IDSを使ったLinuxセキュリティアップ入門(5) | ScanNetSecurity
2024.03.28(木)

IDSを使ったLinuxセキュリティアップ入門(5)

 前回は、ログフォルダの作成および設定ファイルであるsnort.confの基本的な編集を行った。今回は、セキュリティ関連の対策として、専用ユーザの作成と関連するフォルダのパーミッション変更を行うことにしよう。

特集 特集
 前回は、ログフォルダの作成および設定ファイルであるsnort.confの基本的な編集を行った。今回は、セキュリティ関連の対策として、専用ユーザの作成と関連するフォルダのパーミッション変更を行うことにしよう。


●Snort専用ユーザの作成

 まず、Snortの専用ユーザの作成である。なぜ、専用ユーザを作成するのか、その意義を簡単に説明しておこう。

 通常、Snortの起動はroot権限で行わなければならない。しかし、単純にrootのままでSnortを起動させておくと、Snortがクラックされてしまった場合、root権限までが奪われてしまう可能性があるのはお分かりだろう。そこで、Snort専用ユーザを作成し、Snortを起動する際にそのユーザで起動するようにするのだ。実際には、起動オプションでユーザを指定して起動させることになる。

 また、専用ユーザは、システムログイン機能を不可に設定しておく。こうしておけば、万が一Snortがクラックされてしまっても、起動ユーザを装ってシステムに侵入することができなくなる。もちろん、root権限を奪われる心配もなくなるわけだ。ただし、Snortに関連する各フォルダのパーミッションは、専用ユーザのみアクセスできるよう変更を行っておく必要がある。

 Snortといえども人間が作っているプログラムだ。脆弱性がまったくないとは言い切れない。いつ、どのような形でセキュリティホールが明らかになるか分からないのだ。専用ユーザの作成は、まさに転ばぬ先の杖なのである。

 それでは、専用ユーザ作成の具体的な手順を見てみよう。作成するのは、ユーザとグループである。ここでは、GUIのユーザ管理ツールを使ったユーザ作成から説明する。


1)スタートメニューから[システム設定]→[ユーザとグループ]を選択する。
 ユーザ管理は、通常rootしか扱うことができない。そのため、一般ユーザで利用しようとする場合、rootのパスワードを入力するよう求められる。ダイアログボックスが表示されたらパスワードを入力し、[OK]をクリックする。これで、ユーザ管理ツールが起動する。

2)「ユーザ」パネルが開いているのを確認し、「ユーザの追加」ボタンをクリックする。
 「新規ユーザの作成」ダイアログボックスが開く。

3)各項目について、以下のように入力する。

・ユーザ名:「snort」とする。
・氏名:空欄でかまわない。
・パスワード:最低でも6文字以上を指定しよう。短いパスワードでは警告メッセージが表示され、受け付けてもらえないので注意する。
・ログインシェル:ドロップダウンリストから「/sbin/nologin」を選択する。
これで、ユーザsnortを使ってシステムにログインすることはできなくなる。・ホームディレクトリの作成:オフにする。システムにログインすることはないので、ホームディレクトリも必要ない。
・ユーザ用にプライベートグループを作成:オンにする。グループsnortが自動作成される。
・ユーザIDを手動で指定:ユーザIDを特別に指定する必要がなければ、オフのままでいい。

4)[OK]ボタンをクリックする。

 以上で、ユーザ「snort」とグループ「snort」が作成される。ユーザ管理ツールのリストに表示されているかどうか確認しよう。ユーザsnortは、いわば実体のないユーザで、rootがSnortを起動するためだけにあるものだ。


【執筆:磯野康孝】

(詳しくはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×