@IT:止められないUNIXサーバの管理対策 第5回 (3) ~管理者権限の制限のためのsuとsudoの基本~
※ご注意 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 前回は、すべてのコマンドが使用できてしまう特権ユーザー(スーパーユー ザー)の利用制限について説明した。今回は、引き続き特権ユーザーが通常行うsuのセキュリティ上の問題点やsudoの基本的な使い方について紹介する。 suの問題点 suコマンドは、再ログインになしにrootに限らず任意のユーザーにスイッチすることができるという、とても便利なコマンドだ。しかし、そんなsuコマンドには、以下に示すようなことが懸念されている。 ●rootのパスワードを入力する必要がある suコマンドは、実行時にスイッチするユーザーのパスワードを入力する必要がある。例えばtelnetでリモートログ
sudo による管理者権限の付与
サーバーの管理者権限を得るコマンドとして、su コマンドが用意されていますが、これはログインするたびにroot のパスワードを入力しなくてはならないという点で、ネットワーク上にroot のパスワードが流れたり、パスワード入力を監視されたり(覗かれたり)するなどの可能性があり、セキュリティ上の観点から多少の不安が残ります。そこで使用するのがsudo(superuser do) コマンドで、指定した一般ユーザに対して特定のroot コマンドを付与することで代理のroot ユーザとしてサーバーを管理させる事ができるようになります。自宅サーバーを構築している皆さんであれば最大の魅力は、やっぱりroot パスワードを何度も入力しなくても済むことでしょうかね…(^_^;) ■sudo のインストール sudo はほとんどのLinuxディストリビューションにはデフォルトでインストールされています。以下の
Linux ユーザとグループ
Linuxは、マルチユーザーなOSです。複数のユーザーが同時に1台のコンピュータを利用することができ、その複数のユーザを管理する事もできます。 ここでは、ユーザーとグループについて説明します。 Last Update : 2006年11月19日 Linux ユーザとグループ 項目 「 システム管理者 」と「 一般ユーザ 」と「 システムアカウント」 システム管理者 一般ユーザー システムアカウント グループ 1. 「 システム管理者 」と「 一般ユーザ 」と「 システムアカウント」 ユーザーの管理単位をアカウントと呼びます。 ユーザアカウントの作成とか、アカウントの削除みたいな言い方で使います。 アカウントは、人間が利用するアカウントと特定のアプリケーション用に存在するものがあります。 人間が利用するアカウントは、システムを管理する人用と、システムを利用する人用とを明確に分ける必要がありま
CentOSで自宅サーバー構築
ルーター経由接続によるインターネット常時接続環境である(当サイトはIIJmioひかりによるインターネット常時接続環境) 固定または非固定のグローバルIPアドレス環境である(当サイトはGMOとくとくBBの固定グローバルIPアドレス環境(逆引きも可能)) ※メールサーバーを構築する場合は逆引き可能な固定グローバルIPアドレス環境が望ましい(非固定グローバルIPアドレスや、固定グローバルIPアドレスでも逆引きしたホスト名とメール送信元ホスト名が異なる場合にメール受信を拒否するメールサーバーがまれに存在するため) OSのインストール時を除き、サーバーの操作はWindowsからコマンド操作で行なう ■コンテンツ ※ホスト名やドメイン名、IPアドレスは各自の環境に置き換えること ※各目次に表記してあるバージョンは、当サイトで確認をとったCentOSのバージョンを示しており、そのバージョンでないとできな
不要なサービスの停止こそ管理の第一歩
サーバ管理者の多くは、自分の運用するサーバに対して、第一にサービスが停止しないこと、そして第二に不正侵入されないことを願うだろう。特にここ数年は、不正侵入の事例が多く報告されていることから、いま一度サーバのセキュリティを見直し(再点検し)たいと思っている読者も中にはいると思う。 そうした場合、OSのリプレースから行い、セキュリティを考慮した設定を行うのが望ましい。しかし実際は、顧客などにサービスを提供したり基幹サーバとして24時間フル稼働している以上、そうやすやすと止めるわけにはいかないのが現実だ。もちろんサーバの冗長化を行っていればその問題はクリアされるが、ほとんどの場合、予算などの関係ですべてのサーバがそのような構成を取ることはできないだろう。 本連載では、現行動作しているUNIXサーバを対象に、稼働サービスの停止を最小限に抑えつつ、セキュリティを向上・維持するための一連の設定やツール
chkconfigコマンド
起動スクリプトを管理する。「/etc/rc[0-6].d」ディレクトリの配下にあるシンボリック・リンク・ファイル(実体は「/etc/init.d」ディレクトリ配下)の生成や変更・削除,各サービスの起動に関する設定をする。 chkconfig --list [起動スクリプト名] または chkconfig --add 起動スクリプト名 または chkconfig --del 起動スクリプト名 または chkconfig [--level ラン・レベル] 起動スクリプト名 {on|off|reset} または chkconfig {--help|-h} または chkconfig {--version|-v}
netstatコマンドを使いこなす @IT:Windows TIPS -- Tips:
TCP/IP関連のトラブルシューティングを行う場合に、必ずといってよいほど使うコマンドとして「netstat」コマンドがある(実行ファイル名はnetstat.exe)。このコマンドは、主にTCPの通信状態を調べるためには必須であり、ぜひともその使い方をマスターしておきたい。 netstatの基本――通信中のTCPコネクションの調査 netstatコマンドの最も基本的な使い方は、通信中のTCPコネクション(TCP接続)の状態を表示させることである。このコマンドを実行すると、ローカルPCのTCP/IPプロトコルスタック上において、現在アクティブになっているTCP通信の状態を表示できる。 ●「TCP」とは? 「コネクション」とは? TCPとは、2つのアプリケーション間で、信頼性のある通信路(コネクション)を開設し、お互いにデータなどをやりとりするための機能である。通信するアプリケーションは、同一
