起動サービス設定
 不要ユーザ削除
 不要グループ削除
 パスワードセキュリティ
 sudo
 ファイルの管理

  起動サービスの設定
 ・起動スクリプトファイルの確認
 ・起動スクリプトファイルにリンクするファイルの確認
 ・起動させない。
 ・CUI(サービスに対するアクセスの制御の)ツールを使用

 不要ユーザの削除
 ・lp、news、uucp、games、gopher、(ftp)、dip

 不要グループの削除
 ・lp、news、uucp、games、gopher、(ftp)、dip

 パスワードのセキュリティ
 ・パスワードの生成ツール(mkpasswd)
パッケージのインストール(expectの追加)
 ・パスワードの管理ツール(例:秀丸のパスワード総合管理(シュアウェア))
 ・パスワードの一括変更(リダイレクションを用いてコマンドを実行)
# chpasswd < xxxx.txt
 ・POPユーザー(メールしか使わない)にシェルを与えない。
# useradd user01 -s /dev/null
(ログインシェルw定(オプション-s)を「/dev/null」に指定)
パスワードファイル「/etc/passwd」を編集してシェルを変更してもよい)
 ・既存ユーザーのシェルを変更
# usermod -s /dev/null user01      (ログインシェルを「/dev/null」に変更)
 ・パスワードファイル「/etc/passwd」の編集
 ・シャドーパスワードの使用(「/etc/passwd」にないオプションを設定できる)
(パスワードファイル「/etc/passwd」の第2項が「x」を確認)
「/etc/passwd」のパーミッションは644
「/etc/shadow」のパーミッションは400
# useradd user01 -e 2015-12-31
「chage」コマンド:シャドーパスワード特有の設定を行う。
「pwunconv」コマンド:「/etc/shadow」から「/etc/passwd」へ変換
(「/etc/shadow」ファイル削除)
「pwconv」コマンド:「/etc/passwd」から「/etc/shadow」へ変換

 sudoの利用(選ばれた登録ユーザーに特権コマンドを使わせる)
 ・パスワードの生成ツール(mkpasswd)
ダウンロード、インストール(RPMパッケージなど)
設定(「/etc/sudoers」、文法チェックも行う場合はvisudoコマンド使用)

 ファイルの管理
 ・グループの管理
ユーザープライベートグループ(UPG)
自分専用のグループ(UPG)をもつ。
ホームディレクトリの所有グループをUPGにする。
すべてのユーザーのumaskを002にする。
 ・特殊なファイルパーミッションの管理
SUID(SetUserID)フラグがセットされているファイル
ファイル所有者のIDでプログラムを実行
(バッファオーバーフローを発生するバグがある場合、rootで実行したい。
コードをバッファに埋め込んで実行のされる危険を含む。)
SUIDビットがセットされているファイルの確認
# find / -perm +4000
SGID(SetGroupID)フラグがセットされているファイル
グループIDでプログラムを実行
SGIDビットがセットされているファイルの確認
コードをバッファに埋め込んで実行のされる危険を含む。)
# find / -perm +2000
Stickyビットがセットされているファイル
rootとオーナー以外のユーザーから削除できない。
Stickyビットがセットされているファイルの確認
# find / -perm +1000
chattrコマンドの使用
rootでも削除できない
ログファイルの属性変更

 プログラム追加
 ・運用を考慮し、パッケージを使用する。
 ・ソース取得
 ・コンパイル
 ・パッケージ化
適合するパッケージを取得できる場合は、それを使う。
パッケージ化が出来ない場合は、できるまで、そのまま使用
 ・パッケージ管理
RPM、APTなど