私たち全員が知っているように、ルートユーザーはKingであり、Linuxシステム上で無制限の特権を振り回します。ただし、非ルートユーザーは基本的なタスクに限定されます。さらに、SUDOユーザーは、特定の高架タスクを?qū)g行するためにルートユーザーが適合したと見なされるある程度のルート特権を許可されます。

通常のユーザーがリソースへのアクセスを制御できない場合、または意図せずに根を下すようにエスカレートされると、問題が発生します。これは、違反、望ましくない変更を引き起こす可能性のある深刻なセキュリティリスクであり、最悪のシナリオでシステムのクラッシュを引き起こす可能性があります。別の潛在的なリスクは、ファイルがセキュアなファイル権限が少ない場合です。たとえば、グローバルユーザー向けの書き込みアクセス許可を備えたブートファイルは、簡単に変更または破損してシステムが壊れる可能性があります。

[あなたも気に入っているかもしれません：データとLinuxを保護するための便利なヒント]

物理、ネットワーク、およびデータセキュリティを?qū)g裝できますが、悪意のあるユーザーはセキュリティ対策を回避し、そのようなセキュリティの抜け穴を活用できます。このため、ファイルシステムのセキュリティを真剣に受け止める必要があります。ファイルにアクセスするためのセキュリティ対策を回避する際に重いリフティングを行う必要がない悪意のある従業(yè)員からの攻撃またはインサイダーの脅威に直面して、追加の防御層を提供します。

システムセキュリティでは、次の重要なポイントに集中します。

• アクセス権 - ユーザーおよびグループの許可。
• PAMモジュールでパスワードポリシーを?qū)g施します。

アクセス権 - ユーザーとグループの分離

おそらく、Linuxのすべてがファイルと見なされると聞いたことがあるに違いありません。そうでない場合、それはプロセスです。 Linuxシステム上のすべてのファイルは、ユーザーとグループユーザーが所有しています。また、ユーザー（ u ）、グループ（ g ）、その他（ o ）の3つのユーザーカテゴリのファイル権限も付いています。権限は、各ユーザーカテゴリの読み取り、書き込み、実行（ RWX ）で表されます。

 RWX RWX RWX
ユーザーグループその他

前に見たように、Linuxの基本セクションでは、図のようにLSコマンドの長い形式を使用してファイル権限を表示できます。

 $ ls -l

要約するだけで、許可は通常9文字で表されます。最初の3つの文字は、ファイルを所有する実際のユーザーのアクセス権を表します。文字の2番目のセットは、ファイルのグループ所有者の権限を表します。最後に、他のユーザーまたはグローバルユーザー向けの最後のセット。これらのキャラクターは、読み取り、書き込み、実行（ RWX ）注文に永久にあります。

権限の後、ユーザーとグループの所有権があり、その後にファイルまたはディレクトリのサイズ、変更の日付、最後にファイルの名前が続きます。

ファイル/ディレクトリの許可と所有権の変更

ファイルとディレクトリのユーザー権限は、適合と見なされると変更できます。経験則は、最小の特権セキュリティ原則を使用することです。簡単に言えば、ユーザーが作業(yè)を完了するために必要な最小アクセス権または許可を取得できるようにします。

最小限の特権の原則は、ユーザーを特定の役割のみに制限し、そうすることにより、攻撃者が低レバーのユーザーアカウントを活用して重要なデータにアクセスして変更するリスクを最小限に抑えます。また、攻撃者がシステムを制御する場合に攻撃面を削減し、マルウェアの伝播を制限します。

したがって、ユーザーがファイルまたはディレクトリの內(nèi)容のみを表示する必要がある場合、実行または書き込みアクセス許可を付與されるべきではありません。非常に基本的なレベルでは、タスクを達成するためにユーザーが必要とする最小許可と所有権のみを認めます。 Basic LinuxコマンドのトピックでCHMODとChownコマンドを使用して、ファイル/ディレクトリのユーザー許可と所有権を変更する方法に取り組んでいます。

スティッキービット許可モード

システム管理者がアクセス許可を管理する時間をより簡単にするために、特別な権限またはアクセス権をディレクトリ全體に付與できます。ファイルまたはディレクトリの削除と変更を制限するために適用できる特別な権限の1つは、粘著性のビットです。

