CentOSのパスワードファイルの推奨パーミッション設定についてです。
※参考資料
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
CentOSのパスワードファイル
①ユーザー
passwd, shadow
②グループ
group , gshadow
推奨の設定
・多くのユーティリティが”passwd”ファイルへの読込アクセスを必要とするが、”shadow”ファイルへの読込アクセスは、悪意のある攻撃者によるシステムパスワードの取得の恐れがあるので所有者のみ読込可とする。
①passwd、group
・所有者 root:root
・モード 644
②shadow、gshadow
・所有者 root:root
・モード 400
CentOS6.4での設定確認
$ ls -al passwd* -rw-r--r-- 1 root root 1996 10月 2 07:10 2013 passwd -rw-------. 1 root root 1955 9月 8 22:33 2013 passwd- $ ls -al group* -rw-r--r-- 1 root root 828 10月 2 07:10 2013 group -rw-------. 1 root root 814 8月 10 13:05 2013 group- $ ls -al *shadow* ---------- 1 root root 685 10月 2 07:10 2013 gshadow -rw-------. 1 root root 674 8月 10 13:05 2013 gshadow- ---------- 1 root root 1897 10月 2 07:10 2013 shadow ----------. 1 root root 1772 8月 30 16:49 2013 shadow-
※ファイルの末尾のスラッシュは?
上記確認例で、”passwd-“、”gshadow-“のようにファイル名の末尾に”-“がついているファイルがありますが、これはバックアップのようです。
※パーミッションのモードの右端のドッドは?
パーミッションのモード部分に”-rw——-.”のように右端にドッドがついているファイルがあります。
これは下記サイトによると
参考サイト
SELinuxのセキュリティコンテキストが付いているファイル、との事です。