IDSを使ったLinuxセキュリティアップ入門(5) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.05.27(日)

IDSを使ったLinuxセキュリティアップ入門(5)

特集 特集

 前回は、ログフォルダの作成および設定ファイルであるsnort.confの基本的な編集を行った。今回は、セキュリティ関連の対策として、専用ユーザの作成と関連するフォルダのパーミッション変更を行うことにしよう。


●Snort専用ユーザの作成

 まず、Snortの専用ユーザの作成である。なぜ、専用ユーザを作成するのか、その意義を簡単に説明しておこう。

 通常、Snortの起動はroot権限で行わなければならない。しかし、単純にrootのままでSnortを起動させておくと、Snortがクラックされてしまった場合、root権限までが奪われてしまう可能性があるのはお分かりだろう。そこで、Snort専用ユーザを作成し、Snortを起動する際にそのユーザで起動するようにするのだ。実際には、起動オプションでユーザを指定して起動させることになる。

 また、専用ユーザは、システムログイン機能を不可に設定しておく。こうしておけば、万が一Snortがクラックされてしまっても、起動ユーザを装ってシステムに侵入することができなくなる。もちろん、root権限を奪われる心配もなくなるわけだ。ただし、Snortに関連する各フォルダのパーミッションは、専用ユーザのみアクセスできるよう変更を行っておく必要がある。

 Snortといえども人間が作っているプログラムだ。脆弱性がまったくないとは言い切れない。いつ、どのような形でセキュリティホールが明らかになるか分からないのだ。専用ユーザの作成は、まさに転ばぬ先の杖なのである。

 それでは、専用ユーザ作成の具体的な手順を見てみよう。作成するのは、ユーザとグループである。ここでは、GUIのユーザ管理ツールを使ったユーザ作成から説明する。


1)スタートメニューから[システム設定]→[ユーザとグループ]を選択する。
 ユーザ管理は、通常rootしか扱うことができない。そのため、一般ユーザで利用しようとする場合、rootのパスワードを入力するよう求められる。ダイアログボックスが表示されたらパスワードを入力し、[OK]をクリックする。これで、ユーザ管理ツールが起動する。

2)「ユーザ」パネルが開いているのを確認し、「ユーザの追加」ボタンをクリックする。
 「新規ユーザの作成」ダイアログボックスが開く。

3)各項目について、以下のように入力する。

・ユーザ名:「snort」とする。
・氏名:空欄でかまわない。
・パスワード:最低でも6文字以上を指定しよう。短いパスワードでは警告メッセージが表示され、受け付けてもらえないので注意する。
・ログインシェル:ドロップダウンリストから「/sbin/nologin」を選択する。
これで、ユーザsnortを使ってシステムにログインすることはできなくなる。・ホームディレクトリの作成:オフにする。システムにログインすることはないので、ホームディレクトリも必要ない。
・ユーザ用にプライベートグループを作成:オンにする。グループsnortが自動作成される。
・ユーザIDを手動で指定:ユーザIDを特別に指定する必要がなければ、オフのままでいい。

4)[OK]ボタンをクリックする。

 以上で、ユーザ「snort」とグループ「snort」が作成される。ユーザ管理ツールのリストに表示されているかどうか確認しよう。ユーザsnortは、いわば実体のないユーザで、rootがSnortを起動するためだけにあるものだ。


【執筆:磯野康孝】

(詳しくはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

人気過去記事

もっと見る

人気過去記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×