19.2. Turbolinux 11 Server の方針

セキュリティ対策を実施する際のアプローチとして Allow all と Deny all の 2 つがあります。Allow all はまず全てを許可して不要なものを拒否していくアプローチで、Deny all はまず全てを拒否して必要なものを許可していくアプローチです。一般的には Allow all は簡単で、Deny all はより安全であると言われています。

Turbolinux ではインストール直後の状態では Deny all アプローチを採用しています。例えば、初期状態ではスーパーサーバーから起動されるサービスは全て停止されており、hosts.allow や hosts.deny でも sshd を除くサービスはローカルホスト以外からのアクセスを拒否するように設定されています（詳細は第20章を参照）。

アカウント管理としては発行／廃止手続きや有効期限などのルール的なものと、パスワードの暗号化方式やログイン方式などの技術的なものがあります。

Turbolinux では標準でシャドウパスワードを採用していますので暗号化されたパスワードは /etc/passwd ではなく、/etc/shadow ファイルに保存されています。

アカウントに対する有効期限の設定や時間制限などは標準では行っていません。これらは組織のルールに直接かかわる設定であり、標準で行うべきものではないと考えています。chage コマンドにより設定することは可能です。詳しくは man ページ chage(1) を参照してください。

過度のアカウント記録はユーザーのプライバシーを侵害する可能性があります。Turbolinuxの標準では、アカウント記録はログイン履歴のみです。accton コマンドでプロセス単位のアカウント記録をとることができるようになります。詳しくは man ページ accton(8) を参照してください。

ログをどの程度どのくらいの期間残すかはセキュリティ対策として重要です。Turbolinux 11 Server ではログファイルを 1 週間ごとに更新し、4 世代前まで（5週間分）残すように設定されています。また、ログイン履歴である wtmp については 1 ヵ月ごとに更新し、1 世代前まで（ 2 ヵ月分）残すように設定されています。設定については、man ページ logrotate(8) を参照してください。

root 権限でのログインは仮想コンソールのみに制限されています。telnet やセキュアシェル（SSH）を使って root アカウントで直接リモートログインすることはできません。一般ユーザーでログインし、必要に応じて su コマンドで root 権限を得る必要があります。なぜなら、外部から悪意のあるユーザーがたまたま root のパスワードを見つけてしまうかもしれないからです。root 権限を手に入れてしまえば、そのシステムを自由に操ることができてしまいます。初めから root でのログインを許していなければ、パスワードを盗まれても root 権限を与えることは免れます。

シリアルコンソールなどの特定の端末からのログインを許可する方法については、man ページ securetty(5) を参照してください。また、制限そのものをなくすには、/etc/pam.d/login ファイルから以下の 1 行の先頭に # を付け、コメントにします。

# auth       required     /lib/security/pam_securetty.so

機能強化やバグ修正のためにソフトウェアをアップデートすることがあります。その際にはそのアップデートが本当に必要なものなのか、また、信頼できる入手方法は何かということを考えるようにしましょう。特にネットワーク経由で入手したパッケージについては、内容確認を心がけてください。Turbolinux では随時アップデート情報をWebサイト（http://www.turbolinux.co.jp/security/）で公開していますので、そちらも参考にしてください。