110.2 ホストのセキュリティ設定

今回は、LinuC 102試験の試験範囲から「110.2 ホストのセキュリティ設定」についての例題を解いてみます。
ユーザログインの規制についてセキュリティを強化するためにもしっかり確認しておきましょう。

■トピックの概要
このトピックの内容は以下の通りです。

＜110.2 ホストのセキュリティ設定＞
重要度 3

＜説明＞
基本的なレベルのホストのセキュリティを設定する方法を知っている。

＜主要な知識範囲＞
・シャドウパスワードおよびその機能について知っている
・使用していないネットワークサービスをオフにする
・TCPラッパーの役割について理解している

＜重要なファイル、用語、ユーティリティ＞
・/etc/nologin
・/etc/passwd
・/etc/shadow
・/etc/xinetd.d/
・/etc/xinetd.conf
・/etc/inetd.d/
・/etc/inetd.conf
・/etc/inittab
・/etc/init.d/
・/etc/hosts.allow
・/etc/hosts.deny

■例題
linucユーザのログインを禁止したい。正しい実行方法を選択してください。

1. chage -s /bin/false linuc
2. usermod -s /bin/false linuc
3. changemod -s /bin/false linuc
4. moduser -s /bin/false linuc

※この例題は実際の試験問題とは異なります。

ユーザのログインシェルを/bin/falseに変更することで、対象ユーザのログインを禁止することができます。ログインシェルを変更するには、/etc/passwdファイルを直接編集するか、usermodコマンドを用いて変更します。

usermodコマンドの主なオプションは以下の通りです。
-c コメント          …  コメントフィールドを変更する
-d パス              …  ホームディレクトリを変更する
-g グループ名/GID    …  プライマリグループを変更する
-G グループ名/GID    …  所属するグループを変更する
-s パス              …  ログインシェルを変更する
-L                   …  パスワードをロックして一時的に無効化する
-U                   …  パスワードのロックを解除する

今回はログインシェルを変更したいので「2. usermod -s /bin/false linuc」が正解となります。

WEBサーバやDBサーバを動かすためにユーザを登録する必要がありますが、ログイン許可はしない方が安全です。このような場合にユーザのログインシェルを変更し、ログインを禁止することができます。
また、ログインできるユーザをrootユーザのみに限定したい場合は、/etc/nologinファイルを作成することで設定できます。

その他の選択肢の解説は以下です。

[1. chage -s /bin/false linuc]
chageコマンドはパスワードの有効期限を設定するコマンドです。-sオプションは無効なオプションのためエラーになります。

chageコマンドの主なオプションは以下の通りです。
-l                                    …    パスワードもしくはアカウントの有効期限を表示する
-m 最低間隔日数                       …    パスワード変更間隔の最短日数を設定する
-M 最大有効期限日数                   …    パスワードが有効な最長日数を設定する
-d 最終更新日                         …    パスワードの最終更新日を設定する
-W 有効期限切れ日数                   …    パスワードの有効期限切れの警告を行う期間の日数を設定する
-l 有効期限切れ後、使用不能になるまでの日数    …    パスワードの有効期限後にアカウントがロックされるまでの日数を設定する
-E アカウントを無効化する日付    …    ユーザアカウントが無効になる日付を設定する

[3. changemod -s /bin/false linuc]
[4. moduser -s /bin/false linuc]
changemodやmoduserというコマンドは存在しません。

安全なシステムの運用をしていくためにも、セキュリティに関する設定はしっかりと理解し身に着けておきたいですね。

■例題作成者
株式会社デージーネット OSS研究室 橋本知里