B.2. 設定チェックリスト

This appendix briefly reiterates points from other sections in this manual in a condensed checklist format. This is intended as a quick summary for someone who has already read the manual. There are other good checklists available, including Kurt Seifried's http://seifried.org/security/os/linux/20020324-securing-linux-step-by-step.html and http://www.cert.org/tech_tips/usc20_full.html.

FIXME: This is based on v1.4 of the manual and might need to be updated.

物理的なアクセスやブートの能力を制限する
- Enable a password in the BIOS.
- Disable floppy/cdrom/... booting in the system's BIOS.
- LILO か GRUB のパスワードを設定する (それぞれ /etc/lilo.conf か /boot/grub/menu.lst)。 LILO か GRUB の設定が読みとり保護されているか調べる。
パーティションの分割
- ユーザが書きこめるデータ、Debian システムでないデータそして急速に変化するランタイムのデータを独自のパーティションに分ける
- Set nosuid,noexec,nodev mount options in /etc/fstab on ext2/3 partitions that should not hold binaries such as /home or /tmp.
パスワードの衛生およびログインのセキュリティ
- よい root パスワードを設定する
- PAM をインストールして使う
  PAM に MD5 サポートを追加して (一般的に言って) /etc/pam.d/ ファイルのマシンへのアクセスを認める項目についてその pam.d で 2 番目のフィールドが「requisite」か「required」に設定されているようにする
  ローカルからだけ root のログインを許可するように /etc/pam.d/login をいじる
  さらに /etc/security/access.conf に公認されている tty を記して一般的に root ログインをできるだけ制限するようこのファイルを設定する
  ユーザごとの制限を設定したいなら pam_limits.so を追加する
  /etc/pam.d/passwd をいじる: パスワードの最小の長さを大きくし (6 文字かも) md5 を有効にする
  望むなら /etc/group に wheel を追加する。 pam_wheel.so group=wheel の項目を /etc/pam.d/su に追加する
  独自のユーザごとの制御には、pam_listfile.so の項目を適切な場所で使う
  /etc/pam.d/other ファイルを作り、セキュリティをきつく設定する
- /etc/security/limits.conf で制限を設定する (PAM を使っているなら /etc/limits は使われないことに注意)
- /etc/login.defs をきつくする。さらに、もし MD5 または PAM またはその両方を有効にしているなら、ここでも対応する変更を行う
- Tighten up /etc/pam.d/login
- root での ftp アクセスを /etc/ftpusers で禁止する
- Disable network root login; use su(1) or sudo(1). (consider installing sudo)
- ログインをさらに制限するのに PAM を使う?
その他のローカルのセキュリティ問題
- カーネルをいじる (「カーネルのネットワーク機能を設定する」参照)
- カーネルパッチ (「カーネルパッチを追加する」参照)
- ログファイルのパーミッションをきつくする (/var/log/{last,fail}log、Apache logs)
- /etc/checksecurity.conf で setuid チェックが有効になっていることを検証する
- chattr でログファイルを追加専用にして設定ファイルを immutable にすることを検討する (ext2 ファイルシステム専用)
- ファイルの完全性を設定する (「ファイルシステムの完全性を確かめる」参照)。 debsums をインストールする
- 何もかもローカルのプリンタで記録する?
- 設定を CD に焼いてそこからブートする?
- カーネルモジュールを無効にする?
ネットワークアクセスを制限する
- ssh をインストールして設定する (/etc/ssh で PermitRootLogin No、 PermitEmptyPasswords No にすることを提案。本文中の他の提案も参照)
- Disable or remove in.telnetd, if installed
- 一般的に、update-inetd --disable を使って /etc/inetd.conf 中の不要なサービスを停止する (または、inetd も停止するか、xinetd や rlinetd などの代用品を使う)
- Disable other gratuitous network services; ftp, DNS, WWW etc should not be running if you do not need them and monitor them regularly. In most cases mail should be running but configured for local delivery only.
- 必要なサービスに対しては、単に最も一般的なプログラムを使うのではなく、Debian から (またはその他のところから) 入手できるより安全なバージョンを調べる。何を動かすにせよ、リスクを理解するようにする
- 外部のユーザやデーモンに檻を設定する
- Configure firewall and tcpwrappers (i.e. hosts_access(5)); note trick for /etc/hosts.deny in text.
- ftp を動かすなら、つねにユーザのホームディレクトリに chroot された状態で動くように ftpd サーバを設定する
- X を動かすなら、xhost 認証を禁止してかわりに ssh を使う。よりよいのは、もし可能ならリモートの X を禁止することだ (-nolisten tcp を X のコマンドラインに加え、 /etc/X11/xdm/xdm-config 中で requestPort を 0 に設定して XDMCP を無効にする)
- 外部からプリンタへのアクセスを禁止する
- IMAP または POP のセッションをすべて SSL または ssh を通じて行う。このサービスをリモートのメールユーザに提供したいなら stunnel をインストールする
- ログホストを設置して他のマシンがログをそのホストに送るように設定する (/etc/syslog.conf)
- BIND、Sendmail などの複雑なデーモンを安全にする (chroot の檻の中で動かす。root でない仮ユーザで動かす)
- Install tiger or a similar network intrusion detection tool.
- Install snort or a similar network intrusion detection tool.v
- もし可能なら NIS や RPC なしですます (portmap を停止する)。
ポリシーの問題
- ポリシーがなぜあるか、どんなポリシーかについてユーザを教育する。他のシステムでふつう利用可能なものを禁止するときは、他のより安全な手段を使って同様の結果を達成する方法を説明する文書を提供する
- 平文パスワードを使うプロトコル (telnet、rsh およびその一族。 ftp、imap、http など) を禁止する
- SVGAlib を使うプログラムを禁止する
- ディスク quota を使う
セキュリティ問題についての情報を得る
- セキュリティ関連のメーリングリストを講読する
- セキュリティの更新を講読する -- /etc/apt/sources.list に http://security.debian.org/debian-security への項目 (複数かも) を追加する
- さらに apt-get update ; apt-get upgrade を「セキュリティ上の更新を実行する」で説明されているように周期的に実行するようにする (もしかしたら cron job としてインストールする?)