1. 一般ユーザの追加
インストール時には「ルート」と呼ばれる管理者用のアカウントしか作りませんでした。 しかし、これでは困るので、一般ユーザ用のアカウントを作成しましょう。 具体的な方法は 情報実験第 2 回の資料を参照して下さい。
2. sudo の設定
[2.1] sudo の意義
情報実験のように複数の人間で PC を管理することを考えましょう。 この場合、複数の人間がルートになる必要がありますが、 ルートのパスワードを共有するのはセキュリティ上最悪です。 このような場合は sudo コマンドを用いて、 ある特定のユーザがルート権限でコマンドを実行できるようにしましょう。
ここで注意しておきたいことは、 今後 Linux にログインするときには、root でログインしてはいけません。 root は何でも出来ますので、誤って重要なファイルを消してしまう可能性があります。 作法として、本当に必要な場合にだけ root になるようにしましょう。
[2.2] 実際の設定
ここでは sudo を用いることで、例えば hoge さんがルート権限でコマンドを実行できるようします。
/etc/sudoers を編集します。これには visudo コマンドを実行します。
# visudo
以下の 1 行を追加します。
hoge ALL=(ALL)ALL
各フィールドの意味は次の通りです。
- hoge ALL=(ALL)ALL:
sudo できるユーザのアカウント名。"%" を付けると特定のグループを指す。 - hoge ALL=(ALL)ALL:
ホストに対する許可(/etc/sudoers にホストに対するエイリアスを書かない限り ALL にしておけばいいようだ) - hoge ALL=(ALL)ALL:
sudo されるユーザ名 - hoge ALL=(ALL)ALL:
利用できるコマンドの制限 (ALL ならばカッコで括ったユーザの使える全てのコマンドを利用できる)
[2.3] 使い方
使い方は、使いたいコマンドの前に sudo と付け加えるだけです。 例えば ifconfig は root しか実行できないコマンドですが、 sudo でルート権限が与えられているユーザの場合は
$ sudo ifconfig
とすることで実行できます。
但しパスワードを聞かれますので、その時は自分自身のパスワードを入力して下さい。
3. LILO の確認
情報実験の OS 再インストールでは Windows XP (/dev/hda1 パーティションにインストール) と Linux (/dev/hda2 パーティションインストール) のマルチブート(デュアルブート)環境の構築を目的としていました。 前回の作業ではブートセレクターとして LILO を パーティション /dev/hda2 にインストールしたはずです。 LILO でどのパーティションから起動するか設定するには /etc/lilo.conf を編集します。
勘の良い方はもう気が付いていると思いますが情報実験機はすでに マルチブート環境になっています。その証拠に、本日の作業の最初 の再起動時にWindows と Linux の起動選択画面が表示されたはずで す。最近の Debian (woody) ではインストール時に LILO の設定が完 了するようになっています。それでは LILO はどのように起動選択を しているのでしょうか? 以下で確かめてみることにします。
$ sudo vi /etc/lilo.conf
lilo.conf の最後の方には、他の OS を立ち上げる場合の例が書いてあります。
other = /dev/hda1
label = WinNT (hda1)
other はデフォルト (ここでは Linux) 以外の OS を起動メニューに加え、 LILO から起動可能にします。 label は起動時の LILO 画面での表示を表しています。 もし lilo.conf の設定が反映されるか確かめたいならばここの "WinNT (hda1)" を "WinXP" などのようにして設定を保存してみましょう。 (vi の使い方は 『 情報実験第 4 回 - 最低限 vi - 』 を参照)
設定ファイル lilo.conf の内容をシステムに反映させるためには 必ず次のコマンドを忘れずに入力します。
$ sudo lilo
ここで "Added WinXP" と表示されることを確認して下さい。
問題が無いようでしたら、コンピュータを再起動します。 再起動させるには、
# shutdown -r nowとします。
再起動時の LILO の表示が "WinXP" に変わったことを確かめましょう。
4. X サーバの起動
それでは最後に X を立ち上げます。 以下のコマンドを実行します。
$ startx |
startx は一般ユーザ権限で行うことに注意して下さい。 そうしないと……、気が向いたら試してみて下さい。 ~/.Xauthority の所有者がルートになってしまいます。
5. セキュリティ対策
[5.1] なぜセキュリティー対策か
不必要なネットワークサービスが立ち上げないようにすることがあげられる。必要ないネットワークサービスを 立ち上げているとそれを踏み台にクラックされる可能性が出てきます。必要ないサービスは極力殺しておくこと が基本です.ネットワークサービスは以下のように起動されます。
- /usr/sbin/inetd によって起動される。
- /etc/init.d/ の下にあり、ブート時に起動する。
[5.2] /etc/inetd.conf の編集
/usr/sbin/inetd によって起動されるネットワークサービスのうち、必要の無いものを全て殺す。 inetd (インターネットデーモン)は 同時に多数のネットワークポートでの接続要求を待ち、接続が完 了された段階で要求に応じて適切な TCP サーバ、UDP サーバを起動する。inetd は起動時に /etc/inetd.conf ファイルを読み込み、実行すべきネットワークサービスを決定する。
/etc/inetd.conf を編集して不必要なサービスが上がらないようにする。
# vi /etc/inetd.conf
必要のないサービスの行をコメントアウトします(すべてコメントアウトされているのを確認)。
/etc/inetd.conf を編集したら編集した内容を反映させるため、inetd のプロセスを再起動する。
$ ps aux |grep inetd |
[5.3] /etc/init.d/
/etc/init.d/ の下に関しては管理者がしっかりと把握し、常におかしなものが起動していないかどう かチェックする必要があります。ps コマンドでどのようなデーモンが動いているか調べることが必要と なります。特に NFS (Network File System; ネットワーク越しに別のコンピュータのハードディスクを ローカルのハードディスクのように扱うための技術)、NIS (Network Information Service; ネットワー ク環境でUNIXの設定を集中管理する技術)を立ち上げた状態にしてはいけません。
5. 参考文献
- 武藤健志 著「Debian GNU/Linux 徹底入門 ---Potato 対応版---」 翔泳社, ISBN4-88135-949-5