スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

rootログインを制限する

suとsudoどっちがセキュア?という話で、俺は個人使用ではsuの方が良いのでは、と書きました。

しかし、rootログインできること自体の危険性に目をつむったわけではありません。シングルユーザーモードなど、全くrootログインできないとなると自分自身が困ってしまう事態がいくつか考えられるから、完全にrootログインを禁止したいわけではありませんが、それでも自分自身に不必要な所からのrootログインは制限したい。

調べると、ちょうどいいページが見つかりました。

そんな所からrootにログイン出来ないぜ。 - 0からはじめるLinuxセキュリティ入門

ここによると、/etc/securettyと/etc/security/access.confを書き換えることによって、うまいこと制限ができるそうで。



実践。

俺のシステムはDebianなのでここに書いてあるRPM系とは違うわけですが、slackwareというわけでもないので、とりあえず/etc/security/access.confの中身を覗いてみる。

$ vi /etc/security/access.conf

全部コメントアウトされているように見える…。とりあえず触らないことにしておく。

/etc/securettyの中身も覗いてみる。

# vi /etc/securetty

最初のコメントアウトされている説明書きに、

list of terminals on which root is allowed to login.

と書いてある。ここにリストアップされているターミナルにおいてrootのログインが許可されている、という意味か。じゃあ、そのリストアップのうち不必要なものをコメントアウトしてやればいいんだな?

何が必要で何が不必要かよく分からないが、先のページではconsoleとttyXを残してあとは消してしまおうと書いてある。



そもそも、これの効果は如何ほどのものなのか?とりあえず、tty2だけをコメントアウトしてみる。

保存したら、Ctrl+Alt+F2キーを押してtty2に移動。

ログインするユーザーネームの入力待ちとなっているので、rootと入力してEnter。

すると、パスワード入力を求められることもなく、

login incorrect

の表示。要は有無を言わさずシャットアウトと言うことだ。うーん、gdmも見習って欲しいものだ。gdmはrootログインを禁止していても、パスワードが「合った」ことだけは教えるからね。親切のつもりかもしれないが明らかに余計なお世話、それどころか害悪。

ではsu実行権限のある制限ユーザーでログインし、suコマンドをやってみると。

すんなりと通ってしまう。suの実行まで制限するものではないようだ。まあ、仕方があるまい。直接ログインできないというだけでも二重パスワード効果があるからその分セキュアだということだ。気持ち程度だろうけど。



ではAlt+F7でXに戻り、console、tty1~6以外のものを全てコメントアウトして保存。なんでtty1~6に限るのかって、Ctrl+Alt+F7はXに割り当てられているみたいだし、tty8以降にはどうやって移動していいのか分からないのでまず使わないから。

なお、一行一行手作業でコメントアウトするのは骨が折れるのでDigital Junk::プログラマが知っておくべき100のVimコマンドなどを参考にviの機能を活用すると良いかも。例えばこの設定ファイルの場合、行頭に「#」が打たれているとその行はコメントとみなして読み飛ばしてくれるので、

:%s/^/#/g

この様にコマンドを打てば全行コメントアウトになる。このコマンド、なんかもう文字化けにしか見えないけれど、ちゃんと意味はあるんだと思う。「:」がこれからコマンドラインを打つぞとviに伝えるコマンドで、「%s」が文章全体に対して置換をかけるという意味、「^」がviの通常モードで行頭を意味するものだから、最初のスラッシュと二番目のスラッシュの間が被置換文字列(今回は置き換えられるべきものがないから行頭を示すコマンドで代用)、二番目のスラッシュと三番目のスラッシュの間が置き換える文字列、か?最後のgはよく分からない。

とにかく、このコマンドで全行頭に「#」がつくので、あとは必要なもの、console・tty1~6だけ行頭の#を外す。

で、再起動してみる。再起動する。特に起動に問題はないようなので、問題が生じたらその都度コメントアウトをとれば問題なさそうです。

関連記事

テーマ : UNIX/Linux
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

ざっぱー

Author:ざっぱー
(この画像について)

当ブログについて
メール
(このメールアドレスへの特定電子メール (迷惑メール) の送信はお断りします)

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。