Fedora Core 6 最低限のセキュリティメモ（基本）

自宅のPCにFedora Core６入れて、DDNSでそとから繋げるようにしようと考えています。

最近会社のサーバーをあれこれいじっていたので、大分設定は慣れたのでメモ代わりに書いていきます。

インストールが終わったら初期設定をしていきます。

.bash_profileの変更

デフォルトだと/usr/sbin/にpathが通っていないので、.bash_profileにパスを加えます

# vim 〜/.bash_profile

PATH=$PATH:$HOME/bin

最後にパスを追加

PATH=$PATH:$HOME/bin:/usr/sbin

sudoの登録

sudoの設定です。
初めの設定はrootでしていくのですが、後々はsudoを使ってrootにならずにroot権限でコマンドを実行するようにしてゆきます。
viなどのエディタで/etc/sudoersを編集も出来ますが、visudoという専用のコマンドがあって構文チェックもできるので、こちらを使います。

# visudo

root ALL=(ALL) ALL

下記一行を追加

hoge ALL=(ALL) ALL

これでhogeユーザーはコマンドの前にsudoを付ければ、rootと同じようにコマンドを実行できます。
またコマンド単位でパスワードなしでroot権限と同じように実行するにはこんな風に記述も出来ます。

hoge ALL = (root) NOPASSWD: /usr/bin/vim

sshで接続出来るユーザーの限定

sshはセキュアなプロトコルですが、ちゃんと設定しないと危険です。 sshでrootにアクセス出来ないようにするべきです。 sshdファイルを編集しておきましょう。

# vim /etc/pam.d/sshd

最終行に以下を追加

account required pam_access.so

次にaccess.confを編集します。

vim /etc/security/access.conf

最終行に以下を追加します。

-:ALL EXCEPT wheel:ALL

上記でwheelグループのユーザーのみsshでアクセス可能になります。
wheelの代わりにユーザー名単位でも設定できますが、一部のディストリビューションでは有効にならないようです。

ユーザーのセカンダリグループにwheelを追加するのですが、ついでにやっておくことが有ります。

rootになれるユーザー制限

どのユーザーでもrootに慣れるのは個人使用なら問題ないですが、 複数ユーザーで使う場合は明確にrootに慣れるユーザーを制限すべきです。

login.defsを編集することで変更できます。

# vim /etc/login.defs

以下を追加。

SU_WHEEL_ONRY yes

続いてpam.dのsuを変更

# vim /etc/pam.d/su

#auth required pam_wheel.so use_uid

コメントを外す

auth required pam_wheel.so use_uid

最後にユーザーのセカンダリグループにwheelを追加します。

# usermod -G wheel hoge

ここまでが基本設定です。
といってもまだまだ危ないので、　sshを公開鍵認証にしてから公開しましょう。