この補遺はこのマニュアルの他の章の要点を凝縮されたチェックリスト形式で
簡潔にくりかえします。これはこのマニュアルをすでに読んだ人のための手みじかな
要約のつもりです。他にもよいチェックリストはあります。Kurt Seifried さんは
Securing
Linux Step by Step
に もとづく設定を持っています。
FIXME: これはこのマニュアルの v1.4 にもとづいていて、更新の必要があるかも しれない。
/etc/lilo.conf
か
/boot/grub/menu.lst
)。 LILO か GRUB
の設定が読みとり保護されているか調べる。
/tmp
などの ext2 パーティションで nosuid,noexec,nodev
マウントオプションを /etc/fstab
で設定する
/etc/pam.d/
ファイルのマシンへのアクセスを 認める項目についてその pam.d で 2 番目の
フィールドが 「requisite」か「required」に設定されているようにする
/etc/pam.d/login
をいじる
/etc/security/access.conf
に 公認されている tty
を記して一般的に root ログインをできるだけ 制限するようこのファイルを設定する
/etc/pam.d/passwd
をいじる: パスワードの最小の 長さを大きくし (6
文字かも) md5 を有効にする
/etc/group
に wheel を追加する。 pam_wheel.so group=wheel
の項目を /etc/pam.d/su
に 追加する
/etc/pam.d/other
ファイルを作り、セキュリティを きつく設定する
/etc/security/limits.conf
で制限を設定する (PAM を 使っているなら
/etc/limits
は使われないことに注意)
/etc/login.defs
をきつくする。さらに、もし MD5 または PAM
またはその両方を有効にしているなら、ここでも対応する 変更を行う
/etc/ftpusers
で禁止する
su(1)
か
sudo(1)
を 使う (sudo
のインストールを検討する)
/var/log/{last,fail}log
、Apache logs)
/etc/checksecurity.conf
で setuid チェックが
有効になっていることを検証する
debsums
をインストールする
ssh
をインストールして設定する (/etc/ssh/sshd_config
で PermitRootLogin No、 PermitEmptyPasswords No にすることを提案。本文中の他の
提案も参照)
/etc/inetd.conf
中の不要なサービスを停止する (または、inetd
も停止するか、xinetd や rlinetd などの 代用品を使う)
hosts_access(5)
)を設定する。 本文中の /etc/hosts.deny
のトリック参照
/etc/X11/xdm/xdm-config
中で requestPort
を 0 に設定して XDMCP を無効にする)
/etc/syslog.conf
)
/etc/apt/sources.list
に
http://security.debian.org/debian-security への項目 (複数かも) を追加する
apt-get update ; apt-get upgrade
を セキュリティ上の更新を実行する, 第 4.6 節
で説明されているように周期的に 実行するようにする (もしかしたら cron job として
インストールする?)
Debian セキュリティマニュアル
v2.4 Tue, 30 Apr 2002 15:41:13 +0200 (翻訳: Thu, 6 Jun 2002)jfs@computer.org
oohara@libra.interq.or.jp