12. よくある質問

1. ドライバをカーネルに直接組み込むのと，モジュールとして作成する のでは，どちらが安全でしょうか？

   回答: モジュールを用いたデバイスドライバのロード機能は無効にしておく方 が良いという意見の人もいます．というのも，侵入者がトロイの木馬を仕込ん だモジュールやシステムのセキュリティに影響を与えるモジュールをロードす るかもしれないからです．

   しかし，モジュールを読み込むためには root にならなくてはなりません． モジュールのオブジェクトファイルを書き換えることができるのも root だけ です．つまり，侵入者がモジュールを組み込むためには，root 権限が必要で す．逆に侵入者が root 権限を得てしまったら，モジュールをロードするかど うかということよりも，もっと深刻な事態になります．

   モジュールはあまり頻繁に使用しない特定デバイスを動的に読み込むための仕 組みです．例えばサーバマシンや防火壁などでは，こういうことはあまり起こ りません．従って，サーバとして動かすマシンでは，カーネルに直接ドライバ を組み込む方が良いでしょう．また，モジュールを使うと直接カーネルに組み 込む場合よりも動作が遅くなります．

2. リモートのマシンから root でログインできません．

   回答: root のセキュリティの章を読みま しょう．これはリモートのユーザが telnet で root とし てログインしようとするのを防ぐため，わざとそうしているのです． root として telnet でログインするのはセキュリティ的 には非常に危険なことです．侵入者になる可能性を持った人は常にあなたのそ ばにいて，パスワードを盗むためのプログラムを自動的に動かしていることを 忘れてはなりません．

3. RedHat Linux 4.2, 5.x でシャドウパスワードを使うにはどうすれば良いでしょう？

   回答: シャドウパスワードは，標準の /etc/passwd ファイル以外の ファイルにパスワードを格納する機構です．これにはいくつかの利点がありま す．最初の利点は，シャドウファイル /etc/shadow は誰でも読めな ければならない /etc/passwd ファイルと異なり，root しか読み出 せない点です．別の利点は，管理者として，他のユーザアカウントの状態を誰 にも知らせないまま，アカウントを有効または無効にできることです．

   シャドウパスワードを使っていても，ユーザやグループ名の格納には /etc/passwd ファイルが使われます．このファイルは， /bin/ls 等のプログラムがディレクトリ表示の際にユーザ ID を適 切なユーザ名に変換するために使います．

   /etc/shadow ファイルには，ユーザ名とパスワードとアカウントの 有効期限などのアカウント情報だけが含まれています．

   シャドウパスワードを有効にするためには，root になって pwconv コマンドをを実行します．すると /etc/shadow ファイルが作られ， アプリケーションに使われるようになります．RedHat 4.2 以降では，通常の /etc/passwd ファイルからシャドウパスワードへの変更への適合は PAM モジュールが自動的に行います．他の変更は全く必要ありません．

   パスワードの安全を考えていれば，たぶんパスワードも最初から良いものを 作ろうと思うでしょう．これを行うために PAM の一部である `pam_cracklib' モジュールが利用できます．これはパスワードに対して Crack ライブラリを適用し，パスワードクラッキングプログラムによって簡単 に推測されないかどうか調べることができます．

4. Apache の SSL 拡張はどうやって有効にするのですか？

   回答:

   1. バージョン 0.8.0 以降の SSLeay を ftp://ftp.psy.uq.oz.au/pub/Crypto/SSL から入手します

   2. これをコンパイル，テスト，そしてインストールします

   3. Apache 1.2.5 のソースを入手します

   4. ここ から Apache SSLeay 拡張を入手します

   5. これを Apache 1.2.5 のソースディレクトリで展開し，README に従ってパッ チを当てます

   6. 設定とコンパイルを行います

   アメリカ国外にある Replay Associatesからバイナリパッケージを入手することもできます．

5. セキュリティを確保したままで，ユーザアカウントを処理するにはど うすれば良いでしょう？

   回答: RedHat ディストリビューション，特に RedHat 5.0 には，ユーザアカ ウントの状態を変更するツールがたくさん入っています．

   • シャドウパスワードと非シャドウパスワードを相互変換する pwconv と unpwconv
   • passwd ファイルと group ファイルの構成が正しい かどうか検査する pwck と grpck
   • ユーザアカウントの追加，削除，変更を行う useradd, usermod, userdel．グループについて同様の作業を行うた めの groupadd, gropumod, groupdel
   • グループにパスワードを設定する gpasswd

   これらのプログラムは全て「シャドウ対応」です．つまり，シャドウパスワー ドが有効であれば，/etc/shadow のパスワード情報を参照し，有効 でなければこのファイルは参照しません．

   詳しくは，それぞれのコマンドのオンラインマニュアルを参照してください．

6. Apache で特定の HTML をパスワードで保護するにはどうすればよい でしょうか？

   http://www.apacheweek.org のことをご存じないでしょう？

   ユーザ認証については， http://www.apacheweek.com/features/userauth に情報がありますし， ウェブサーバに関するその他のヒントも http://www.apache.org/docs/misc/security_tips.html にあります．