FC2ブログ

【LPIC_102試験】6.セキュリティ

■1. セキュリティ管理業務

 【1. パスワード管理】

 (1)chage(CHange password AGE)
  パスワードの有効期限設定専用コマンド

  ノーオプション: 対話モード
  -l : パスワード有効期限の情報(ls)
  -m : パスワード変更ができるようになるまでの最短日数指定(minimum)
  -M : パスワード有効最長日数(何日ごと変更させるか)
  -I : パスワード有効期限切れ後にアカウントロックされるまでの日数(Inactive)
  -W : パスワード有効期限切れる前の警告を何日前からするか(Warning)
  -E : 有効期限指定(expire)

  ※パスワード有効期限設定コマンド
  chage、passwd、usermod

------------------------------------------------------------
 【2. プロセス管理】

  (1)ulimitコマンド

   -a : リソース制限値全表示(all)
   -f : 出力サイズ制限(file)
   -u : ユーザ1人が起動できるプロセス数(user process)
   -v : 仮想メモリ制限(virtual memory)

------------------------------------------------------------
 【3. SUID、SGID】

  SUID「4000」⇒ 100
  SGID「2000」⇒ 010

  find [検索場所] -perm -[モード]
   [モード]で指定されたビットすべてが、ファイルでも立っていたら真
  find [検索場所] -perm +[モード]
   [モード]で指定されたビットのどれか一つが、ファイルでも立っていたら真
  

===================================================

■2. ホストのセキュリティ設定

  http://ja.wikipedia.org/wiki/Inetd" target="_blank" title="inetd(アイネットディー)">inetd(アイネットディー)(InternetDaemonの略)
  xinetd


 【1. TCP/Wrapper(tcpd)制御順序】
 
①「/etc/hosts.allow」を許可。
②「/etc/hosts.allow」になければ、「/etc/hosts.deny」を参照して、記載されているホストは拒否
③両ファイルに記載が無いホストは全て許可。


===================================================

■3. 暗号化によるデータの保護

 【1. SSH接続時の認証】

  (1) ホスト認証(公開鍵方式)

      サーバの公開鍵をクライアントに事前登録し、クライアントがサーバへSSH接続時、
      クライアントが事前登録している公開鍵とサーバの公開鍵が一致するかどうかを確認。
      一致しなければログイン不可。これにより偽サーバが正規サーバへのなりすまし防止。


  (2) ユーザ認証(公開鍵方式 or ID/パスワード方式)

      クライアントの開鍵をサーバに事前登録し、サーバがSSH接続を受けた際、
      サーバは登録されている公開鍵とユーザの公開鍵が一致するかどうかを確認する。
      一致しなければログイン不可。これによりID/パスワードにプラスしてセキュリティ強化。


------------------------------------------------------------
 【2. GnuPG(GNU Privacy Guard)】

 (1) gpgコマンド(GnuPGの暗号化プログラムで、ファイル暗号・復号をする)

  --gen-key : 公開鍵暗号のキーペア生成
  --export : 公開鍵エクスポート
  --import : 公開鍵インポート
  --list-keys : 公開鍵一覧表示
  -e ファイル名 : 相手の公開鍵でファイル暗号化
  -r メールアドレス : 暗号化に使用する公開鍵持ち主のメールアドレス
  -o ファイル名 : 出力ファイル名



 (2)その他コマンド

 ssh-keygen : sshクライアントで公開鍵/秘密鍵のペアを生成

 ssh-agent : 公開鍵認証のSSH接続の際、パスフレーズを求められないようにするコマンド(メモリ上に秘密鍵を保管なので、1回目はssh-addコマンドを実行しパスフレーズ登録が必要)


===================================================

ulimit
ulimit [オプション] [制限値]
ユーザやシェルが利用できるリソース制限コマンド

 




===================================================



 【OpenSSH】 オープンソースSSH



 【PermitRootLogin no】 rootでのsshログイン禁止


 【~/.ssh/authorized_keys】 SSHクライアントの公開鍵を登録しているファイル


===================================================
関連記事

コメント

非公開コメント

FC2-Counter (Since 2013/8)