セキュリティ設定 - Knowlege Database

suの実行を制限する†

Linuxの初期設定ではどのユーザからでもsuを使用したユーザの切り替えが可能である。
wheelグループに属するユーザのみがsuを実行できるように制限することで、許可されていないユーザの権限昇格を防止することができる。

suの実行制御はPAMにより行われている。
PAMの設定ファイルには下記箇所に集約されている。

/etc/pam.d

suの実行制御を行っているファイルは下記となる。

/etc/pam.d/su

wheelグループのみ権限昇格を許可するには下記行のコメントアウトをはずす。

auth       required     /lib/security/$ISA/pam_wheel.so use_uid

設定は即時に反映されるため、OSの再起動などは不要である。

↑

SSHのアクセス制限†

SSH接続の制限は、hosts.denyとhosts.allowを使用して行う。
全てをdenyしておき、許可するものだけhosts.allowで設定する。

hosts.deny(アクセス不可条件を設定するファイル )

#
# hosts.deny    This file describes the names of the hosts which are
#               *not* allowed to use the local INET services, as decided
#               by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow.  In particular
# you should know that NFS uses portmap!

ALL : ALL

hosts.allow(アクセス許可条件を設定するファイル)
preview環境からのみssh接続を許可するようにする。

#
# hosts.allow   This file describes the names of the hosts which are
#               allowed to use the local INET services, as decided
#               by the '/usr/sbin/tcpd' server.
#

ALL : 192.168.100.0/255.255.255.0

## SSH
sshd : 222.230.141.164

sshでのrootログインを許可しない

[root@centos4 ssh]# vi /etc/ssh/sshd_config
（変更前）#PermitRootLogin yes
↓
（変更後）PermitRootLogin no

[root@centos4 ssh]# /etc/init.d/sshd restart
sshd を停止中:                                             [  OK  ]
sshd を起動中:                                             [  OK  ]