Linuxのセキュリティ：ステップバイステップ（1）

安全な盾がないのと同じように、絶対に安全なシステムはありません。またセキュリティの分野では、だれも彼がマスターであると言うことはできません。システムのセキュリティは、多くの高齢者の汗と知恵と交換されます。システムのセキュリティにはあらゆる側面があります。それが銀行であろうと電話システムであろうと、それが公衆が保証されていると考えるのがMS WindowsであろうとUnixシステムであろうと、例外なくセキュリティ問題があります。安全の唯一のポイントは何人の人々がシステムを使用しているかということです。システムのユーザーが増えれば増えるほど、セキュリティの問題はより重大になり、セキュリティの脆弱性はより早く発見されます。さらに、システムのスケーラビリティが高いほど、サポートされるアプリケーションサービスが多いほど、セキュリティ上の問題も多くなります。 MS Windowsシステムでは、マウスを使用する人はネットワーク上の情報を参照してシステムのセキュリティを設定したり、システムを損傷したりすることができます。セキュリティ設定は両刃の刀で、一方は防御されていないシステムを破り、データを破壊し、もう一方は違法な侵入を阻止し、データを保護します。この境界は、NukerとHackerの違いです。 Linuxはオープンソースシステムであり、コードレベルからセキュリティを強化できますが、Linuxシステムに不慣れな人にとっては、これは複雑すぎます。企業がデスクトップオペレーティングシステムとしてLinuxを使用する場合は、設定をサーバーの設定とは異なるものにする必要があります。サーバーは、ファイアウォール、プロキシサーバー、その他のアプリケーションなど、インターネット上で使用される可能性がありますセキュリティ設定は重要なアプリケーションに焦点が当てられており、デスクトップのアプリケーションの焦点は異なります。一般的なMandrake、Red Hat、SuSE、Debianの市場では、セキュリティ設定は異なりますが、方法は同じです。たとえば、中国市場で多くのユーザーを抱えるRed Hatは、200人から300人規模の会社のデスクトップオペレーティングシステムとしてRed Hat Linuxを使用し、システムセキュリティを段階的に設定し、周辺リソースの構成についても言及します。
ハードウェアセキュリティ
シャーシをロックする必要があります。いずれかのシステムが物理的に接続されると、セキュリティは少なくとも半分に低下します。誰もがハードドライブを取り外して他のシステム上のデータを読み取ることができるため、セキュリティが侵害されます。したがって、デスクトップとサーバーはできるだけ物理的な接触を避ける必要があります。
BIOSのセキュリティ
BIOSのパスワードを読み取るためのツールはたくさんあり、またBIOSのパスワードもたくさんありますが、BIOSのパスワード保護を設定することは必要なステップです。使用するパスワードは、8桁以上の数字、数字、記号、および文字の組み合わせで、システムパスワードと同じではないものにします。盗まれた後にすべてのマシンのセキュリティが心配になる場合は、個別のパスワードを追加することを検討してください。たとえば、以前のパスワードを組み合わせるためにマシンの担当者の名前またはマシンの一意の番号を使用すると、より優れたメモリとなり、複雑さと一意性の要件を満たすパスワードになります。
スタートアップ設定
システムがインストールされると、ハードディスクの起動に加えて、フロッピーディスク、CD、さらにはUSBフラッシュドライブでさえもセキュリティ問題を引き起こす可能性があります。そのため、BIOSではハードディスク以外のデバイスの起動を禁止する必要があります。
システムパーティション
現在のハードディスクはLinuxの容量要件を満たすことができます。例として20〜40 GBのハードディスクを使用すると、追加のパーティション分割方法は必要ありませんRed Hatの自動パーティション分割は要件を満たすことができます。特定のパーティション分割方法は40MBのブートパーティション（/boot）で、メモリスワップパーティション（swap）の2倍で、残りはルートパーティション（/）です。 /homeディレクトリと/varディレクトリが分離されていないのは、シングルユーザー使用のため、システムパーティションが多すぎると管理が複雑になるためです（たとえば、/varパーティションがいっぱいでシステムが異常です）。ユーザーは単純なパーティション分割を利用できます。
インストール
フルインストール、つまりすべてのオプションを避けてください。前述のように、システムが提供するサービスが多いほど、脆弱性が増し、セキュリティが低下します。インストールフロッピーディスクの作成、NFS経由、またはスクリプトのインストールなど、非対話型インストールでできるだけ多くインストールしてください。ユーザーの直接参加が少なければ少ないほど、管理性は強くなります。ホストの命名では、トラブルシューティングや検索が簡単な、会社のEメールアドレスや内線番号などの統一された規則が使用されます。 IPアドレスもMACアドレスバインディングを使用して静的アドレスまたはDHCPを使用しようとします。そのため、例外が発生した場合は認定されたマシンをすぐに排除できます。 ext3ファイルシステムを使用すると、停電によるハードディスク上のデータの損失を減らすことができ、起動できません。
アカウント管理と集中管理
アカウント管理と集中管理にNISを使用することをお勧めしますが、管理の複雑さを増すこともできます。使用環境がシングルユーザーログインであり、ファイルがサーバーによって共有されている場合は、NISを使用せずにシングルユーザーでログインすることもお勧めです。もちろん、今はただのNIS型の中央アカウント管理ではありません。このコンピュータのアカウントは、ログイン名としてユーザーの会社のEメールアドレスを使用する必要があります。もちろん、管理者アカウントが必要ですが、ローカル管理者グループにローカルアカウントを追加しないでください。複数のネイティブroot特権アカウントを持つことは本質的に危険です。
Start Loader
