■昨日 - ■今日 - ■合計 - ■
Linux Tips セキュリティ編
rootログインを禁止する 2005/11/09
「rootユーザーでのログインは、やめましょう!」 と、セキュリティの本などに書かれています。 なので実際できないようにしましょう。 コンソール画面( CTRL + ALT + F1 ~ F6 で切り替える画面)や telnetでのログイン時には /etc/securetty ファイルが 利用されています。このファイルの中身を空にすると rootログインが禁止できます。こんな感じ。 # > /etc/securetty でも、まだ X での rootログインやsshもできてしまいます。
sshでのrootログインを禁止する 2005/11/11
sshでのrootログインは、/etc/securetty の影響を受けないため 上記設定を行ってもできてしまいます。 ssh接続時にrootログインを禁止するには、/etc/ssh/sshd_config ファイルの PermitRootLogin を no に設定します。 PermitRootLogin no 後は、sshdを再起動します。 # /etc/rc.d/init.d/sshd restart これでOK.
X上でのrootログインを禁止する 2005/11/17
X上でのログインは通常(?)、gdmというディスプレイマネージャが使用されています。 gdmの設定ファイルは、/etc/X11/gdm/gdm.conf です。 設定ファイル内に AllowRoot=false とすることにより、rootログインを 禁止することができます。 変更後はgdmを再起動する必要があるため、 # init 3 とし、いったんXを終了し、再度ログイン後 # init 5 とすることによりgdmが再起動し反映することができます。
suコマンドを使用できるユーザーを限定する 2005/11/26
MIRACLE LINUXで採用されている(いた?)suコマンドの 使用制限方法です。PAMという仕組みを使って、wheelグループに 所属するユーザーのみsuコマンドが使用できるようにします。 まず、suコマンドの仕様を許可するユーザーをwheelグループに所属させます。 # usermod -G wheel ユーザー名 その後、/etc/pam.d/suを編集し次の行を有効にします。 auth required /lib/security/pam_wheel.so use_uid これで完了です。ちなみに auth sufficient /lib/security/pam_wheel.so use_uid を有効にしてしまうと、wheelグループに所属するユーザーは パスワードなしでsuコマンドが使用できるようになり、かつ、 一般ユーザーのsuコマンドの制限はかからないので注意しましょう。
ファイルは消せる? 2005/11/28
非常に基本的なことなのですが、ファイルが削除できるかは そのファイルのアクセス権ではなく、そのファイルが置かれている ディレクトリのモードで決定されます。 例えば次のような状況では、誰でもroot所有のファイルを 削除することができます。 # chmod 777 /work # touch /work/testfile # chmod 400 /work/testfile 上記作業をrootで行います。 /work/testfileは、rootだけが読み取れるファイルとなりますが、 このファイルは一般ユーザーでも削除可能です。 なぜならば、/workに一般ユーザーの書き込み権があるからです。 ただし、一般ユーザーはtestfileの中身を読むことはできません。