###やりたいこと
FreeBSDサーバーを既存の古いものから、新しいバージョンのものに作り変えることになりました。
つきまして、既存のサーバー設定を確認したいです。
###疑問
下記の内容が有効かどうかをどのように確認すればよいかがわかりません。
公式を含めて様々な場所を閲覧しましたが、見つけられませんでした。
どこの設定ファイルを除けばよろしいでしょうか。
又は、どのサイトが参考になるでしょうか。
###確認したい設定
OSインストール時に聞かれる下記のセキュリティを強化するオプションが、有効になっているのかどうか。
こちらの公式インストール手順よりその項目を下記のように引用します。
・hide_uids - 情報漏洩防止のため、特権のないユーザが、他のユーザ (UID) により実行されているプロセスを見れないように、 他のユーザが実行しているプロセスを隠します。
・hide_gids - 情報漏洩防止のため、特権のないユーザが、他のグループ (GID) により実行されているプロセスを見れないように、 他のユーザが実行しているプロセスを隠します。
・hide_jail - 特権のないユーザが、jail の中で実行されているプロセスを見れないように、 jail で実行中のプロセスを隠します。
・read_msgbuf - 権限のないユーザが、dmesg(8) を使ってカーネルログバッファのメッセージを見ることで、 カーネルメッセージバッファを読むことを無効にします。
・proc_debug - ptrace() および ktrace() といった procfs 機能を含む、 さまざまな特権のないプロセス間のデバッキングサービスを、 特権のないユーザが無効にしないように、 プロセスデバッキング機能を無効にします。 このオプションによって、PHP などのスクリプト言語に対する組み込みのデバッキング機能と同様に、 たとえば lldb(1), truss(1), procstat(1) などの特権のないユーザによるデバッキングツールも無効になります。
・random_pid - 新しく生成されるプロセスの PID をランダム化します。
・disable_syslogd - syslogd ネットワークソケットを閉じます。 デフォルトでは、FreeBSD は syslogd を -s を使った安全な方法で実行します。 これは、外からのポート 514 に対する UDP リクエストを待機しません。 このオプションを有効にすると、 syslogd を -ss フラグで実行します。 このフラグにより、syslogd は空いているどのポートからも受け付けません。 詳細は、syslogd(8) をご覧ください。
・disable_sendmail - sendmail MTA を無効にします。
・disable_ddtrace - DTrace は、 実行中のカーネルに実際に影響を及ぼすモードで実行できます。 破壊的なアクションは、明示的に有効にしない限りは利用できません。 破壊的なアクションを実行できるようにするには、 -w を使って DTrace を実行する必要があります。 詳細については dtrace(1) をご覧ください。
###サーバー環境
旧OS:FreeBSD 11.0-STABLE (GENERIC)
新OS:FreeBSD 13.0-STABLE
以上です。
ご教示のほど、何卒宜しくお願い致します。
###追記
自己解決で見つけたものはこちらに移動させます。
・secure_console - このオプションを有効にすると、シングルユーザモードに入る際に、 プロンプトに対して root パスワードが必要となります。
➡こちらを参照
あなたの回答
tips
プレビュー