【Linuxのセキュリティ対策 第3回 】(ホライズン・デジタル・エンタープライズ) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.10.22(月)

【Linuxのセキュリティ対策 第3回 】(ホライズン・デジタル・エンタープライズ)

4.セキュリティツールの開発状況とオープンソースツールの紹介

特集 特集
4.セキュリティツールの開発状況とオープンソースツールの紹介

この章ではクラッキングに備えるためのいくつかのツールを紹介する。

・ファイル整合性チェックソフト

 クラッカーは、/bin/loginなどのようなシステムファイルを書き換える。ローカルからの(そしてネットワークからの)システムに対する攻撃を発見する良い方法は、Tripwire、Aide、Osirisのような、システムがいじられていないかどうかをチェックするプログラムを実行することである。これらは重要なバイナリや設定ファイル全てのチェックサムを取り、参照値として正しいことが分かっている以前の値のデータベースと比較する。したがって、これらのファイルの変更は全て知ることができる。

 ファイルが書き換えられたことを定期的にチェックすれば、クラッキングの被害を最小限に押さえることができる。侵入者が変更できないようにハードウェアロックをされたメディアにデータベースをのせ、そのデータベースと実際のファイルを定期的に比較することで、書き換えが行われなかったかどうかをチェックします。またこの手のプログラムをリムーバブルメディアにインストールし、さらに物理的に書き込み禁止にしておくとよい。

 こうしておけば、侵入者にはシステム整合性チェックプログラムやデータベースを改竄することが不可能になる。いったんこの手のものを設定したら、これを通常のセキュリティ管理作業の一部として定期的に実行し、何か変更がなされていないかチェックするとよい。

 Tripwireも,ユーザーが指定したディレクトリやファイルのチェック・サムをデータベースに格納しておき,そのチェック・サムを確認することでディレクトリやファイルに対する不正アクセス(改竄)があったかどうかを検査する。この改竄は,単純にファイルが書き換えられたという確認から,タイム・スタンプ,所有者のユーザーID,グループID,リンクの数,iノード番号などさまざまな項目についてファイルの状態を確認できる。元来は米Purdue大学の
COASTプロジェクトが開発したツールで,UNIXの分野では不正アクセス対策用フリーソフトとして広く利用されている。元々フリーソフトとして公開されていたTripwireを米Tripwire Security Systemsが開発元から独占販売・開発ライセンス権の供与を受け,企業向けに機能強化したものがTripwire 2.2.1である。

 この製品のLinux版(Red Hat Linux 5.0,6.0対応)を無償公開している。米Tripwire Security Systems(www.tripwire.com)からTripwire Linux版およびPDF形式のマニュアルがダウンロードできる。

・システムスキャナ

 システムスキャナはローカルホストをスキャンして、セキュリティプロファイルを調査する。ファイルのパーミッション、所有権、OSのコンフィグレーション、トロイの木馬型プログラムの有無、侵入者の痕跡などについてチェックし、セキュリティ上の弱点を探す。Linuxに対応したシステムスキャナではCOPSが知られている。このソフトウェアは、 ftp://ftp.jpcert.or.jp/pub/cert/tools/cops/ から手に入る。

・ネットワークスキャナ

 システムスキャナがローカルホストをスキャンするのとは対照的に、ネットワークスキャナはネットワーク経由でサーバをスキャンする。ネットワークスキャナではSATAN(Security Administrator Tool for Analyzing Networks)はあまりにも有名である。そして強力である。当然Linuxにも対応している。また、SAINT(Security Administrator's Integrated Network Tool), nmap(The Network Mapper), Nessus等も有名である。
 特にNessusはプラグインを用いることにより、新手の攻撃の手口をNessusに追加できる機能を有する。また、この手のツールは非常に強力であるがため、使い方を間違うと思わぬ形で攻撃を行ってしまう可能性がある。使い方には十分な注意が必要である。

・アクセス制御ソフト

 ここでは、アクセス制御ソフトとしてTCP Wrapperを紹介する。入手は ftp://ftp.porcupine.org/pub/security/ からダウンロードする事が出来る。

 TCP Wrapperは inetdから起動されるデーモンのアクセス制御やログの出力を行うツール。多くのLinuxディストリビューションでは標準で搭載されるようになって来ている。

 inetdとは、telnet, ftp, rsh, rlogin, finger等のサービスを提供するデーモンの代わりに一括して接続要求を受けるデーモンである。inetdは、あらかじめ設定したサービスに対応するポートで接続要求を待っており、そのポートに接続要求が有るとそれに対応したデーモンを起動し中継を行う。このようにすることで、多くのデーモンの一括管理を可能にしている。(そのため、inetd.confの設定は注意すべきである。不要なサービスは原則として起動しない方が良い。)

・ログ監視ソフト

 実際の運用においては、ログの監視は人間には限界がある事がわかる。ここでは、ログ監視ソフトとして、SWATCH - The Simple WATCHer and filter( ftp://ftp.stanford.edu/general/security-tools/swatch/ )を紹介す
る。


株式会社ホライズン・デジタル・エンタープライズ
http://www.hde.co.jp
開発部 三谷 洋司
マーケティング部 川下 真

(詳しくはScan本誌をご覧ください)
http://www.vagabond.co.jp/scan/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割10月末迄。現在通常料金半額以下!!
<b>(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割<font color=10月末迄。現在通常料金半額以下!!">

サイバーセキュリティの専門誌 ScanNetSecurity は 1998年の創刊から20周年を迎え、感謝を込めた特別キャンペーンを実施中。創刊以来史上最大割引率。次は30周年が来るまでこの価格はもうありません

×