INFORMATION Security特約記事  「SECURING Linux」  第2回「システム管理とセキュリティツール」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.03.25(土)

INFORMATION Security特約記事  「SECURING Linux」  第2回「システム管理とセキュリティツール」

国際 海外情報

 どの程度のセキュリティが確立されているのか分からない既存のLinuxシステムを安全にするよりも、ゼロから安全なLinuxシステムを構築する方が簡単である。そして、セキュリティの確立が簡単であることにより、それが使われやすくなり、結果として、より安全になる。現状では、Linuxは既にそれ相応に安全である。Linuxは、リソースのセキュリティ確保のために、よく使われ、何度もテストされたUNIXモデルを使用しているからである。Linuxワークステーションを安全にするために非常に重要な点は、ユーザにrootでログインさせないということだ。さらに、通常のユーザアカウントは、特権を付与せずにセットアップする必要がある。

 このような状況でも、開発者はLinuxをより安全にするためのツールを大量に次々と作り出しているが、それは驚くほどのことではない。こうしたツールの1つをBastille Linuxプロジェクトが提供している。このツールの目的は、Red Hat Linuxのインストール後ただちに実行される“焼き入れプログラム”を生成することだ。ユーザには種々のセキュリティオプションが提示される。そして、このプログラムは、インタラクティブな(そして教育的な)セキュリティ経験を提供する。Bastilleグループは、安全なLinux製品を開発するよりもRed Hat Linuxを安全にするためのツールを作成する方を選択したのである。

 多くのセキュリティ専門家は、Linuxをまったく無視して、非常にセキュリティの高いオペレーティングシステムと位置づけられているBSD UNIXの亜種であるOpenBSDを選ぶという別の選択をする。しかし、OpenBSDへの転換は必ずしも(もしくは、しばしば)、Red Hatをはじめとする主流となっているLinux製品を使用することを望むエンドユーザの選択ではない。OSは安全にインストールするだけでなく、常に、その安全を維持し続けなければならない。システムが攻撃を受けていないかどうかを判断するために様々な侵入検出システム(IDSes)を利用できる。多くの市販IDSesは、定期的にファイルに変更が加えられていないかを調べ、許可なくファイルに変更が加えられた時にはシステム管理者に通知する。
「編集者注:最新の侵入検出ツールの紹介はwww.infosecuritymag.com/sept99/cover.htmlを参照のこと。」

 さらに、Linuxシステム管理者はファイルの完全性以外についてもチェックする必要がある。システムの脆弱点をチェックするためには、SATAN(Security Administrator's Tool for Analyzing Network)、SAINT(Security Administrator's Integrated Network Tool)およびNessusのようなシステムスキャナが必須だ。社内のセキュリティポリシーに照らして問題ないとしても、ネットワークに脆弱点がないかどうかをスキャンしてみるべきだろう。特に、そのネットワークを初心者のLinuxシステム管理者が管理している場合には、それが必要なはずだ。
言うまでもないことであるが、スキャンツールを使用するのが正しい人間だけとはかぎらない。Psionic Software社のPortSentryのようなスキャナー検知プログラムは、システムにポートスキャンを行なうためにアタッカーが使用したスキャナの痕跡を認識する。

Linuxではウイルスを簡単には侵入させない。通常、ウイルスは自身を実行可能にする前に、まずroot特権を入手する。

Linux管理者はウイルスについては(ほんの少しだが)安心していられる。すべてのユーザが、(危険なコードも含めて)あらゆるプログラムを実行可能なWindowsとは違って、Linuxではウイルスを簡単には侵入させない。通常、ウイルスは自身を実行可能にする前に、まずroot特権を入手する。これまでもLinuxおよびUNIXのウイルスは作成されてきたが(最初は1988年のMorrisワームであった)、それほど一般的ではない。WindowsがOS市場を独占している限り、ウイルスの作成者はマイクロソフト製品に攻撃の的を絞り続けるだろう。

 しかし、Sambaのような、ネットワークサービスを実行するLinuxシステムは、電子メールの添付ファイルから侵入するようなウイルスを増殖させる可能性がある。Linux用の電子メール・ウイルス・スキャン・ソフトは、大多数のAVベンダーから入手できる。

 あらゆるマルチユーザシステムと同じく、Linuxでもパスワードの管理に注意する必要がある。アタッカーは、/etc/passwdファイルに対して辞書攻撃を行なう可能性がある。シャドウしたパスワードに変換すると、パスワードそのものは別の、アクセスしにくいファイル(/etc/shadow)に保管されるため、アタッカーは、辞書攻撃を実行する前に、そのファイルにアクセスしなければならず、攻撃が難しくなる。Linuxアプリケーションが行なう認証のセキュリティをより高くするには、Pluggable Authentication Modules(PAMs)を使用し、MD5パスワードサポート、パスワードチェックなどの認証機能を追加するとよいだろう。

 現在、多くのLinux製品には、パケットフィルタリングおよびルーティングをサポートする機構が組み込まれている。このため、Linuxはファイアウォール構築のために選択されるようになっている。現在Linuxの標準機能の1つとなっているTCPラッパは、コストをかけずにプロキシ/アプリケーション・ゲートウェイ・ファイアウォールのセキュリティ機能に利用することができる。

3.ところで、それ以外にも…

 原理的には、商用システムに利用可能なセキュリティアプリケーションはすべて、Linuxやその他のオープンソースOSにも利用可能だ。Linuxに対する注目が増すなか、ますます多くの商用ベンダーが、独立したオープンソースプロジェクトから入手可能なアプリケーションの多くの代替版として、自分達の製品を利用可能にしている。

例えば、IPSecセキュリティトンネリングおよびVPNサポートはLinux FreeS/WANで利用可能である。また、GNUが作成した、GNU Privacy Guard(GPG)という名前のPGPライクのオープンソースプログラムがある。このプログラムは特許のあるアルゴリズムをまったく使っていない。そして、Tripwireのような、これまでに作られたオープンプログラムの多くが商用ベンダー(この場合はTripwire Inc.)に引き渡され、新たに手を加えられてきたのである。


※今回掲載された「SECURING Linux」の日本語訳は、5月下旬に刊行される
「Scan Security Handbook Vol.3」(Linuxセキュリティ専門資料)から抜粋したものです。
http://www.vagabond.co.jp/scan/ssh3.htm


《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 中国の検閲システム「グレートファイアウォール」が未認可のVPNの規制強化(The Register)

    中国の検閲システム「グレートファイアウォール」が未認可のVPNの規制強化(The Register)

  2. 勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)

    勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)

  3. Google、イギリス国民保健サービスからのアクセスをボットのサイバー攻撃と勘違いし通信遮断(The Register)

    Google、イギリス国民保健サービスからのアクセスをボットのサイバー攻撃と勘違いし通信遮断(The Register)

  4. トランプの非アメリカ人のプライバシー権否定の大統領令、大手ネット企業の海外取引への影響(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  7. トランプ氏の大統領令で混乱生じるさなか、EU・米国間のデータ保護法発効(The Register)

  8. 沈みゆく船から撤退せよ、史上初SHA-1ハッシュ衝突の成功と今後の排除の流れ(The Register)

  9. 書評「Dark Territory」(3) USCYBERCOM 設立前後 (90年代後半~2000年代初頭)

  10. 米海兵隊、サイバー戦争に向け兵士 3,000 名増員(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×