セキュリティ設定
すくるど研究所 作業記録
玄箱 > セキュリティ設定
セキュリティ関連の覚書
重複するかもしれませんが、自分用めもですから。
ユーザとグループの変更
NICが1個なんで、外にもろだしすることはないとは思いますが、デフォルトのままでは危険かも。
新たなユーザを登録する替わりにtmp-kunを変更しちゃいます。(途中までtmp-kunで作業してたんで、引っ越しが面倒だったのが本音。)
# groupmod -n newgroup tmp-kun <--- グループをtmp-kunからnewgroupに変更 # vipw <--- パスワードファイルのtmp-kunをnewuser(新ユーザ名)に書き換え # vipw -s <--- シャドウパスワードファイルのtmp-kunをnewuser(新ユーザ名)に書き換え # mv /home/tmp-kun /home/newuser <--- ホームディレクトリを変更
自動起動プロセスの制限
- /etc/inetd.conf
- telnetとかftpはこちらで起動禁止に
ネットワークのアクセス制限
- /etc/hosts.allow
- 外部からのアクセスをこまめに設定しましょう。
ssh
アクセス制限
- /etc/ssh/sshd_config
- PermitRootLogin no --- rootでのログイン禁止
PasswordAuthentication no --- パスワードを使わない
ChallengeResponseAuthentication no --- チャレンジレスポンスを禁止
- 全部を設定している訳ではないですが、メモ的に。
- サーバ側に公開鍵を置いて自分の方で秘密鍵を持てば、パスワードなしで接続(秘密鍵のパスフレーズは必要)。
ssh-agent
これはクライアント側の設定です。
- ~/.bashrc ~/.zshrc
- 以下の設定をログインシェルの起動設定ファイル(.bashrcとか.zshrcとか)に記述。
echo -n "ssh-agent: " source ~/.ssh-agent-info ssh-add -l >&/dev/null if [ $? == 2 ] ; then echo -n "ssh-agent: restart...." ssh-agent >~/.ssh-agent-info source ~/.ssh-agent-info fi if ssh-add -l >&/dev/null ; then echo "ssh-agent: Identity is already stored." else ssh-add fi
- 最初にログイン(Macなら1個目のターミナルを起動)したときに1度パスフレーズを入力すれば、後のセッションではパスフレーズが不要になります。(セキュリティ的にはう〜んな部分ではありますが、パスワードを不許可にして秘密鍵+パスフレーズの方が安全という考えもあるようで。)
telnet-ssl
telnetは削除してもいいのですが、ちょっと実験でtelnet-sslを入れてみます。情報ないですね、これも。ダメなのか?
# aptitude install telnetd-ssl # aptitude install telnet-ssl
- 既存のtelnetは削除されます。
- /etc/fstab/
none /dev/pts devpts gid=5,mode=622 0 0
- mode=622にしないと、telnetd: getpty: Permission denied になります。
最終更新時間:2007年09月27日 12時19分23秒