FreeBSD ports/packagesで導入したパッケージの脆弱性をチェックする。ついでにjailも。
FreeBSD Ports/Packagesの脆弱性をチェックするには、ports-mgmt以下にある、portauditと呼ばれるツールを使用すると良い。
# portaudit -Fda
脆弱性のあるパッケージの情報を取得し、表示する。これを導入すると、/usr/local/etc/periodic/security/410.jailauditというファイルが作成され、毎日送られてくるシステムレポートのメールに結果が記されるようになる。
さて、ここでjailを利用している場合、各ホストでjailauditを導入するのは手間であるので、可能ならばホストで実行したい。この場合はjailauditを用いれば良い。jailauditを導入すると、ホスト環境から各jail環境でportauditを実行しその結果を取得できるようになる。
portsから導入した後、以下のようにして利用できる:
# jailaudit generate ← データベースを作成 # jailaudit mail - ALL ← 全てのホスト(ALL)に対して実行し、結果は標準出力に表示(-)
これを毎日実行したい場合は、以下を/etc/periodic.confに追記(無い場合は作成)する:
daily_status_security_jailaudit_enable="YES"
これでデイリーのシステムレポートメールに書かれるようになる。
Linux KVMでPT2パススルーは茨の道(未解決)
sshの鍵認証の設定
sshサーバでパスワード認証を許可していると、非常に危険である。踏み台にされたりして、被害者ではなく加害者になる恐れもある。
パスワード認証を行うには、sshdの設定、sshd_configを編集し、以下のような設定にしてやればよい。
PasswordAuthentication no PermitEmptyPasswords no ChallengeResponseAuthentication no
この三つの設定のうち、上の一つを設定するだけで鍵認証は有効になる。しかし、一番下の設定を有効にしておかないと、鍵認証が失敗した際にPAM認証によってパスワードでログインできてしまう。これでは意味が無いので、Offにしておく。
なお、上から二番目は空パスワードを許可しない、というもの。念のために設定してある。
後は、各ユーザのホームディレクトリ以下の.ssh/ディレクトリにある、authorized_keysに公開鍵を追記すれば良い。なお、この公開鍵が存在しなければ作成する。
$ cat mykey.pub >> ~/.ssh/authorized_keys
macでホスト名固定 -- snow leopard
macでは、接続するネットワークによってホスト名が変化してしまう。マシン名を指定しても、これは変わらない。
以前は/etc/hostconfigを編集していたのだが、こちらはそろそろ消え去る運命のようだ*1。
では、何を使ったらいいのか、ということだが、scutilコマンドを利用すれば良い。
ホスト名が変わってしまうと発生してしまう問題としては、Time Machineなどが挙げられる。Time Machineは、ホスト名が変わると異なるバックアップを作ってしまうからだ。遠隔地などからバックアップを行う際には、ホスト名を固定しておいた方が良いだろう。
具体的な利用方法
[ホスト名]には、指定したいホスト名を入れる。
$ sudo scutil --set HostName [ホスト名].local
$ sudo scutil --set LocalHostName [ホスト名]
これで、ホスト名が固定される。
*1:Snow Leopardで消え去るという話があったようだが、未だに残っている