share facebook facebook twitter menu hatena pocket slack

2011.12.07 WED

SUZ-LAB謹製 CentOS AMI (6.0.5 32bit ap-northeast-1)

鈴木 宏康

WRITTEN BY 鈴木 宏康

SUZ-LAB謹製 CentOS AMI (6.0.4 32bit ap-northeast-1)をアップデートしました。

AMIを「suz」で検索していただくと、下記のAMIが見つかると思います。

811118151095/suz-lab_ebs_centos-core-i386-6.0.5

アップデート内容は下記となります。

パッケージのアップデート

# yum -y update

○よく要求されるセキュリティ要件を反映

まず、/etc/pam.d/password-authを下記のように修正しています。

▼6回以上の失敗アクセスがあった場合、システム管理者がリセットするまで無効とする。

auth required pam_tally2.so deny=6

▼過去4回のパスワードを回転使用できないようにする。

password sufficient pam_unix.so try_first_pass use_authtok nullok sha512 shadow remember=4

最終的に/etc/pam.d/password-authは下記のようになっています。

auth required pam_env.so
auth required pam_tally2.so deny=6
auth sufficient pam_unix.so try_first_pass nullok
auth required pam_deny.so

account required pam_unix.so

password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_unix.so try_first_pass use_authtok nullok sha512 shadow remember=4
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so

次に、監査ログ(/var/log/audit/audit.log)へのアクセス情報も記録するように、
/etc/audit/audit.rulesに下記を追加しておきます。

-w /var/log/audit/audit.log

audit.logにアクセス(tail)すると、下記のように記録されます。

type=SYSCALL msg=audit(1323176229.195:36): arch=40000003 syscall=5 success=yes exit=3 a0=bf9b27d8 a1=8000 a2=0 a3=bf9b1050 items=1 ppid=875 pid=902 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm=”tail” exe=”/usr/bin/tail” key=(null)
type=CWD msg=audit(1323176229.195:36): cwd=”/var/log/audit”
type=PATH msg=audit(1323176229.195:36): item=0 name=”/var/log/audit/audit.log” inode=7132 dev=ca:01 mode=0100600 ouid=0 ogid=0 rdev=00:00

こちらの記事はなかの人(suz-lab)監修のもと掲載しています。
元記事は、こちら

鈴木 宏康

鈴木 宏康

愛知県生まれ。東京工業大学大学院修士課程修了。在学時より、ベンチャー企業でインターネットに関する業務に携わり、現在はクラウド(主にAmazon Web Services)上での開発・運用を軸とした事業の、業務の中心として活躍。

cloudpack

cloudpackは、Amazon EC2やAmazon S3をはじめとするAWSの各種プロダクトを利用する際の、導入・設計から運用保守を含んだフルマネージドのサービスを提供し、バックアップや24時間365日の監視/障害対応、技術的な問い合わせに対するサポートなどを行っております。
AWS上のインフラ構築およびAWSを活用したシステム開発など、案件のご相談はcloudpack.jpよりご連絡ください。