QA@IT

サーバーのrootパスワードはどの程度の頻度で変更すべきですか?

4906 PV

サーバーの管理者が何人かいて、その全員がサーバーのrootパスワードを知っています。この場合、rootパスワードを定期的に変更しないと危険な気がしますが、どの程度の頻度で変更すべきでしょうか?

回答

確かにrootパスワードを複数の管理者が知っている状況は危険です。このため、sudoを使う運用に変更することをお勧めします。
rootパスワードの運用には以下の問題があります。

・rootが万能の権限を持つため、管理者に不要な権限を与えてしまう可能性
・rootのパスワードを複数の管理者が知っているため、誰がroot操作をしたのか分からなくなる

前者は、need to knowの原則に対する違反と考えられます。この原則は、権限を必要な人に必要なだけの最小権限を与えるという考え方です。権限を最低限のものにすることで、不正が発生するリスクを最低限に抑止できます。
後者は、一人1IDの原則に対する違反です。一人が複数のアカウントを持ち、かつrootパスワードを複数人が持つことにより、不正行為があった場合に、誰がその操作をしたのか追跡が困難になり、不正行為に対する抑止効果が働きにくくなります。
加えて、管理者が職場異動や退職により管理者でなくなった後でも、rootパスワードを知ったままの状態が継続します。(退職後の)元社員がrootパスワードを知っている状況は大変危険であり、そのような元社員による不正アクセス事例はたびたび報告されています。

sudoによる運用にすると、上記のすべてを解消・改善できます。管理者が退職した際には、その管理者のアカウントを削除するだけで、サーバーにログインすることはできなくなります。退職でなく異動などにより管理者でなくなった場合は、sudoの設定を削除すれば、管理者作業はできなくなります。

しかし、何らかの理由でsudoによる運用が困難であり、rootパスワードを複数の管理者が知っている状況を許容せざるを得ない場合もあるでしょう。
この場合は、管理者の一人が異動や退職によりサーバー管理者でなくなったタイミングで、rootパスワードを変更します。「定期的なパスワード変更」では、「rootパスワードを知っている元管理者」が存在する期間ができることになり、危険です。

まとめると以下の通りです。

・複数の管理者がrootパスワードを知っている状況が危険なのでsudoによる運用に変える
・sudoによる運用が困難な場合は、パスワード変更のルールを決める。具体的には、管理者の異動・退職の際に、即時にrootパスワードを変更する

編集 履歴 (0)
ウォッチ

この質問への回答やコメントをメールでお知らせします。