Index ソフト・ハード Linuxタスク | ホスト セキュリティ |
起動サービス設定 不要ユーザ削除 不要グループ削除 パスワードセキュリティ sudo ファイルの管理 |
起動サービスの設定 ・起動スクリプトファイルの確認 ・起動スクリプトファイルにリンクするファイルの確認 ・起動させない。 ・CUI(サービスに対するアクセスの制御の)ツールを使用 不要ユーザの削除 ・lp、news、uucp、games、gopher、(ftp)、dip 不要グループの削除 ・lp、news、uucp、games、gopher、(ftp)、dip パスワードのセキュリティ ・パスワードの生成ツール(mkpasswd) パッケージのインストール(expectの追加)・パスワードの管理ツール(例:秀丸のパスワード総合管理(シュアウェア)) ・パスワードの一括変更(リダイレクションを用いてコマンドを実行) # chpasswd < xxxx.txt・POPユーザー(メールしか使わない)にシェルを与えない。 # useradd user01 -s /dev/null (ログインシェルw定(オプション-s)を「/dev/null」に指定) パスワードファイル「/etc/passwd」を編集してシェルを変更してもよい)・既存ユーザーのシェルを変更 # usermod -s /dev/null user01 (ログインシェルを「/dev/null」に変更)・パスワードファイル「/etc/passwd」の編集 ・シャドーパスワードの使用(「/etc/passwd」にないオプションを設定できる) (パスワードファイル「/etc/passwd」の第2項が「x」を確認) 「/etc/passwd」のパーミッションは644 「/etc/shadow」のパーミッションは400 # useradd user01 -e 2015-12-31 「chage」コマンド:シャドーパスワード特有の設定を行う。 「pwunconv」コマンド:「/etc/shadow」から「/etc/passwd」へ変換 (「/etc/shadow」ファイル削除) 「pwconv」コマンド:「/etc/passwd」から「/etc/shadow」へ変換sudoの利用(選ばれた登録ユーザーに特権コマンドを使わせる) ・パスワードの生成ツール(mkpasswd) ダウンロード、インストール(RPMパッケージなど) 設定(「/etc/sudoers」、文法チェックも行う場合はvisudoコマンド使用)ファイルの管理 ・グループの管理 ユーザープライベートグループ(UPG) 自分専用のグループ(UPG)をもつ。 ホームディレクトリの所有グループをUPGにする。 すべてのユーザーのumaskを002にする。・特殊なファイルパーミッションの管理 SUID(SetUserID)フラグがセットされているファイル ファイル所有者のIDでプログラムを実行 (バッファオーバーフローを発生するバグがある場合、rootで実行したい。 コードをバッファに埋め込んで実行のされる危険を含む。) SUIDビットがセットされているファイルの確認 # find / -perm +4000 SGID(SetGroupID)フラグがセットされているファイル グループIDでプログラムを実行 SGIDビットがセットされているファイルの確認 コードをバッファに埋め込んで実行のされる危険を含む。) # find / -perm +2000 Stickyビットがセットされているファイル rootとオーナー以外のユーザーから削除できない。 Stickyビットがセットされているファイルの確認 # find / -perm +1000 chattrコマンドの使用 rootでも削除できない ログファイルの属性変更プログラム追加 ・運用を考慮し、パッケージを使用する。 ・ソース取得 ・コンパイル ・パッケージ化 適合するパッケージを取得できる場合は、それを使う。 パッケージ化が出来ない場合は、できるまで、そのまま使用・パッケージ管理 RPM、APTなど |
All Rights Reserved. Copyright (C) ITCL |