TOTO88 | Bocoran Slot Gacor Hari Ini
Bermain slot gacor di Toto88 bisa menjadi pengalaman yang menggembirakan dan menguntungkan. Dengan berbagai pilihan permainan, fitur yang menarik, dan peluang menang besar, Toto88 telah menjadi destinasi utama bagi para pemain slot online. Artikel ini akan membantu Anda memahami bagaimana memaksimalkan pengalaman Anda saat bermain slot gacor di Toto88. Toto88 menawarkan pengalaman bermain slot onl
はじめての自宅サーバ構築 - Fedora/CentOS - サーバサービスの操作や自動起動の有効/無効
■ サービス管理の種類 ■ SysV services システム起動時に各種サービスの有効/無効を設定するコマンド chkconfig による /etc/rc.d/init.d 配下のスクリプトで実行されています。 例えば、グラフィカルインタフェースの場合は /etc/rc.d/rc5.d 配下のスクリプトが起動され、実体は /etc/rc.d/init.d にシンボリックリンクされています。 SysV services で管理されているサービス一覧は chkconfig コマンドに --list オプションを付与して確認できます。 SysV services 管理下のサービス # chkconfig --list abrt-ccpp 0:off 1:off 2:off 3:on 4:off 5:on 6:off abrt-oops 0:off 1:off 2:off 3:on 4:off
CentOS 5.1 インストール後の設定(不要なサービスを止める)
さて前回は、ユーザーの追加をしました 今回は不要なサービスを止めます 前回「CentOS 5.1 インストール後の設定(ユーザー追加)」 では、 OS起動時に起動するサービスを見てみましょう 起動するサービスの一覧 chkconfig ← コマンド --list ← オプション | sort ← 並び替え # chkconfig --list | sort NetworkManager 0:off 1:off 2:off 3:off 4:off 5:off 6:off NetworkManagerDispatcher 0:off 1:off 2:off 3:off 4:off 5:off 6:off acpid 0:off 1:off 2:off 3:on 4:on 5:on 6:off anacron 0:off 1:off 2:on 3:on 4:on 5:on 6:off apmd
TOTO88 | Bocoran Slot Gacor Hari Ini
Bermain slot gacor di Toto88 bisa menjadi pengalaman yang menggembirakan dan menguntungkan. Dengan berbagai pilihan permainan, fitur yang menarik, dan peluang menang besar, Toto88 telah menjadi destinasi utama bagi para pemain slot online. Artikel ini akan membantu Anda memahami bagaimana memaksimalkan pengalaman Anda saat bermain slot gacor di Toto88. Toto88 menawarkan pengalaman bermain slot onl
CentOS5 不要なサービスの停止 - itochif.com
CentOS5をインストールした直後には、必要のないと考えられるサービスが複数稼動しています。特に、脆弱性のあるネットワークサービスが稼動をしていると、そのサービスが原因で攻撃者にサーバーを乗っ取られてしまったり、他者への攻撃の踏み台として悪用されたりする恐れがあります。 「ファイアウォールで守られているから必要ない」と考える方がいるかもしれませんが、ファイアウォール内の別のサーバーが攻撃者によって乗っ取られたとき、そのサーバーからのアクセスをファイアウォールは防いでくれません。このプロセスを行う事によって、内部外部問わず、ネットワーク経由の攻撃者から、サーバーへの侵入の可能性を軽減することができます。 サーバーにインストールされているサービスを調べるにあたり、現時点ではSSH接続もファイアウォールで拒否しているため、GNOME端末を起動します。GNOME端末の起動は画面左上のメニュー[ア
さくらインターネットサーバでのCPAN導入を完全に手順化して見た - Perl入門ゼミ
Perl › 環境構築 (この記事の内容は古くなっています、現在はcpanmを使ってモジュールをローカルにインストールするのが簡単でしょう。cpanmによるローカル環境構築を見てください。) otsuneさんのところでさくらインターネットのレンタルサーバでCPANを使用する方法が紹介されているのですが、一部手作業が発生するので、すべてコピペで実行できるように手順化してみました。 さくらインターネットサーバcpan導入手順 # ライブラリのためのディレクトリの作成 mkdir -p ~/local # CPANの設定ファイルを作成 echo no | cpan # cpanコマンドの設定ファイルMyConfig.pmの書き換え # ( __END__の行まで一気にコピーして実行してください。とまった場合はEnter ) perl - ~/.cpan/CPAN/MyConfig.pm > ~/
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
kndb.jp