Linux は海外でクラッカーに非常に人気のある OS です。 したがって,Linux の弱点はクラッカーに知り尽くされています。 しかし,カーネルにセキュリティ関連のバグが見つかれば, あっという間に修正されます。 最近は特に深刻なバグはないと思いますが, 念のため,できるだけ新しいカーネルを使いましょう。
インストールしたばかりの状態では,root のパスワードも設定されていませんので,インターネットに接続するのは無謀です。 まず root のパスワードを設定しましょう。
Slackware では最初からシャドウパスワードになっていますが, そうでないディストリビューションは要注意です (特に不特定多数のユーザがいる場合)。
pwck,grpck コマンドでパスワードファイル,グループファイルの整合性をチェックしましょう。
ネットワーク経由で root でログインされるのを禁止するために, /etc/securetty に ttyp で始まる項目(ttyp0 など)がある場合は,すべて消しておきます。 ネットワーク経由で保守する場合も, 自分のアカウントでログインして, 必要な時だけ root になる方が安全です。
/etc/suauth の サンプル のように
root:ALL EXCEPT GROUP wheel:DENYと書いておき,さらに /etc/group ファイルの wheel の項に
wheel::10:root,okumura,okadaと書いておくと,okumura と okada しかスーパーユーザになれません。さらに,
root:okumura,okada:OWNPASSと書いておくと,okumura と okada だけは自分のパスワードでスーパーユーザになれます。
なお,/etc/login.defs で SU_WHEEL_ONLY no となっているところを yes に直すだけでも同じことができるようです。
このファイルを編集したら, /usr/sbin/inetd を kill -HUP するのを忘れないようにしましょう。
不要なサービスは # でコメントアウトします。 具体的には finger,systat,netstat は不要でしょう。
リモートホストの root にリモートシェル機能を使わせるのは危険なので, 標準ではこの機能を殺してあります。 もしどうしても使いたいなら, /etc/inetd.conf の
shell stream tcp nowait root /usr/sbin/tcpd in.rshd -Lという行の最後に -h というオプションを付けます。 もちろん root のホームディレクトリの .rhosts に rsh を許すホスト名を書いておく必要があります。
古いバージョンを使っていると問題があります。 こちらをご覧下さい。
古い NFS にセキュリティホールがあるという CERT の勧告がありました。 ここ から最新のものが得られます。これを書いている時点では nfs-server-2.2beta37.tar.gz が最新のようです。
rsh,rlogin を置き換えるものです。 パスワードを snoop する人がいる環境では必須。 詳しくは別ページをご覧下さい。
リンクはご自由にどうぞ。
松阪大学 奥村晴彦 okumura@matsusaka-u.ac.jp
Copyright (c) 1998 Haruhiko Okumura. Last modified: Wed Mar 10 11:40:26 1999