セキュリティ設定

セキュリティ関連の覚書

重複するかもしれませんが、自分用めもですから。

ユーザとグループの変更

NICが1個なんで、外にもろだしすることはないとは思いますが、デフォルトのままでは危険かも。
新たなユーザを登録する替わりにtmp-kunを変更しちゃいます。（途中までtmp-kunで作業してたんで、引っ越しが面倒だったのが本音。）

# groupmod -n newgroup tmp-kun    <--- グループをtmp-kunからnewgroupに変更
# vipw    <--- パスワードファイルのtmp-kunをnewuser（新ユーザ名）に書き換え
# vipw -s    <--- シャドウパスワードファイルのtmp-kunをnewuser（新ユーザ名）に書き換え
# mv /home/tmp-kun /home/newuser    <--- ホームディレクトリを変更

自動起動プロセスの制限

/etc/inetd.conf

telnetとかftpはこちらで起動禁止に

ネットワークのアクセス制限

/etc/hosts.allow

外部からのアクセスをこまめに設定しましょう。

ssh

アクセス制限

/etc/ssh/sshd_config

PermitRootLogin no --- rootでのログイン禁止
PasswordAuthentication no --- パスワードを使わない
ChallengeResponseAuthentication no --- チャレンジレスポンスを禁止

• 全部を設定している訳ではないですが、メモ的に。
  
• サーバ側に公開鍵を置いて自分の方で秘密鍵を持てば、パスワードなしで接続（秘密鍵のパスフレーズは必要）。

ssh-agent

これはクライアント側の設定です。

~/.bashrc ~/.zshrc

以下の設定をログインシェルの起動設定ファイル（.bashrcとか.zshrcとか）に記述。

echo -n "ssh-agent: "
source ~/.ssh-agent-info
ssh-add -l >&/dev/null
if [ $? == 2 ] ; then
    echo -n "ssh-agent: restart...."
    ssh-agent >~/.ssh-agent-info
    source ~/.ssh-agent-info
fi

if ssh-add -l >&/dev/null ; then
    echo "ssh-agent: Identity is already stored."
else
    ssh-add
fi

• 最初にログイン（Macなら1個目のターミナルを起動）したときに1度パスフレーズを入力すれば、後のセッションではパスフレーズが不要になります。（セキュリティ的にはう〜んな部分ではありますが、パスワードを不許可にして秘密鍵＋パスフレーズの方が安全という考えもあるようで。）

telnet-ssl

telnetは削除してもいいのですが、ちょっと実験でtelnet-sslを入れてみます。情報ないですね、これも。ダメなのか？

# aptitude install telnetd-ssl 
# aptitude install telnet-ssl

• 既存のtelnetは削除されます。

/etc/fstab/

none            /dev/pts        devpts  gid=5,mode=622                  0 0

• mode=622にしないと、telnetd: getpty: Permission denied になります。