LILOの代わりにGRUBを使用するためにローダーを起動します。理由は次のとおりです。すべてのユーザーがブートパスワードを追加できますが、LILOは設定ファイルでクリアテキストのパスワードを使用し、GRUBはmd5アルゴリズムを使用して暗号化されます。パスワード保護は、システムを起動するためのカスタマイズされたカーネルの使用を防ぎ、他のオペレーティングシステムなしで起動待ち時間を0に設定します。 LILO設定は/etc/lilo.confファイルにあり、GRUB設定ファイルは/boot/grub/grub.confにあります：/etc/lilo.conf image = /boot /2.4.18-vmlinuz label = Linux読み取り専用＃パスワードはプレーンテキストです。password = Clear-TextPassword＃参加保護制限付き/boot/grub/grub.conf＃起動時間を0に変更します。つまり、直接タイムアウト0を開始します。＃＃md5 passwordの後にgrub-md5-cryptを使用して暗号化パスワードを生成できます。 --md5 $ 1 $ LS8eV /$ mdN1bcyLrIZGXfM7CkBvU1
sudoユーザーを使用すると、root権限を必要とするコマンドが使用されることがあります。その場合はsudoが必要です。 Sudoは、ユーザーが使用し、構成ファイルで制限されているコマンドに基づいて限られた期間ログに記録されるツールです。 /etc /sudoersファイルに設定されています。ユーザーがsudoを使用する場合、ユーザーの身元を確認するために自分のパスワードを入力する必要があります定義されたコマンドは一定期間使用できます設定ファイルにないコマンドを使用する場合は、アラームの記録があります。 /etc /sudoers sudo [-bhHpV] [-s<シェル>] [-u<ユーザー>] [コマンド]またはsudo [-klv] -bコマンドをバックグラウンドで実行します。-hヘルプを表示します。-H HOME環境を置きます。この変数は新しいIDに設定されます。HOME環境変数-k終了パスワードが有効です。つまり、次回パスワードが入力されます。-l現在のユーザーが使用できるコマンドを一覧表示します。-pチャレンジパスワードのプロンプト記号を変更します。シェル-u< user>は、指定されたユーザーを新しいIDとして使用します。使用していない場合は、デフォルトでroot -vになります拡張パスワードは5分間有効です-Vバージョン情報を表示します。
suユーザーの数を制限します。新しいユーザーはroot権限を持っていないため、suを使用してユーザーを切り替える必要がありますLinuxでは、rootユーザーへの切り替えの制限を増やすことができます。 PAM（Pluggable Authentication Modules）を使用して、wheelグループ以外のユーザーがsuにならないようにし、/etc/pam.d/suファイルを変更して、マスクID＃を削除します。 /usr /sbin /usermod G10 bjecadmを使用して、gidが10のグループにbjecadmアカウントを追加します。これはwheelグループです。 /etc/pam.d/su＃十分なパスワード検証認証を使用する/lib/security/pam_wheel.so debug＃制限されたホイールグループユーザーをroot認証に切り替えることができる/lib/security/pam_wheel.so use_uid
ログインセキュリティを強化する
/etc/login.defsファイルを変更して、ログインエラーの遅延、ログ記録、ログインパスワードの長さの制限、および有効期限の制限の設定を増やすことができます。 /etc/login.defs＃90日間有効なログインパスワードPASS_MAX_DAYS 90＃ログインパスワードの最小変更時間、増加すると不正なユーザーが短期間に複数回変更されるのを防ぐことができるPASS_MIN_DAYS 0＃ログインパスワードの最小長8桁PASS_MIN_LEN 8＃ログインパスワードの変更PASS_WARN_AGE 7＃ログインエラーの待機時間10秒FAIL_DELAY 10＃ログにエラーログをログインFAILLOG_ENABはい＃スーパーユーザー管理ログを制限する場合はSYSLOG_SU_ENABを使用＃スーパーユーザーグループ管理ログを使用する場合はSYSLOG_SG_ENABを使用＃パスワードとしてmd5を使用する場合MD5_CRYPT_ENABを使用した暗号化方式yes
rootログイン用の端末ウィンドウを制限する
/etc /securettyファイルを変更して、ログイン枯渇方式によるセキュリティ保護の侵害を防ぎます。 rootが直接ログインできない場合は、suを介してユーザーを切り替えることしかできず、それはpam.dによって制限され、この方法を突破する可能性は低くなります。 /etc /securetty vc /1 vc /2 vc /3 vc /4 vc /5 vc /6 vc /8 vc /9 vc /9 vc /10 vc /11＃シールドターミナルウィンドウのルートログイン、および同時に開くことを制限することができます端末の数＃tty1＃tty2＃tty7＃tty8＃tty9
また、ターミナルウィンドウで履歴も制限する必要があります。 /etc /profileファイルを変更し、必要に応じてユーザーディレクトリ内のプロファイルファイルを変更します。 /etc /profile＃20でコマンドを入力する履歴を制限します。これはdoskey関数に似ています。HISTSIZE = 20 #limit record typeコマンド履歴のファイルサイズHISTFILESIZE = 20＃何も操作せずに600秒後に終了するように端末ウィンドウを設定TMOUT = 600
重要なファイルのバックアップ
多くのトロイの木馬、ワーム、およびバックドアは、重要なファイルを置き換えることで自分自身を隠します。読み取り専用メディア、CDまたはUSBフラッシュドライブを用意するか、オンラインでダウンロードします。つまり、システムに感染している可能性があるコマンドの代わりに、必要に応じて元のコマンドを使用してください。次のようにバックアップに注意を払う必要があります。/bin /su /bin /ps /bin /rpm /usr /bin /top /sbin /ifconfig /bin /mount