LinuCレベル1 102試験の出題範囲「1.10.1 セキュリティ管理業務の実施」の技術的内容を解説します。
重要度 3 概要 システム構成を調べて、ホストのセキュリティをローカルセキュリティポリシーに従わせる方法を知っている。 詳細 システムを監査して、SUID/SGIDビットが設定されているファイルを探す。
・find
ユーザのパスワードおよびパスワードエージング情報を設定または変更する。
・passwd, usermod, chage
nmapおよびnetstatを使用して、システムの開いているポートを見つける。
・ss, netstat, nmap, lsof, fuser
ユーザのログイン状況や履歴を把握する。
・who, w, last
ユーザのログイン、プロセス、メモリー使用量を制限する。
・ulimit
基本的なsudoの設定および利用ができる。
・su, sudo, /etc/sudoers
自動ログアウトの設定をする。
・TMOUT
chageコマンドの概要
「chage」はパスワードの有効期限の設定に関するコマンドで、CHange password AGEという言い回しに由来します。chageコマンドではパスワードの有効期限の確認や詳細な設定が可能です。
chageコマンドのオプション
[ ]内はオプションが表している文字を示します。
| オプション | 説明 |
|---|---|
| なし | 対話モード(ユーザ名の指定は必要) |
| -l | パスワードの有効期限に関する情報を表示する [ls] |
| -m | パスワード変更の間隔の最短日数を指定 (パスワードを変更できるようになるまでの日数) [minimum] |
| -M | パスワードの有効な最長日数を指定 (何日ごとに必ずパスワードを変更させるか) [Max] |
| -I | パスワードの有効期限切れ後にアカウントが無効になるまでの日数を指定 [Inactive] |
| -W | パスワードの有効期限が切れる前に警告を表示する日数を指定 [Warning] |
| -E | ユーザアカウントの有効期限を指定 [Expire] (YYYY-MM-DD形式) |
※-lオプション以外はrootユーザしか実行できません。
lastコマンドの概要
「last」コマンドは「/var/log/wtmp」ファイルを参照し、最近ログインしたユーザの一覧を表示するコマンドです。「/var/log/wtmp」はユーザのログイン/ログアウト情報が記録されているバイナリファイルになります。
「w」と「who」コマンドの概要
「w」と「who」コマンドは、「/var/run/utmp」ファイルを参照し、現在システムにログインしているユーザーの情報を表示します。「/var/run/utmp」ファイルはログイン中のユーザの情報が格納されているバイナリファイルになります。
nmapコマンドの概要
「nmap」コマンドは引数に指定したホストの開いているポートをネットワーク経由で確認(ポートスキャン)する事ができるコマンドです。対象のホストにログインすることなく、外部からアクセス可能なポートを調査することができます。
※nmapコマンドを使用したポートスキャンは攻撃とみなされることがあるため、自身で管理しているわけではないサーバーに対する不用意なnmapコマンドの使用はしないでください。
ulimitコマンドの概要
ulimitコマンドはユーザやシェルが利用できるリソースを制限するコマンドです。ユーザーの誤操作やプログラムのバグ、悪意のあるユーザーによるリソースの消費などを回避するために使用します。
fuserコマンドの概要
fuserコマンドは、システム上の使用中のプロセスを検索し、強制終了することのできるコマンドです。
lsofコマンドの概要
lsofコマンドは、プロセス情報を表示するコマンドです。
環境変数「TMOUT」の概要
環境変数「TMOUT」は、指定した時間何も入力が無ければ自動的にユーザをシェルからログアウトさせる環境変数です。
たとえば5分間(300秒)入力が無ければ自動ログアウトさせるには以下のように環境変数を設定します。
export TMOUT=300