(HobNote)Linuxセキュリティ関係

....
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient /lib/security/$ISA/pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth required /lib/security/$ISA/pam_wheel.so use_uid (←ここのコメントを外す)
....

次に/etc/groupのwheelにsuコマンドを使用許可するユーザ名を追記する

....
wheel:x:10:root,user1,user2
....

同じような感じでVineの場合
/etc/groupのwheelにユーザ名を追記する
/etc/pam.d/suに
auth required /lib/security/pam_wheel.so debug group=wheel
を追記する。

これで、suコマンドが使用できるユーザが制限できる。ただし、この場合rootになるためのsuコマンドだけでなく
他のユーザにsuでなることもできない。

▲ ▼

cronの使用制限

cronとは、定期的にスクリプトを実行するサービスで、rootはもちろんユーザごとに設定ができる。
全ユーザがcronを使えるのは、セキュリティ上よくないので
/etc/cron.allowに使用を許可するユーザを書く
もしくは
/etc/cron.denyに使用を制限するユーザを書く

両方のFileがある場合は、/etc/cron.allowが有効になる。

▲ ▼

at,batchの使用制限

atとは、指定した時間に1回スクリプトを実行するサービスで、rootはもちろんユーザごとに設定ができる。
batchとは、システムの平均負荷が、0.8を下まわったときに1回だけタスクを実行できるスケジューラである
全ユーザがatとbatchを使えるのは、セキュリティ上よくないので
/etc/at.allowに使用を許可するユーザを書く
もしくは
/etc/at.denyに使用を制限するユーザを書く

両方のFileがある場合は、/etc/at.allowが有効になる。

▲ ▼

telnetの開始(CentOS5)

CentOS 5でtelnetサービスを開始するには、

1)/etc/xinetd.d/telnet のdisable=yesをnoに変更する

2)rootになってxinetdの再起動を行なう。

#/etc/init.d/xinetd restart

3)/etc/hosts.allowに
in.telnetd:ip addressを書き加える
ここでip addressは、telnetを許可するClientマシンのIP address

4)iptablesでport 23:tcpをopenにする。

▲ ▼

telnetの停止(vine)

vine linuxでtelnetサービスを止めるには、

1)/etc/inetd.confの中の telnet stream....の行をコメントアウトする
2)inetdの再起動を行なう。

#/etc/rc.d/init.d/inet restart
(以下、メッセージ)
Stopping INET services: [ OK ]
Starting INET services: [ OK ]

▲ ▼

BroadCast Pingの無視(CentOS4.4)

NetworkからのBroadCast Pingを無視するには、
rootで/etc/sysctl.confに以下の一行を追記する。

net.ipv4.icmp_echo_ignore_broadcasts = 1

これを有効にするには、コマンドラインより

/sbin/sysctl -p

を実行するか、もしくは、マシンを再起動する。

▲ ▼

ftpの設定(vsftpdの場合)

FTP(File Transfer Protocol)は、名前の如くfileを転送するサービスである。
ftpのソフトの種類には、WU-FTPD、ProFTPD、NcFTPD,vsftpdなどがある。
FedoraCore2には、defaultでvsftpdが入っているのでvsftpdのユーザ制限の設定方法を記す。

vsftpdのユーザ制限は、/etc/vsftpd.ftpusersにユーザ名を記すことで
記載されたユーザがftpを使用できないようになる。

#vi /etc/vsftpd.ftpusers

↓defaultの設定
# Users that are not allowed to login via ftp
root
bin
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody
←ここにftpを使わせたくないユーザ名を追記していく

次に/etc/vsftpd.confを編集する

#vi /etc/vsftpd.conf

anonymous_enable=NO (NO←YES)
xferlog_enable=YES (←コメントアウトを外す)
xferlog_file=/var/log/vsftpd.log (←コメントアウトを外す)
ascii_upload_enable=YES (←コメントアウトを外す)
ascii_download_enable=YES (←コメントアウトを外す)
chroot_list_enable=YES (←コメントアウトを外す)
chroot_list_file=/etc/vsftpd.chroot_list
(↑コメントアウトを外してvsftpd.chroot_listを作ってアカウント名を書く)

