※上記の広告は60日以上更新のないWIKIに表示されています。更新することで広告が下部へ移動します。

■昨日  - ■今日  - ■合計  -


Linux Tips セキュリティ編

rootログインを禁止する  2005/11/09

「rootユーザーでのログインは、やめましょう!」
と、セキュリティの本などに書かれています。
なので実際できないようにしましょう。
コンソール画面( CTRL + ALT + F1 ~ F6 で切り替える画面)や
telnetでのログイン時には /etc/securetty ファイルが
利用されています。このファイルの中身を空にすると
rootログインが禁止できます。こんな感じ。
# > /etc/securetty
でも、まだ X での rootログインやsshもできてしまいます。

sshでのrootログインを禁止する    2005/11/11

sshでのrootログインは、/etc/securetty の影響を受けないため
上記設定を行ってもできてしまいます。
ssh接続時にrootログインを禁止するには、/etc/ssh/sshd_config
ファイルの PermitRootLogin を no に設定します。
PermitRootLogin no
後は、sshdを再起動します。
# /etc/rc.d/init.d/sshd restart
これでOK.

X上でのrootログインを禁止する    2005/11/17

X上でのログインは通常(?)、gdmというディスプレイマネージャが使用されています。
gdmの設定ファイルは、/etc/X11/gdm/gdm.conf です。
設定ファイル内に AllowRoot=false とすることにより、rootログインを
禁止することができます。
変更後はgdmを再起動する必要があるため、
# init 3
とし、いったんXを終了し、再度ログイン後
# init 5
とすることによりgdmが再起動し反映することができます。

suコマンドを使用できるユーザーを限定する  2005/11/26

MIRACLE LINUXで採用されている(いた?)suコマンドの
使用制限方法です。PAMという仕組みを使って、wheelグループに
所属するユーザーのみsuコマンドが使用できるようにします。
まず、suコマンドの仕様を許可するユーザーをwheelグループに所属させます。
# usermod -G wheel ユーザー名
その後、/etc/pam.d/suを編集し次の行を有効にします。
 auth required /lib/security/pam_wheel.so use_uid
これで完了です。ちなみに
 auth sufficient /lib/security/pam_wheel.so use_uid
を有効にしてしまうと、wheelグループに所属するユーザーは
パスワードなしでsuコマンドが使用できるようになり、かつ、
一般ユーザーのsuコマンドの制限はかからないので注意しましょう。

ファイルは消せる?  2005/11/28

非常に基本的なことなのですが、ファイルが削除できるかは
そのファイルのアクセス権ではなく、そのファイルが置かれている
ディレクトリのモードで決定されます。
例えば次のような状況では、誰でもroot所有のファイルを
削除することができます。
# chmod 777 /work
# touch /work/testfile
# chmod 400 /work/testfile
上記作業をrootで行います。
/work/testfileは、rootだけが読み取れるファイルとなりますが、
このファイルは一般ユーザーでも削除可能です。
なぜならば、/workに一般ユーザーの書き込み権があるからです。
ただし、一般ユーザーはtestfileの中身を読むことはできません。