スティッキービット

システムまたはネットワーク內(nèi)のすべてのユーザーが共有ディレクトリにアクセスできるシナリオでは、一部のユーザーがディレクトリ內(nèi)のファイルを削除または変更できる潛在的なリスクがあります。これは、ディレクトリコンテンツの整合性を維持したい場合に望ましくありません。そして、これが粘著性のビットが入ってくるところです。

Sticky Bitは、ファイルまたはディレクトリ全體に設(shè)定された特別なファイル許可です。そのファイル/ディレクトリの所有者のみに、ファイルまたはディレクトリのコンテンツを削除または変更する許可を付與します。他のユーザーはファイル/ディレクトリを削除または変更できません。 tのシンボリック値と1000の數(shù)値があります。

ディレクトリで粘著性のあるビットをオンにするには、次のようにCHMODコマンドを使用します。

 $ chmod t directory_name

以下の例では、テストと呼ばれるディレクトリに粘著性のビットを適用しました。ディレクトリの場合、すべての內(nèi)容は粘著性のビット権限を継承します。 LS -LDコマンドを使用して、粘著性ビット権限を確認できます。ファイル許可の最後にあるt記號に必ず注意してください。

 $ LS -LDテスト

別のユーザーがディレクトリを削除したり、ディレクトリ內(nèi)のファイルを変更しようとした場合、許可を拒否されたエラーで迎えられます。

そして、それがスティックビットファイルの許可の要點です。

SUIDおよびSGID許可の監(jiān)視

SUID （セットユーザーID ）は、別の通常のユーザーがファイル所有者のファイル許可を持つファイルを?qū)g行できる別の特別なファイル許可です。通常、実行許可を表すx代わりに、ファイルアクセス許可のユーザーの部分でのシンボリックsで示されます。 SUIDの數(shù)値は4000です。

SGID （Set Group ID）を使用すると、通常のユーザーがファイルグループ所有者のグループ許可を継承できます。実行許可のxではなく、ファイル許可のグループ部分にsが表示されます。 SGIDの數(shù)値は2000です。

それらが便利であっても、 SUIDおよびSGIDの権限はセキュリティリスクに関連付けられており、どんな犠牲を払っても避けるべきです。これは、彼らが通常のユーザーに特別な特権を付與するためです。通常のユーザーを裝った侵入者が、ルートユーザーが所有するsuidビットが設(shè)定されている実行可能ファイルに出くわすと、その抜け穴を使用してシステムを悪用できます。

LinuxでSUIDビットが設(shè)定されたすべてのファイルを見つけるには、RootユーザーとしてFindコマンドを?qū)g行します。

 $ find / -perm -4000タイプ-f

ディレクトリの実行：

 $ find / -perm -4000タイプ-d

sgidビット設(shè)定ですべてのファイルを見つけるには：実行されます：

 $ find / -perm -2000タイプ-f

ディレクトリの実行の場合：

 $ find / -perm -2000タイプ-d

ファイルでsuidビットを削除するには、図のようにchmodコマンドを?qū)g行します。

 $ chmod us/path/to/file

ファイルでSGIDビットを削除するには、コマンドを?qū)g行します。

 $ chmod gs filename/path/to/file

PAMモジュールでパスワードポリシーを?qū)g施します

ユーザーが弱いパスワードを設(shè)定することは珍しくありません。ログイン中にそれらを忘れないように、短く、プレーンで簡単に推測可能なパスワードを設(shè)定します。便利ですが、ブルートフォース攻撃スクリプトを使用して、弱いパスワードを簡単に違反できます。

PAMモジュール（ Pluggable Authentication Module ）は、システム管理者がLinuxシステムでパスワードポリシーを?qū)g施できるようにするモジュールです。これを達成するには、 libpam_pwqualityライブラリによって提供されるpam_pwqualityモジュールが必要です。 PAM_PWの品質(zhì)モジュールは、一連のルールとシステム辭書に対してパスワードの強度をチェックし、パスワードの選択を弱めます。

ubuntu 18.04以降のバージョンにpam_pwqualityモジュールをインストールするには、実行します。

 $ sudo apt install libpam_pwquality

Rhel / Centos 8の場合、コマンドを?qū)g行します。

 $ sudo dnfはlibpwqualityをインストールします

構(gòu)成ファイルは、次の場所にあります。

• Debian-Systems - /etc/pam.d/common-passwordについて
• Redhat Systems - /etc/pam.d/system-auth

