セキュリティ設定
http://extstrg.asabiya.net/pukiwiki/index.php?%A5%BB%A5%AD%A5%E5%A5%EA%A5%C6%A5%A3%C0%DF%C4%EAsuの実行を制限する †
Linuxの初期設定ではどのユーザからでもsuを使用したユーザの切り替えが可能である。
wheelグループに属するユーザのみがsuを実行できるように制限することで、許可されていないユーザの権限昇格を防止することができる。
suの実行制御はPAMにより行われている。
PAMの設定ファイルには下記箇所に集約されている。
/etc/pam.d
suの実行制御を行っているファイルは下記となる。
/etc/pam.d/su
wheelグループのみ権限昇格を許可するには下記行のコメントアウトをはずす。
auth required /lib/security/$ISA/pam_wheel.so use_uid
設定は即時に反映されるため、OSの再起動などは不要である。
SSHのアクセス制限 †
SSH接続の制限は、hosts.denyとhosts.allowを使用して行う。
全てをdenyしておき、許可するものだけhosts.allowで設定する。
- hosts.deny(アクセス不可条件を設定するファイル )
# # hosts.deny This file describes the names of the hosts which are # *not* allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # # The portmap line is redundant, but it is left to remind you that # the new secure portmap uses hosts.deny and hosts.allow. In particular # you should know that NFS uses portmap! ALL : ALL
- hosts.allow(アクセス許可条件を設定するファイル)
preview環境からのみssh接続を許可するようにする。# # hosts.allow This file describes the names of the hosts which are # allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # ALL : 192.168.100.0/255.255.255.0 ## SSH sshd : 222.230.141.164
- sshでのrootログインを許可しない
[root@centos4 ssh]# vi /etc/ssh/sshd_config (変更前)#PermitRootLogin yes ↓ (変更後)PermitRootLogin no
[root@centos4 ssh]# /etc/init.d/sshd restart sshd を停止中: [ OK ] sshd を起動中: [ OK ]
Last-modified: 2007-09-14 (金) 03:22:01 (6264d)