広告
*Slackware系 [#b12acfb2] /etc/securettyを書き換えて、rootにログイン出来るのはコンソール(ローカルホスト)からだけにして、suを使おう。 console,ttyXを残して、後は消してしまおう。 一応、今までのはsecuretty-backとでもしておきましょう。 *RedHat(RPM)系 [#f4be5ab9] /etc/security/access.confを書き換えて、おかしなところからログインできなくしましょう。 書き方は permission : users : origins となっていて、許可する時はpermissionの所を「+」、許可しない時は「−」にする。~ userの所はlogin名かグループ名。「ALL(全てのユーザー)」も使える。~ 複数を羅列するときはspaceで区切る。~ 最後の「origins」は、tty名(ローカルアクセスの場合)やホスト名、IPアドレス、ALL(全て)、LOCAL(ローカルアクセス全て)をいれる。 また、「EXEPT」というのをいれればその後に続く「origins」を除く事ができる。 例 wheel,shutdown sync以外のグループ(ユーザー)は、consoleから入れない。 -:ALL EXCEPT wheel shutdown sync:console ut-info.comと付くホストからのみ、rootにアクセスできる。 -:root:ALL EXCEPT LOCAL .ut-info.com ちなみに、何も設定していなければ誰でもどこからでもOKということ。 *基本は全て拒否といっても [#ie692e43] -:ALL:ALL とやってはいけない(笑)。もし、サーバなら、 -:ALL:ALL EXCEPT LOCAL .your.domain ぐらいがお勧めか... *SSHでも [#a3e7d0b9] 特定の場所からのみrootにログインできるようにする必要がある。~ あるいは、リモートからはログインできないようにしておく。 *なぜ、いいかと言うと、 [#c4608633] たとえ、rootのパスワードが分かっても、侵入できないし、suするには、他のユーザーのパスワードも知らなくてはならない。 少し、面倒くさくなるだけでしょうが。 更に、/etc/groupのwheelのユーザーを指定することで、su出来るユーザーを限定出来ます。 ただ、この場合誰がrootのパスワードを知っているかが、侵入者に知られることになります。 #ad_banner(banner468x60.txt) #ad_banner(custom1.txt) 広告 |