セキュリティは非常に困難で困難なトピックですが、サーバサイドの作業を担当するすべての人が基本的な手順を知っておく必要があります。キャメロンはあなたのユーザーアカウントを清潔で安全にするいくつかの方法を概説します。セキュリティは大きな問題です。注意しないと、上司が本当に用務員が年間予算を見られないようにしたいときは、結局、彼がそれを必要としていると思うでしょう。セキュリティの利点を理解するコンピューティングセキュリティのあらゆる面でこの傾向に追いつくのがいかに困難であっても、体系的に習得するのに十分成熟した分野がいくつかあります。 Linuxサーバーを使っている人にとって、私が彼に学ぶことを最初に勧めているのはアカウント管理です。ユーザの注意Linuxの管理とプログラミングに関する最初の本の多くには、ユーザ管理またはアカウント管理に関する章があります。その意味は非常に明確です。ホストを使用する人々のために、コンピューティングアカウントとグループの関係をどのように設定し維持するかです。当時は、「使用」は「ログイン」を意味していました。アカウント管理の仕事は、useradd、chshなどのコマンドを使用して、同じ部門の同じ大多数の開発者を持つユーザーグループが使用するようにLinuxアカウントを設定することです。 /etc /passwdとそのAPIはLinuxの専門家の焦点です。 //この記事は、複製されたコンピュータソフトウェアおよびハードウェアアプリケーションネットワークwww.45it.comから来ています、時代は長い間過去のものであったことを示してください、ほとんどのサーバーへの私の最初の提案は/etc /passwdの大部分をクリアすることです。私が言っているのは、歴史的な理由から、ほとんどの電子メールサーバー、Webサーバー、ファイルサーバーなどは、/etc /passwdを使用してユーザーアクセスを管理しているということです。これは通常間違いだと思います。以前は、1ダース以上のエンジニアがハイエンドワークステーションを共有するのが賢明な方法でした。しかし、Eメールサーバーが何万ものユーザーを処理しなければならない場合(伝統的な/etc /passwdメソッドはエラーを起こすことがほとんどです)。 。 /etc /passwdに頼ることはもちろん可能です。それは意外な仕事量を扱うために十分な修理と調整を受けました。しかし、そうである必要はありません。ユーザーアカウントをLDAP(ライトウェイトディレクトリアクセスプロトコル)やRDBMS(リレーショナルデータベース管理システム)データストレージなどの専用データストアに移動すると、スケーラビリティ、セキュリティ、およびメンテナンスの恩恵を受けることができます。 /etc /passwdを、本当にログインする必要がある少数の開発者および管理者だけに制限します。サービス(電子メール、Webなど)のユーザーの忙しさは開発者のそれとは全く異なるので、このやり方はセキュリティの面で大きな利点があります。新しいサーバーを設定したら、その/etc /passwdを頻繁に変更しないでください。更新されているかどうか、特に改ざんされているかどうかを監視するのは簡単な作業です。ただし、もっと大規模なサーバーを運用している場合は、毎日いくつかの新しい有効期限切れの電子メールアカウントが変更されます。これらのアカウントは、/etc /passwdによって与えられるより大きなアクセスから分離する必要があります。交換用のアカウントデータストアを作成することは、真剣かつ真剣にお勧めですか?確かに、これは本当に素晴らしいです。ログイン、作業を必要としないユーザーによって支配されている非常に大きい/etc /passwdsを作成するために、過去数年間に多くの作業が行われてきました。あなたがあなた自身のアカウント資格情報を書き、sendmailのような伝統的な電子メールプログラムに頼ることにしたならば、あなたは自分自身がSMTP、POP3、そしてIMAP4サーバーのために変更を書いているのを見つけるでしょう。これらの障害により、開発者は市販のソフトウェアを使用する傾向があります。私の習慣は、他の誰かが書いた、そして私が再利用できる解決策を使うことです。ただし、これらの業界で使用されているサーバーとは異なり、たとえば特別なメッセージディレクトリの設定、情報の記録、アカウンティングの使用など、それらをカスタマイズする必要があります。私にとって最も重要なことは、セキュリティ上の考慮事項をモジュール化することです。私は、開発者アカウントと管理者アカウントをエンドユーザーサービスから完全に分離して管理できるようにしたいです。 /etc /passwdから後者をクリアすることで、相手に影響を与えることなく一方の相手を簡単にロックすることができます。戦略を自動化し、戦略を自動化するために開発者アカウントをユーザーサービスから分離することは、ほぼ同じくらい重要です。アカウント(開発者(/etc /passwd)とエンドユーザー(電子メール、Web、データベースなど)の両方を作成および削除するには、明確で詳細なプロセスを確立します。実行可能ファイルにこれらを含めることは良い規則ですが、必ずしも必要というわけではありません。プロセスがわかりやすく明確であることが重要です。不注意なアカウントの作成と削除は常にセキュリティホールを残します。プロセスを人事、カスタマーサポート、またはその他の関連部門に確認してください。自分で代替方法を経験していないのであれば、これがどれほど重要かを理解するのは困難です。ユーザーアカウントを追加および削除するためのプロセスを作成しないと、常に結果が生じます。新しい従業員が月曜日に報告すると仮定すると、彼または彼女は金曜日まで会社のファイルにアクセスできない可能性があります。または、誰かが休暇パーティーで辞職して別れをしても、2月の初めにまだ会社の特別目的の資産を取得できます。アカウント自動化のもう1つの利点は、より徹底した検証が促進されることです。開発者が異なる機能を持つアカウントを設定する便利な方法がない場合、おそらく設定を変更することが予想されるアプリケーションを実装しないでしょう。私は最近この状況を個人的に経験しました。導入チームが実際に「正しく」管理者が従業員の業績評価をレビューすることを許可したとき - 私は緊急事態を求められました - 彼らの管理下になかった従業員でさえ!ばかげて聞こえますが、これは典型的なセキュリティ問題です。解析・設計レビューでも数回指摘されました。この問題は意思決定者には毎回反映されますが、これは大規模で混乱を招く一連の質問の一部であるため、明確な解決策がない限り毎回無視されます。サポートスペシャリストが一般的なケースの具体例を最終的に確立したときにのみ(この例では、複数のマネージャが存在し、各マネージャは複数の従業員レポートを持っています)、エラーはそれに値する注目を集めます。銃を身に付けないでください;定期的にあらゆる種類のユーザーアカウントの設定を徹底的にテストしてください。警戒を続けるセキュリティの最も難しい部分は、少なくとも私たちの多くにとって、間違いを避ける方法です。セキュリティは「最も弱いリンク」のイベントの1つであり、抜け穴があると(現在の投資計画の規模や規模にかかわらず)すべての投資に価値がなくなる可能性があります。安全であるために、あなたはあなたが考えなかったであろうことに警戒しなければなりません。米国政府のWebサイトは、多くの場合、課題の大きさの最も良い例です。 「テロ対策」セキュリティ問題のニュースに掲載されることが多い連邦機関は、ユーザーの好みを変更するためにユーザーのパスワードがページに公開されているWebサイトを管理しています。かなりの数の組織が、多かれ少なかれ公開情報に基づいてパスワードを指定することで、パスワード紛失の問題の頻繁な発生に対処しています(たとえば、「あなたのパスワードはあなたの生年月日の最初の4文字、そしてあなたの生年月日の最後の2年です」ビット番号 ")。このような壊滅的なミスをどうやって回避できますか?残念ながら、そのような抽象的な目標を「スマートに」正常に達成するための体系的な方法はほとんどありません。ただし、RISKS抄録の調査と厳密なエンジニアリングチェックは、実行する必要がある有用なステップの中の有用なステップの1つです。 RISKSはPeter G. Neumannが1985年以来編集しているオンラインニュースレターです(下記の参考文献を参照)。物事のエラーの原因(特にLinuxサーバーのセキュリティー)について読むのは良い習慣です。ノイマンはダイジェストを読みやすく、おもしろくします、そしてもちろんそれは時折恐ろしいです。また、あなたの考えを他の人に試してもらう習慣を身に付けるべきです。 「ソフトウェアチェック」は開発者のソースコードの句読点を見つけるための1つの方法にすぎないと思うかもしれませんが、実際には非常に興味深く効率的な方法です。特に、検査は、要件文書、Webサイト、およびその他すべての製品のピアレビューをまとめるための優れた方法です。確認してください。他人の目を通してあなたの作品を見てください。あなたはおそらくあなたのサーバーのセキュリティや不安について多くを学ぶでしょう。