UNIX システムのセキュリティを内部からチェックするためのスクリプト群。 MIND (明治大学総合情報ネットワーク) でインターネット直結のホスト (MIND アクセスレベル3のホストと呼ばれる) を設置する時は、 これを実行したログを当局に提出することが必要になる。
2013/10 現在 tiger-3.2.3.tar.gz が current stable release
tar xzf tiger-3.2.3.tar.gz cd tiger-3.2.3 sudo ./tiger |
log/ の下にログがたまっていく。
かなりうるさい。 MIND としては、FAIL と ALERT は必ず対処せよ、とのこと。
/etc/ftpusers に管理権限を持つユーザー (例えば bin, daemon, …) が登録されていない (アクセスが可能になっている)、と警告が出た。 これは tiger がアホだと思うけれど、うるさいので (それを人に説明するのが面倒だ)、 登録してしまった。
/var/log/btmp, /var/log/messages のパーミッションについても文句を言われた。 これも実体は Tiger の推奨よりも厳しくしてあるのに、 等しくないと警報を出している。やはりアホだ。 これも面倒なので、言うことを聞いた (つまりセキュリティを下げた)。 バカバカしいなあ。後で戻すけれど。
/dev/ の下のパーミッションについても文句を言われたけれど、 こちらについては動作不良をおこされても困るし、無視する。 ということは後で説明する必要が生じるかも、ということだ。
--FAIL-- [lin014f] The system permits the transmission of IP |
net.ipv4.conf.all.rp_filter = 1 |
ALERT が5つ出ていたが
--ALERT-- [perm023a] /bin/su is setuid to `root'. --ALERT-- [perm023a] /usr/bin/at is setuid to `root'. --ALERT-- [perm023a] /usr/bin/passwd is setuid to `root'. --ALERT-- [perm024a] /usr/bin/wall is setgid to `tty'. --ALERT-- [perm024a] /usr/bin/write is setgid to `tty'. |
実質的にほとんど何の役にも立っていない tiger. 人の時間の無駄遣いだけのような。