==書きかけです==
==ユーザ周りの処理〜ユーザグループとルートログインの禁止〜==
とりあえず、できることを制限しようとりあえず建て終わった時点の話。<br>linuxには、rootというユーザがデフォルトでいる。rootは、なんでもできる。その気になればOSに必要なファイルを全部rm -fで消し去る事もできる。<br>コイツが厄介なやつで…そんなにホイホイ出てこられると色々とセキュリティ的に問題が出てくる。なのでちょいと首輪をつける必要がある。*rootになれるユーザを制限するなんで?と思われる方もいらっしゃるかもしれませんが…<br>とりあえず cat /etc/passwdと打ってみましょう。ずら~っとなんか出てくる。<br>こいつらはユーザです。作成したユーザ以外に各種アプリケーションを動かすためのユーザが存在します。<br>で、通常のユーザでログインして、suとうつとrootになれるのはご存知かと思う。<br>つまり、'''何らかの脆弱性を使った攻撃でアプリケーションからユーザを乗っ取ってsu'''でルートになっていんぐりもんぐり、という事が考えられる。<br>そんなことになっても被害を抑えるためのおまじない。<br><br>多分デフォルトでできるようになってると思うけど、念のため確認。 #cat /etc/group | grep wheel wheel:x:10:(ユーザ名)となることを確認する。もし、ここにユーザ名が無かった場合、直接編集してユーザ名を追加する(ルート権限が必要)。次に、wheelグループに登録されていないユーザのsuを禁止する。 vi /etc/pam.d/suで #auth required pam_wheel.so use_uidの行を、コメントアウトをはずして auth required pam_wheel.so use_uidとする。これでwheelグループに登録されていないユーザはsuを実効できない、つまりrootになれない。 *ssh経由のrootログインを禁止するrootのユーザ名は世界共通でrootである。つまり'''パスワードさえわかってしまえばログインできる'''ということである<br>世の中には総当たり攻撃という理論上パスワードによるログインを完全に無効化できる攻撃方法がある(ただし、各種リソースが無限大、という前提で)。<br>つまり、SSHの口が空いてる鯖にアカウント名をrootで、あとはパスワードを総当りすれば簡単に乗っ取れてしまう。<br>なので、SSHでrootログインできないようにしないといけない。
==ファイアウォール〜iptables〜==
怪しいやつは入る前にお帰りいただく<br>