Jump to contentJump to page navigation: previous page [access key p]/next page [access key n]
コンテンツコンテンツ
セキュリティ強化ガイド
  1. 前書き
  2. 1 セキュリティと機密保持
  3. I 認証
    1. 2 PAM を利用した認証
    2. 3 NIS の使用
    3. 4 YaST を利用した認証クライアントの設定
    4. 5 389 Directory Server を利用した LDAP サービス
    5. 6 Kerberos を利用したネットワーク認証
    6. 7 Active Directory サポート
    7. 8 FreeRADIUS サーバの構築
  4. II ローカルセキュリティ
    1. 9 物理的なセキュリティ
    2. 10 ソフトウエア管理
    3. 11 ファイルの管理
    4. 12 パーティションやファイルの暗号化
    5. 13 cryptctl を利用したアプリケーション向けのストレージ暗号化
    6. 14 ユーザ管理
    7. 15 cronat の制限
    8. 16 Spectre/Meltdown チェッカー
    9. 17 YaST を利用したセキュリティの設定
    10. 18 Polkit 認可フレームワーク
    11. 19 Linux でのアクセス制御リスト
    12. 20 AIDE を利用した侵入検知
  5. III ネットワークセキュリティ
    1. 21 X Window System と X 認証
    2. 22 OpenSSH によるネットワーク操作の機密保持
    3. 23 マスカレードとファイアウオール
    4. 24 VPN サーバの設定
    5. 25 X Window System で動作する PKI マネージャ XCA による管理
    6. 26 sysctl 変数によるネットワークセキュリティの改善
  6. IV AppArmor による権限の制限
    1. 27 AppArmor の紹介
    2. 28 入門
    3. 29 プログラムに対する予防接種
    4. 30 プロファイルのコンポーネントと文法
    5. 31 AppArmor のプロファイルリポジトリ
    6. 32 YaST を利用したプロファイルの構築と管理
    7. 33 コマンドラインからのプロファイル構築
    8. 34 チェンジハット機能による Web アプリケーションのプロファイル作成
    9. 35 pam_apparmor によるユーザの制限
    10. 36 プロファイルを作成したアプリケーションの管理
    11. 37 サポート
    12. 38 AppArmor 用語集
  7. V SELinux
    1. 39 SELinux の設定
  8. VI Linux 監査フレームワーク
    1. 40 Understanding Linux audit
    2. 41 Linux 監査フレームワークの設定
    3. 42 監査ルールセットの紹介
    4. 43 その他の情報源
  9. A GNU ライセンス
ナビゲーション
適用先 openSUSE Leap 15.6

17 YaST を利用したセキュリティの設定 Edit source

概要

YaST のモジュールである セキュリティセンター を利用することで、 openSUSE Leap に対するセキュリティ関連の設定を一括で変更することができます。ログイン処理やパスワードの生成に関する設定のほか、起動の許可に関する設定やユーザの作成、既定のファイルアクセス許可などの設定が含まれています。このモジュールは、 YaST コントロールセンターから セキュリティとユーザ › セキュリティセンター を選択することで、起動を行うことができます。起動を行うと、 セキュリティセンター ダイアログは、 セキュリティの概要 が選択された状態で始まりますが、それ以外の設定分野については、左側のペインで選択して表示させてください。

17.1 セキュリティの概要 Edit source

セキュリティの概要 には、お使いのシステムで最も重要なセキュリティ設定について、その一覧が表示されています。一覧内の各項目には、現時点でのセキュリティ状態が表示され、緑色のチェックマークであれば安全な設定が適用されていることを、赤色のバツ印であれば危険な設定であることを示しています。設定に関する概要のほか、安全にする方法を知りたい場合は、それぞれの項目内にある ヘルプ を押してください。設定を変更したい場合は、状態の列にある各リンクを押してください。設定の項目により、下記のような表示が現れます:

有効 / 無効

このリンクを押すことで、有効/無効を直接切り替えることができます。

設定

このリンクを押すと、別の YaST モジュールを起動します。起動したモジュール側で設定を行ったあと、このモジュールに戻って再確認してください。

不明

対応するサービスがインストールされていないため、設定の状態が不明であることを表しています。明確なセキュリティリスクを表しているものではありません。

YaST セキュリティセンターとセキュリティの強化: セキュリティの概要
図 17.1: YaST セキュリティセンターとセキュリティの強化: セキュリティの概要

17.2 事前定義済みのセキュリティ設定 Edit source

openSUSE Leap には 3 種類の 事前定義済みのセキュリティ設定 が用意されています。これらの設定は、 セキュリティセンター モジュール内の全ての設定項目に対して影響を及ぼします。左側のペインで 事前定義済みのセキュリティ設定 を選択して画面を表示させ、適用したいものを選んで閉じてください。ここからさらに細かく設定を行いたい場合は、再度 セキュリティセンター モジュールを開いて、 事前定義済みのセキュリティ設定 を選択したあと、右側のペインで カスタム設定 を選択してください。このようにすることで、事前定義済みの設定からさらに細かい調整を施すことができます。

