【Linuxのセキュリティ対策　第3回　】（ホライズン・デジタル・エンタープライズ）

4.セキュリティツールの開発状況とオープンソースツールの紹介

特集特集

2000年6月29日（木） 12時00分

4.セキュリティツールの開発状況とオープンソースツールの紹介

この章ではクラッキングに備えるためのいくつかのツールを紹介する。

・ファイル整合性チェックソフト

　クラッカーは、/bin/loginなどのようなシステムファイルを書き換える。ローカルからの（そしてネットワークからの）システムに対する攻撃を発見する良い方法は、Tripwire、Aide、Osirisのような、システムがいじられていないかどうかをチェックするプログラムを実行することである。これらは重要なバイナリや設定ファイル全てのチェックサムを取り、参照値として正しいことが分かっている以前の値のデータベースと比較する。したがって、これらのファイルの変更は全て知ることができる。

　ファイルが書き換えられたことを定期的にチェックすれば、クラッキングの被害を最小限に押さえることができる。侵入者が変更できないようにハードウェアロックをされたメディアにデータベースをのせ、そのデータベースと実際のファイルを定期的に比較することで、書き換えが行われなかったかどうかをチェックします。またこの手のプログラムをリムーバブルメディアにインストールし、さらに物理的に書き込み禁止にしておくとよい。

　こうしておけば、侵入者にはシステム整合性チェックプログラムやデータベースを改竄することが不可能になる。いったんこの手のものを設定したら、これを通常のセキュリティ管理作業の一部として定期的に実行し、何か変更がなされていないかチェックするとよい。

　Tripwireも，ユーザーが指定したディレクトリやファイルのチェック・サムをデータベースに格納しておき，そのチェック・サムを確認することでディレクトリやファイルに対する不正アクセス(改竄)があったかどうかを検査する。この改竄は，単純にファイルが書き換えられたという確認から，タイム・スタンプ，所有者のユーザーID，グループID，リンクの数，iノード番号などさまざまな項目についてファイルの状態を確認できる。元来は米Purdue大学の
COASTプロジェクトが開発したツールで，UNIXの分野では不正アクセス対策用フリーソフトとして広く利用されている。元々フリーソフトとして公開されていたTripwireを米Tripwire Security Systemsが開発元から独占販売・開発ライセンス権の供与を受け，企業向けに機能強化したものがTripwire 2.2.1である。

　この製品のLinux版（Red Hat Linux 5.0,6.0対応）を無償公開している。米Tripwire Security Systems（www.tripwire.com）からTripwire Linux版およびPDF形式のマニュアルがダウンロードできる。

・システムスキャナ

　システムスキャナはローカルホストをスキャンして、セキュリティプロファイルを調査する。ファイルのパーミッション、所有権、OSのコンフィグレーション、トロイの木馬型プログラムの有無、侵入者の痕跡などについてチェックし、セキュリティ上の弱点を探す。Linuxに対応したシステムスキャナではCOPSが知られている。このソフトウェアは、 ftp://ftp.jpcert.or.jp/pub/cert/tools/cops/ から手に入る。

・ネットワークスキャナ

　システムスキャナがローカルホストをスキャンするのとは対照的に、ネットワークスキャナはネットワーク経由でサーバをスキャンする。ネットワークスキャナではSATAN（Security Administrator Tool for Analyzing Networks）はあまりにも有名である。そして強力である。当然Linuxにも対応している。また、SAINT(Security Administrator's Integrated Network Tool), nmap(The Network Mapper), Nessus等も有名である。
　特にNessusはプラグインを用いることにより、新手の攻撃の手口をNessusに追加できる機能を有する。また、この手のツールは非常に強力であるがため、使い方を間違うと思わぬ形で攻撃を行ってしまう可能性がある。使い方には十分な注意が必要である。

・アクセス制御ソフト

　ここでは、アクセス制御ソフトとしてTCP Wrapperを紹介する。入手は ftp://ftp.porcupine.org/pub/security/ からダウンロードする事が出来る。

　TCP Wrapperは inetdから起動されるデーモンのアクセス制御やログの出力を行うツール。多くのLinuxディストリビューションでは標準で搭載されるようになって来ている。

　inetdとは、telnet, ftp, rsh, rlogin, finger等のサービスを提供するデーモンの代わりに一括して接続要求を受けるデーモンである。inetdは、あらかじめ設定したサービスに対応するポートで接続要求を待っており、そのポートに接続要求が有るとそれに対応したデーモンを起動し中継を行う。このようにすることで、多くのデーモンの一括管理を可能にしている。（そのため、inetd.confの設定は注意すべきである。不要なサービスは原則として起動しない方が良い。）

・ログ監視ソフト

　実際の運用においては、ログの監視は人間には限界がある事がわかる。ここでは、ログ監視ソフトとして、SWATCH - The Simple WATCHer and filter（ ftp://ftp.stanford.edu/general/security-tools/swatch/ ）を紹介す
る。

株式会社ホライズン・デジタル・エンタープライズ
http://www.hde.co.jp
開発部　三谷洋司
マーケティング部　川下真

（詳しくはScan本誌をご覧ください）
http://www.vagabond.co.jp/scan/

《ScanNetSecurity》