編集後、
#/sbin/service vsftpd restart
で
vsftpd を停止中: [ OK ]
vsftpd用のvsftpdを起動中: [ OK ]

と表示されたらOK

▲ ▼

ディスク使用容量の制限-quota-(CentOS4)

ユーザごと、もしくはグループごとにディスクの使用容量を制限するにはquotaを使用する。
quotaを使用するとblock単位、I-node単位での制限が可能になる。

/homeにhomeディレクトリをもっている任意のユーザに対してquotaを有効にする手順は、
(他にユーザがloginしていないことを確認して)

1)/etc/fstabの編集
user単位での制限では、マウントオプションにusrquotaを追加。
group単位での制限では、マウントオプションにgrpquotaを追加。

....
LABEL=/home /home ext3 defaults,usrquota 1 2
....

2)fstabの/home編集箇所を有効(再マウント)する

コマンドラインより

#mount /home -o remount,rw

3)クォータファイル(aquota.user | aquota.group)の作成

コマンドラインより

#/sbin/quotacheck -uv /home

主なオプション

option	discription
u	ファイルシステムのユーザクォータだけチェック
g	ファイルシステムのグループクォータだけチェック
v	詳細表示

4)クォータをONにする

コマンドラインより

#/sbin/quotaon /home

5)ソフトリミットのgrace period(猶予期間)の設定
quotaの機能としてソフトリミット設定とハードリミット設定の2種類があり
ソフトリミットの制限(後述)を超えてからもこの設定期間内は、リミットがかからないというものである。
[この場合(通常であるが)、ソフトリミットの制限容量＜ハードリミットの制限容量]

コマンドラインより

#/usr/sbin/edquota -u -t (オプションuは、ユーザ用、gならばグループ用)

上記のコマンドでviを用いた設定ファイルの編集が可能になりgrace periodを任意に設定できる。
defaultは、7daysでありBlock制限とInode制限を別に編集する。

Grace period before enforcing soft limits for users:
Time units may be: days, hours, minutes, or seconds

Filesystem	Block grace period	Inode grace period
/dev/hdxn	7days	7days

(例：7daysを2weeksに変更するなど)

6)各ユーザ(各グループ)ごとの容量制限の設定

対象ユーザのアカウント名がhumanの場合
コマンドラインより

#/usr/sbin/edquota -u human (オプションuは、ユーザ用、gならばグループ用)

としviを用いた設定ファイルの編集モードに入る

Disk quotas for user human (uid 500):

Filesystem	blocks	soft	hard	inodes	soft	hard
/dev/hdxx	1000(※1)	0	0	100(※1)	0	0

(※1)現在の使用容量もしくはInode数

ここでblocksの後のsoftとhardの項の数値を制限したい値に変更する。
(この設定ファイルでは1block=1024KB換算で行なう)
ファイル数で制限したい場合は、inodesの後のsoftとhardの項の数値を制限したい値に変更する。
また、softの設定値＜hardの設定値の関係で設定を行なうこと。

7)quota状態の確認 quotaのon/offの確認は、コマンドラインより

#/sbin/quotaon -p /home
group quota on /home (/dev/hdxx) is off
user quota on /home (/dev/hdxx) is on

コマンドラインより

#/usr/sbin/repquota

▲ ▼

一般ユーザにshutdownコマンドを許可する-sudo-(Vine2.6,CentOS4)

一般ユーザにsu権限をもたせたくないが、shutdownコマンドは許可するようにするには、
以下の設定をおこなう。

rootになって

#visudo

このコマンドで/etc/sudowersファイルが編集モードで開くのでケースに合わせて編集する

ユーザを指定して許可する場合(ユーザ名がippanという人に対して許可する場合)

ippan  hostname=/sbin/shutdown -h now

を追記して":wq!"で終了。
(hostnameは、localhostじゃだめだったのでホスト名を指定する必要があるようだ)

