BLFS Book: Chapter4.Security
・Shadow-4.0.9
・Iptables-1.3.3
・GnuPG-1.4.1
引き続きセキュリティ関連ソフトのインストール作業を行っていきます。先ずは、Shadowから。実行コマンドは以下のとおりです。
Shadow-4.0.9
$ wget ftp://ftp.pld.org.pl/software/shadow/old/shadow-4.0.9.tar.bz2
$ wget http://www.linuxfromscratch.org/blfs/downloads/6.1/shadow-4.0.9-Linux_PAM_fixes-1.patch
$ tar jxvf shadow-4.0.9.tar.bz2
$ cd shadow-4.0.9
$ patch -Np1 -i ../shadow-4.0.9-Linux_PAM_fixes-1.patch
$ ./configure --libdir=/lib \
>--enable-shared \
>--with-libpam \
>--without-libcrack
$ sed -i 's/groups$(EXEEXT) //' src/Makefile
$ sed -i '/groups/d' man/Makefile
$ make
$ su
# make install
# mv -v /usr/bin/passwd /bin
# mv -v /lib/libshadow.*a /usr/lib
# rm -v /lib/libshadow.so
# ln -v -sf ../../lib/libshadow.so.0 /usr/lib/libshadow.so
Shadowのインストールが終わったら、認証に関する設定ファイル(/etc/login.defs)を編集します。編集内容は単にコメントするだけですが、設定項目が多いので少々面倒臭いです。以下の設定項目について、コメント(行頭に"#"を追加)します。エディタの検索機能で地道にコメントしていきましょう。
LASTLOG_ENAB
MAIL_CHECK_ENAB
PORTTIME_CHECKS_ENAB
CONSOLE
MOTD_FILE
NOLOGINS_FILE
PASS_MIN_LEN
SU_WHEEL_ONLY
MD5_CRYPT_ENAB
CONSOLE_GROUPS
ENVIRON_FILE
ULIMIT
ENV_TZ
ENV_HZ
ENV_SUPATH
ENV_PATH
QMAIL_DIR
MAIL_DIR
MAIL_FILE
CHFN_AUTH
FAILLOG_ENAB
QUOTAS_ENAB
FTMP_FILE
OBSCURE_CHECKS_ENAB
CRACKLIB_DICTPATH
PASS_CHANGE_TRIES
PASS_ALWAYS_WARN
次に認証系コマンド用のPAM設定ファイルを以下の通り作成します。
・/etc/pam.d/login
auth requisite pam_securetty.so
auth requisite pam_nologin.so
auth required pam_unix.so
account required pam_access.so
account required pam_unix.so
session required pam_env.so
session required pam_motd.so
session required pam_limits.so
session optional pam_mail.so dir=/var/mail standard
session optional pam_lastlog.so
session required pam_unix.so
password required pam_cracklib.so retry=3 difok=8 minlen=5 dcredit=3 ocredit=3 ucredit=2 lcredit=2
password required pam_unix.so md5 shadow use_authtok
・/etc/pam.d/passwd
password required pam_cracklib.so retry=3 difok=8 minlen=5 dcredit=3 ocredit=3 ucredit=2 lcredit=2
password required pam_unix.so md5 shadow use_authtok
・/etc/pam.d/su
auth sufficient pam_rootok.so
auth pam_rootok.so
account required pam_unix.so
session optional pam_mail.so dir=/var/mail standard
session required pam_env.so
session required pam_unix.so
・/etc/pam.d/chage
auth sufficient pam_rootok.so
auth required pam_unix.so
account required pam_unix.so
session required pam_unix.so
password required pam_permit.so
・/etc/pam.d/other
auth required pam_deny.so
auth required pam_warn.so
account required pam_deny.so
session required pam_deny.so
password required pam_deny.so
password pam_warn.so
その他コマンドのPAM設定ファイルについても、内容的に変わらない物については、以下のコマンドで複製します。
# for PROGRAM in chpasswd newusers groupadd groupdel groupmod useradd userdel usermod
>do
>install -v -m644 /etc/pam.d/chage /etc/pam.d/$PROGRAM
>done
残りの設定は下記のとおりです。これでようやく、Shadowのインストールが完了です。
# if [ -f /etc/login.access ]; then
>mv -v /etc/login.access /etc/login.access.NOUSE
>fi
# if [ -f /etc/limits ]; then
>mv -v /etc/limits /etc/limits.NOUSE
>fi
# ENV_PATH=`grep '^#ENV_PATH' /etc/login.defs | awk '{ print $2 }' | sed 's/PATH=//'`
# echo 'PATH DEFAULT='`echo "${ENV_PATH}"`' OVERRIDE=${PATH}' >> /etc/security/pam_env.conf
# unset ENV_PATH
ようやくShadowのインストールが終わり、次にインストールするソフトはiptablesです。以下の要領でインストールします。
・Iptables-1.3.3
$ wget http://www.iptables.org/files/iptables-1.3.3.tar.bz2
$ tar jvxf iptables-1.3.3.tar.bz2
$ cd iptables-1.3.3
$ make PREFIX=/usr LIBDIR=/lib BINDIR=/sbin
$ su
# make PREFIX=/usr LIBDIR=/lib BINDIR=/sbin install
# make install-iptables
最後にGnuPGをインストールして、セキュリティ関連ソフトのインストールは終わりです。実行したコマンドは下記の通り。
・GnuPG-1.4.1
$ wget http://public.ftp.planetmirror.com/pub/gnupg/gnupg-1.4.1.tar.bz2
$ tar jxvf gnupg-1.4.1.tar.bz2
$ cd gnupg-1.4.1
$ ./configure --prefix=/usr --libexecdir=/usr/lib
$ make
$ su
# make install
# chmod -v 4755 /usr/bin/gpg
コメントする