●ネットワークのセキュリティ
WEBサーバやFTPサーバといったネットワークサーバを、
悪意のある不正な利用者から守る必要がある
TCP Wrapper(ティシーピーラッパー):
クライアントからの要求をチェックし、承認した場合のみ対象のサーバプログラムへ要求を引き渡す機能
tcpdデーモンによって実現される
inetd/xinetdと組み合わせて利用する
どの要求を承認/拒否するかは、以下の2つのファイルに[サービスのリスト:ホストのリスト]という書式で
設定する
TCP Wrapperクライアントからの要求を、
/etc/hosts.allowファイルと照らし合わせ、一致すれば承認し、
一致しなければ/etc/hosts.denyファイルと照らし合わせ、一致すれば拒否をする
どちらのファイルの記述にも一致しなければ、その要求が承認される
(そのため/etc/hosts.denyファイルには[ALL:ALL]という全拒否を記述し、
/etc/hosts.allowファイルに許可する要求を記述していく方法が一般的)
-------/etc/hosts.allow ファイルの記述例---------------
wu-ftpd: 192.168.1.
in.telnetd: .threes.co.jp
------------------------------------------------
パケット単位でのアクセス制御:
そのLinuxサーバで受信するパケット単位で詳細に制御(パケットフィルタリング)する機能
ipchains(カーネル2.2系)/iptables(カーネル2.4系)コマンドを使う
●RPMパッケージの検証
RPMパッケージ自体の改ざんチェック :
md5sum パッケージ名 で出力されるチェックサム値を比較する
RPMパッケージからインストールしたファイルの改ざんチェック
:
rpm -Va でパッケージのインストール後に変更されたファイルの一覧が表示される
●SUIDが設定されたファイルの検索
find / -perm -u+s コマンドでSUIDが設定されたファイルを定期的にチェックして、
意図しないファイルが作成されてないか確認する
●セキュリティ情報の入手
名称 | URL |
CERT/CC | http://www.cert.org/ |
JPCERT/CC | http://www.jpcert.or.jp/ |
Bugtraq | http://www.securityfocus.com |
●一般ユーザのログイン禁止
touchコマンドを使用して、/etc/nologin ファイルを作成すると、
スーパーユーザ(root)以外はそのシステムにログインできなくなる
特定のユーザのみログイン禁止にするには、
/etc/passwd ファイルに記述されているそのユーザのデフォルトシェル欄を
/bin/false と書き換える
●パスワードの管理
シャドウパスワード:
etc/passwdファイルは一般ユーザでも読むことができるため、安全性が低い
通常パスワードはスーパーユーザ(root)のみがアクセスできるetc/shadowファイル(シャドウパスワードファイル)に格納する
手動コマンド パスワードの格納場所を pwconv etc/passwd ⇒ etc/shadow (シャドウ化) pwunconv etc/shadow ⇒ etc/passwd grpconv etc/group ⇒ etc/gshadow (シャドウ化) grpunconv etc/gshadow ⇒ etc/group
有効期限の設定:
コマンド | 説明 | 書式 | 主なオプション 補足 |
chage | ユーザ毎にパスワードの有効期限を設定する | chage [オプション] ユーザ名 オプションを省略すると |
-E 日時
: パスワードの有効期限を設定する -l : -M 日数
: |
●システムリソースの利用制限
コマンド | 説明 | 書式 | 主なオプション 補足 |
ulimit | ユーザ毎にシステムリソースの 利用制限を設定する |
ulimit [オプション] | -a : 設定されている制限値を全て表示する -H : -S : -f
サイズ : -u プロセス数
: -v
キロバイト : |