suの実行を制限する

Linuxの初期設定ではどのユーザからでもsuを使用したユーザの切り替えが可能である。
wheelグループに属するユーザのみがsuを実行できるように制限することで、許可されていないユーザの権限昇格を防止することができる。

suの実行制御はPAMにより行われている。
PAMの設定ファイルには下記箇所に集約されている。

/etc/pam.d

suの実行制御を行っているファイルは下記となる。

/etc/pam.d/su

wheelグループのみ権限昇格を許可するには下記行のコメントアウトをはずす。

auth       required     /lib/security/$ISA/pam_wheel.so use_uid

設定は即時に反映されるため、OSの再起動などは不要である。

SSHのアクセス制限

SSH接続の制限は、hosts.denyとhosts.allowを使用して行う。
全てをdenyしておき、許可するものだけhosts.allowで設定する。

  • hosts.deny(アクセス不可条件を設定するファイル )
    #
    # hosts.deny    This file describes the names of the hosts which are
    #               *not* allowed to use the local INET services, as decided
    #               by the '/usr/sbin/tcpd' server.
    #
    # The portmap line is redundant, but it is left to remind you that
    # the new secure portmap uses hosts.deny and hosts.allow.  In particular
    # you should know that NFS uses portmap!
    
    ALL : ALL
  • hosts.allow(アクセス許可条件を設定するファイル)
    preview環境からのみssh接続を許可するようにする。
    #
    # hosts.allow   This file describes the names of the hosts which are
    #               allowed to use the local INET services, as decided
    #               by the '/usr/sbin/tcpd' server.
    #
    
    ALL : 192.168.100.0/255.255.255.0
    
    ## SSH
    sshd : 222.230.141.164
  • sshでのrootログインを許可しない
    [root@centos4 ssh]# vi /etc/ssh/sshd_config
    (変更前)#PermitRootLogin yes
    ↓
    (変更後)PermitRootLogin no
[root@centos4 ssh]# /etc/init.d/sshd restart
sshd を停止中:                                             [  OK  ]
sshd を起動中:                                             [  OK  ]

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2007-09-14 (金) 03:22:01 (6264d)