パスワードポリシーの構(gòu)成

PAM構(gòu)成ファイルの変更を開始する前に、最初にパスワードの老化コントロールに関する洞察を収集してみましょう。

パスワードの老化の詳細

これらは/etc/login.defsファイルにあります。

ファイルには、次のキーパスワードコントロールが含まれています。

• PASS_MAX_DAYS ：パスワードを使用できる最大日數(shù)。
• pass_min_days ：最小數(shù)。パスワードの変更の間に許可される日の。
• pass_warn_age ：パスワードが期限切れになる前に與えられた日數(shù)の警告。

デフォルト値を以下に示します。

pass_max_days屬性は、ユーザーがパスワードを使用できる日數(shù)を制限します。この値が達成されるか、パスワードが期限切れになると、ユーザーはシステムにログインするためにパスワードを変更することを余儀なくされます。デフォルトでは、この値は99999に設(shè)定されており、 273年に変換されます。ユーザーは生涯にわたってパスワードを使用し続けることができるため、セキュリティに関する限り、これはあまり意味がありません。

これを意味のある価値に設(shè)定できます。これは、示されているように30日などです。

 pass_max_days 30

30日間の経過後、ユーザーはパスワードを別のパスワードに変更することを余儀なくされます。

Pass_min_days屬性は、ユーザーがパスワードを変更する前に使用できる最小期間を綴ります。これはどういう意味ですか？たとえば、この値が15日間に設(shè)定されている場合、ユーザーは15日の経過前に再びパスワードを変更することができません。

 pass_max_days 15

PASS_WARN_AGE屬性は、ユーザーが有効期限が切れる前に、差し迫ったパスワードの有効期限について警告を発する日數(shù)を指定します。たとえば、図のようにこれを7日間に設(shè)定できます。

 pass_max_days 7

注：これらのパスワードコントロールは、既存のアカウントでは機能しません。それらは、ルールを定義した後に作成された新しいアカウントにのみ適用されます。

PAMモジュールでパスワードの複雑さを設(shè)定します

/etc/pam.d/common-passwordファイルを編集する前に、バックアップコピーを作成します。この例では、 common-password.bakバックアップコピーファイルを作成しました。

 $ sudo cp /etc/pam.d/common-password/etc/pam.d/common-password.bak

次に、ファイルを開きます。

 $ sudo vim /etc/pam.d/common-password 

以下に示す行を見つけます。

パスワードが必要なPAM_PWALATION.SO RETRY = 3

再試行オプションは、エラーを取得する前に、適切なパスワードを入力するのに必要な最大回數(shù)を設(shè)定します。デフォルトでは、これは3に設(shè)定されます。これは1つのオプションであり、いくつかのオプションが含まれます。

次の屬性をラインに追加します。

 minlen = 10 difok = 3 lcredit = -1 ucredit = -1 dcredit = -1 ocredit = -1 reject_username 

これらの屬性を肉付けしましょう。

• Minlen = 10 ：パスワードの最小許容サイズを設(shè)定します。この場合、10文字。
• Difok = 3 ：これは、前のパスワードに存在する文字の最大數(shù)です。
• lcredit = -1 ：これは、パスワードに存在するはずの小文字の最小數(shù)です。
• ucredit = -1 ：パスワードに存在するはずの小文字の最大數(shù)の數(shù)字です。
• dcredit = -1 ：パスワードで定義する必要がある數(shù)値文字の最小數(shù)。
• ocredit = -1 ：特殊文字の最小數(shù) @、＃、＆それはパスワードで定義する必要があります。
• declject_username ：このオプションは、パスワードがストレート形式または逆形式のユーザー名である場合、パスワードの拒否をトリガーします。

パスワードポリシーに達していない新しいユーザーを作成してみると、示されているようなエラーにぶつかります。

まとめ

これで、一般的なシステムセキュリティとセキュリティの基礎(chǔ)に関するトピックを締めくくります。章全體で、ハッカーや不満を抱いた従業(yè)員などの悪意のあるユーザーからLinuxシステムを保護するために実裝できる基本的なセキュリティ対策に光を當(dāng)てています。

以上がLFCA：Linuxシステムセキュリティを改善する方法 - パート20の詳細內(nèi)容です。詳細については、PHP 中國語 Web サイトの他の関連記事を參照してください。