不要なデフォルト・ユーザー・アカウントの除去
オペレーティング・システムのインストール中に、 デフォルト・ユーザー ID およびグループ ID がいくつも作成されます。 システム上で実行されているアプリケーション、およびネットワーク内でのネットワークの位置によっては、 これらのユーザーおよびグループ ID のいくつかがセキュリティー上の弱点になり、 悪用の対象になる可能性があります。
次の表には、除去できる可能性のある最も一般的なデフォルト・ユーザー ID がリストされています。
| ユーザー ID | 説明 |
|---|---|
| uucp、nuucp | uucp プロトコルが使用する隠しファイルの所有者。 uucp ユーザー・アカウントは、UNIX 間コピー・プログラムに使用されます。UNIX 間コピー・プログラムは、ほとんどの AIX® システムに存在するコマンド、プログラム、およびファイルのグループで、ユーザーが専用回線または電話回線を介して別の AIX システムと通信できるようにします。 |
| lpd | 印刷サブシステムが使用するファイルの所有者 |
| guest | アカウントへのアクセスがないユーザーへのアクセスを許可します。 |
次の表は、必要ないかもしれない一般的なグループ ID をリストしています。
| グループ ID | 説明 |
|---|---|
| uucp | uucp および nuucp ユーザーの所属先のグループ |
| printq | lpd ユーザーの所属先のグループ |
システムを分析し、本当に必要ない ID を判別します。 必要ないユーザーおよびグループ ID がまだあるかもしれません。 システムを実動させる前に、使用可能な ID の徹底的な評価を行ってください。
注: プリンター・ファイル・セットに依存しているため、
printq グループを削除する代わりに、 lp ユーザー ID の piobe コマンドを無効にしてください。 /etc/inittab 項目内の qdaemon プログラムを使用して、セキュリティー・リスクを最小限に抑えます。 これによりユーザーは、print コマンドを実行できなくなります。