suの実行を制限する

Linuxの初期設定ではどのユーザからでもsuを使用したユーザの切り替えが可能である。
wheelグループに属するユーザのみがsuを実行できるように制限することで、許可されていないユーザの権限昇格を防止することができる。

suの実行制御はPAMにより行われている。
PAMの設定ファイルには下記箇所に集約されている。

/etc/pam.d

suの実行制御を行っているファイルは下記となる。

/etc/pam.d/su

wheelグループのみ権限昇格を許可するには下記行のコメントアウトをはずす。

auth       required     /lib/security/$ISA/pam_wheel.so use_uid

設定は即時に反映されるため、OSの再起動などは不要である。

SSHのアクセス制限

SSH接続の制限は、hosts.denyとhosts.allowを使用して行う。
全てをdenyしておき、許可するものだけhosts.allowで設定する。

  • hosts.deny(アクセス不可条件を設定するファイル ) 
    #
# hosts.deny    This file describes the names of the hosts which are
#               *not* allowed to use the local INET services, as decided
#               by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow.  In particular
# you should know that NFS uses portmap!

ALL : ALL
  • hosts.allow(アクセス許可条件を設定するファイル)
    preview環境からのみssh接続を許可するようにする。 
    #
# hosts.allow   This file describes the names of the hosts which are
#               allowed to use the local INET services, as decided
#               by the '/usr/sbin/tcpd' server.
#

ALL : 192.168.100.0/255.255.255.0

## SSH
sshd : 222.230.141.164
  • sshでのrootログインを許可しない 
    [root@centos4 ssh]# vi /etc/ssh/sshd_config
(変更前)#PermitRootLogin yes
↓
(変更後)PermitRootLogin no
[root@centos4 ssh]# /etc/init.d/sshd restart
sshd を停止中:                                             [  OK  ]
sshd を起動中:                                             [  OK  ]
トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2007-09-14 (金) 03:22:01 (6063d)