グループを指定して許可する場合(グループ名がhitobitoというグループに対して許可する場合)

%hitobito  hostname=/sbin/shutdown -h now

を追記して":wq!"で終了
(hostnameは、localhostじゃだめだったのでホスト名を指定する必要があるようだ)

この記述によりsuコマンドの制限でwheel設定をしていてもこのコマンドは、指定したユーザは
使用することができる。

許可された一般ユーザがshutdownを行なうには、コマンドラインより

$sudo /sbin/shutdown -h now
password:     (←パスワードを聞いてくる)

ここで聞いてくる、passwordは、その一般ユーザのものを入力する。

▲ ▼

特定のIPアドレスのみサービスを許可する(ftpd,XDMCP...)-hosts.allow/hosts.deny-(Vine3.4, CentOS4.4)

特定のIPアドレスに対してのみにサービスを許可するには、
/etc/hosts.allow、/etc/hosts.denyにサービスとIPアドレスを記述する。

まず、許可する設定として/etc/hosts.allowに以下のような記述を行なう。

in.telnetd:192.168.10. 192.168.11.  <-192.168.10.xxxの全て、192.168.11.xxxの全てに対しtelnetを許可
in.rlogind:192.168.10. 192.168.11.  <-192.168.10.xxxの全て、192.168.11.xxxの全てに対しrloginを許可
in.proftpd:192.168.10.              <-192.168.10.xxxの全てに対しftpを許可
gdm:192.168.11.11 192.168.12.32     <-192.168.11.11、192.168.12.32に対しXDMCPを許可
sshd:192.168.11.11 192.168.12.36    <-192.168.11.11、192.168.12.36に対しsshを許可
vsftpd:192.168.1.100 192.168.1.200  <-192.168.1.100、192.168.1.200に対しvsftpを許可

次に許可しない設定として/etc/hosts.denyに以下のように設定する

ALL:ALL    <-全てのサービスに対して全てのIPアドレスからのアクセスを許可しない

hosts.allowとhosts.denyは、hosts.allowが優位であるためhosts.denyで許可しない設定にしても
hosts.allowで許可されていればアクセスが可能となる。
また、この設定は、サービスの再起動等は不用で書きこんだ直後からアクセスしてきたIPアドレスに対して
有効になる。

▲ ▼

自分のマシンや同じRouter下の他のマシンのMAC Addressを調べる

まず、自分のマシンのMAC Addressを調べるには、コマンドラインよりifconfigコマンドを入力すると

[host name]$/sbin/ifconfig -a

eth0      Link encap:Ethernet  HWaddr mm:mm:mm:mm:mm:mm  
          inet addr:xxx.xxx.xxx.xxx  Bcast:xxx.xxx.xxx.xxx  Mask:xxx.xxx.xxx.xxx
          ...............
          ...............
          ...............
          ...............

と出力されmm:mm:mm:mm:mm:mmがMAC Addressになる。

次に同じRouter下の他のマシンのMAC Addressを調べるには、pingを打ってARP Tableを以下のようにして調べればいい。

[host name]$ping -c 3 another machine
64 bytes from another machine (xxx.xxx.xxx.xxx): icmp_seq=1 ttl=64 time=0.001 ms
64 bytes from another machine (xxx.xxx.xxx.xxx): icmp_seq=1 ttl=64 time=0.001 ms
64 bytes from another machine (xxx.xxx.xxx.xxx): icmp_seq=1 ttl=64 time=0.001 ms
[host name]$

another machineは、ホスト名でもIP Addressでもいい

ARP Tableの情報を表示させるには、

[host name]$/sbin/arp -a
another machine (XXX.XXX.XXX.XXX) at mm:mm:mm:mm:mm:mm [ether] on ethX
[host name]$

と出力されmm:mm:mm:mm:mm:mmがMAC Addressになる。

▲ ▼

TopPage > Linuxセキュリティ関係