コアダンプファイルを無効にする方法について確認しました。
下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
(1)コアダンプとセキュリティ
・コアダンプファイルは、誤った振る舞いでOSによって異常終了されたときの実行プログラムのメモリー内容。
・大半のケースでは、このコアファイルに対しては、ソフトウェア開発者のみがアクセスできるようにすべき。
・コアダンプファイルは重要な情報を含んでいる可能性があったり、ディスクサイズを必要以上に消費してしまう事がある。
(2)コアダンプを無効にする方法
1)すべてのユーザーに対し、コアダンプを無効にする
pam_limitsモジュールがulimitによる制限を行っていて、/etc/security/limits.confファイル内で設定できます。
* hard core 0
※コアダンプを利用できるようにする必要がある場合は、ある特定のユーザー、グループのみに制限するように設定します。
上記の先頭の”*”の部分にユーザー名、グループ名を指定し、最後の数値部分にコアダンプの最大サイズを設定します。
2)setuidプログラムによってコアダンプが作られないようにする。
セキュリティ上のリスクを考慮し、setuidプログラムによってコアダンプが作られないようにする事が推奨されます。
①現状の設定を確認
この設定はカーネルパラメータ”fs.suid_dumpable”によって制御されていて、0であればダンプが作られないようになっています。
下記のようにsysctlコマンドで有効になっているカーネルパラメータの一覧を表示出来ます。
# sysctl -a | grep suid_dumpable fs.suid_dumpable = 0
②設定を変更する場合
sysctlコマンドでも変更できますがマシンを再起動するとデフォルトに戻ってしまうようなので、/etc/sysctl.confファイル内に下記設定を追加するようにします。
fs.suid_dumpable = 0