: <NewPassword>,RoleName形式の値に変更します。 RoleNameはロール名を指定します。 例: admin: passwd123!@#, admin

4. 変更が完了したら、変更を保存して終了します。 次に、ActiveMQサービスを再起動します。

Elasticsearch

次のコマンドを実行して、ユーザーのパスワードを変更します。

ES_HOME_PATHはElasticsearchのインストールパスを指定し、passwdは新しいパスワードを指定します。

ES_HOME_PATH/bin/elasticsearch-users passwd <UserName>

サンバ

1. smbpasswd <UserName> コマンドを実行して、ユーザーのパスワードを変更します。

2. プロンプトに従って新しいパスワードを入力します。

Zabbix

1. 管理者アカウントを使用して、Zabbix webインターフェイスにログインします。

2. 上部のナビゲーションバーで、[管理] > [ユーザー] を選択してユーザーを表示します。

3. パスワードを変更するユーザー名をクリックし、[パスワードの変更] をクリックします。

4. 新しいパスワードを入力し、[更新] をクリックします。