LinuCレベル1 102試験の例題と解説

1.10.1セキュリティ管理業務の実施

今回は、LinuC 102試験の試験範囲から「1.10.1 セキュリティ管理業務の実施」についての例題を解いてみます。
ユーザログインの規制についてセキュリティを強化するためにもしっかり確認しておきましょう。

Linucレベル1 102試験出題範囲

例題

LinuCユーザのログインを禁止したい。正しい実行方法を選択してください。

chage -s /bin/false linuc
usermod -s /bin/false linuc
changemod -s /bin/false linuc
moduser -s /bin/false linuc

※この例題は実際の試験問題とは異なります。

解答と解説

答えは「2. usermod -s /bin/false linuc」です。

ユーザのログインシェルを/bin/falseに変更することで、対象ユーザのログインを禁止することができます。ログインシェルを変更するには、/etc/passwdファイルを直接編集するか、usermodコマンドを用いて変更します。

usermodコマンドの主なオプションは以下の通りです。
-c コメント          … コメントフィールドを変更する
-d パス              … ホームディレクトリを変更する
-g グループ名/GID    … プライマリグループを変更する
-G グループ名/GID    … 所属するグループを変更する
-s パス              … ログインシェルを変更する
-L                   … パスワードをロックして一時的に無効化する
-U                   … パスワードのロックを解除する

今回はログインシェルを変更したいので「2. usermod -s /bin/false linuc」が正解となります。

WEBサーバやDBサーバを動かすためにユーザを登録する必要がありますが、ログイン許可はしない方が安全です。このような場合にユーザのログインシェルを変更し、ログインを禁止することができます。
また、ログインできるユーザをrootユーザのみに限定したい場合は、/etc/nologinファイルを作成することで設定できます。

その他の選択肢の解説は以下です。

[1. chage -s /bin/false linuc]
chageコマンドはパスワードの有効期限を設定するコマンドです。-sオプションは無効なオプションのためエラーになります。

chageコマンドの主なオプションは以下の通りです。
-l                                    …    パスワードもしくはアカウントの有効期限を表示する
-m 最低間隔日数                       …    パスワード変更間隔の最短日数を設定する
-M 最大有効期限日数                   …    パスワードが有効な最長日数を設定する
-d 最終更新日                         …    パスワードの最終更新日を設定する
-W 有効期限切れ日数                   …    パスワードの有効期限切れの警告を行う期間の日数を設定する
-l 有効期限切れ後、使用不能になるまでの日数    …    パスワードの有効期限後にアカウントがロックされるまでの日数を設定する
-E アカウントを無効化する日付    …    ユーザアカウントが無効になる日付を設定する

[3. changemod -s /bin/false linuc]
[4. moduser -s /bin/false linuc]
changemodやmoduserというコマンドは存在しません。

安全なシステムの運用をしていくためにも、セキュリティに関する設定はしっかりと理解し身に着けておきたいですね。