カテゴリー別アーカイブ: セキュリティ

cronで使用するファイルのパーミッション設定

cron、anacronで使用するファイルのパーミッション設定についてです。下記資料に推奨設定が記載されています。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
 

cron、anacronのセキュリティ上の注意点


 
cron、anacronはたくさんの設定ファイルやディレクトリを使用しているのでチェックするのが大変ですが、セキュリティを考慮し、適切なパーミッション設定が必要です。
 
・権限のないユーザーがシステムcronの設定ファイルを変更できてしまうと権限の昇格を許してしまう恐れがある。必要のないアクセスは禁止するように設定する。
 
・システムcrontabはrootによってのみ編集できるように制限し、ユーザーcrontabはsetuidが付与されているcrontabコマンドを使って編集するようにする。
 

セキュリティ上の推奨設定


 
○システムcrontabファイルのパーミッション設定
# chown root:root /etc/crontab
# chmod 600 /etc/crontab
 
○システムのanacronの設定ファイルのパーミッション設定
# chown root:root /etc/anacrontab
# chmod 600 /etc/anacrontab
 
○システムcrontabのディレクトリのパーミッション設定
# cd /etc
# chown -R root:root cron.hourly cron.daily cron.weekly cron.monthly cron.d
# chmod -R go-rwx cron.hourly cron.daily cron.weekly cron.monthly cron.d
 
○ユーザーcrontabファイル用のスプールディレクトリのパーミッション設定
# chown root:root /var/spool/cron
# chmod -R go-rwx /var/spool/cron

関連記事の目次