ワークステーション

任意のネットワーク接続 (インターネット接続を含む) を利用する、ワークステーション向けの設定です。

ローミングデバイス

様々なネットワークに接続するラップトップやタブレット向けの設定です。

ネットワークサーバ

Web サーバやファイルサーバ、ネームサーバなど、ネットワークサービスを提供するマシン向けのセキュリティ設定です。この設定を選択することで、最大限に安全を確保した設定になります。

カスタム設定

3 種類の事前定義済みの設定を適用したあと細かい調整を行いたい場合は、 カスタム設定 を選んでください。

17.3 パスワード設定 Edit source

容易に推測できるパスワードを使用してしまうと、大きなセキュリティ問題となります。 パスワード設定 のダイアログでは、安全なパスワードのみを使用するように設定することができます。

新しいパスワードのチェック

このチェックボックスにチェックを入れると、辞書内に存在するような単語や固有名詞などが存在した場合、警告メッセージを表示するようになります。

最小パスワード文字数

ユーザがここで指定した長さよりも短いパスワードを設定しようとすると、警告メッセージを表示します。

記録するパスワードの数

パスワードの有効期限の設定 (パスワード有効日数) が有効化されている場合、ここで指定した数だけ過去のパスワードを保存することができるようになります。これにより、パスワードの再利用を防ぐことができます。

パスワードの暗号化方法

パスワードの暗号化方法を選択します。通常は既定値 (SHA-512) のままでかまいません。

パスワード有効日数

最小値と最大値をそれぞれ日数で指定することで、パスワードの有効期間を設定することができます。最小日数を 0 日以上に設定すると、いったんパスワードを変更したあとは、すぐにパスワードを変更できなくなります (これにより、パスワードの有効期間の制限を迂回できなくすることができます) 。なお、最小値と最大値を 099999 に設定することで、有効日数の制限を無効化することができます。

パスワード失効警告日数

パスワードの有効期間が設定されている場合、事前にユーザに対して警告を表示することができます。ここでは、警告メッセージを表示する日数 (実際に有効期間が切れる前の日数) を指定します。

17.4 起動設定 Edit source

このダイアログでは、グラフィカルなログインマネージャでどのユーザがシャットダウンできるようにするのかを設定します。このほか、 CtrlAltDel の解釈や休止状態を誰に許可するのかなども設定することができます。

17.5 ログイン設定 Edit source

このダイアログでは、ログインに関わるセキュリティ設定を行うことができます:

ログイン失敗時の待機時間

繰り返しログインを試してみることで、ユーザのパスワードを推測できることがないよう、パスワードの入力を誤った場合には、ログインプロンプトの表示を遅らせるように設定しておくことをお勧めします。ここでは秒単位で値を設定しますが、あまりにも大きな値を設定してしまうと、パスワードの入力を誤った際に長い時間待たされることにもなってしまいます。

リモートのグラフィカルログインを許可

この項目にチェックを入れると、グラフィカルなログインマネージャ (GDM) がネットワーク経由でアクセスできるようになります。これは潜在的なセキュリティリスクとなります。

17.6 ユーザ追加 Edit source

ユーザ ID やグループ ID の最小値と最大値を設定します。ほとんどの場合、既定値を変更する必要はありません。

17.7 その他の設定 Edit source

ここには、上述の分類に当てはまらなかったその他のセキュリティ設定が用意されています:

ファイルのアクセス権

openSUSE Leap には 3 種類のファイルアクセス権セットが用意されています。これらのアクセス権は、一般ユーザがログファイルを読めるかどうかや、特定のプログラムを起動できるかどうかに影響するものです。 簡易 はスタンドアロンのマシンに最適な設定で、たとえば一般ユーザからほとんどのシステムファイルを読み込むことができるようになります。詳しい設定内容については、 /etc/permissions.easy をご覧ください。 厳格 はネットワーク経由でアクセスされるマルチユーザ型のマシンに適切な設定で、詳細は /etc/permissions.secure に書かれています。 偏執 は最も制限の厳しい設定で、注意して使用しなければならないものです。詳しくは /etc/permissions.paranoid をご覧ください。

updatedb を実行するユーザ

updatedb プログラムはシステム内を検索するプログラムで、あとから locate コマンドで問い合わせることができるよう、全てのファイルの場所に関するデータベースを作成します。 updatedb コマンドを nobody で実行すると、全てのユーザから読み込むことのできるファイルのみをデータベースに書き込むようになります。このプログラムを root で実行すると、ほぼ全てのファイル (ただし root から読み込むことができないものは除きます) を追加することになります。

マジック SysRq キー

マジック SysRq キーは、システムがクラッシュした場合などにいくつかの操作を行うことができる、キーの入力の組み合わせです。詳しい説明については、 https://www.kernel.org/doc/html/latest/admin-guide/sysrq.html (英語) もしくは https://ja.wikipedia.org/wiki/%E3%83%9E%E3%82%B8%E3%83%83%E3%82%AFSysRq%E3%82%AD%E3%83%BC をお読みください。

このページを印刷