IDSを使ったLinuxセキュリティアップ入門(5) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.24(火)

IDSを使ったLinuxセキュリティアップ入門(5)

特集 特集

 前回は、ログフォルダの作成および設定ファイルであるsnort.confの基本的な編集を行った。今回は、セキュリティ関連の対策として、専用ユーザの作成と関連するフォルダのパーミッション変更を行うことにしよう。


●Snort専用ユーザの作成

 まず、Snortの専用ユーザの作成である。なぜ、専用ユーザを作成するのか、その意義を簡単に説明しておこう。

 通常、Snortの起動はroot権限で行わなければならない。しかし、単純にrootのままでSnortを起動させておくと、Snortがクラックされてしまった場合、root権限までが奪われてしまう可能性があるのはお分かりだろう。そこで、Snort専用ユーザを作成し、Snortを起動する際にそのユーザで起動するようにするのだ。実際には、起動オプションでユーザを指定して起動させることになる。

 また、専用ユーザは、システムログイン機能を不可に設定しておく。こうしておけば、万が一Snortがクラックされてしまっても、起動ユーザを装ってシステムに侵入することができなくなる。もちろん、root権限を奪われる心配もなくなるわけだ。ただし、Snortに関連する各フォルダのパーミッションは、専用ユーザのみアクセスできるよう変更を行っておく必要がある。

 Snortといえども人間が作っているプログラムだ。脆弱性がまったくないとは言い切れない。いつ、どのような形でセキュリティホールが明らかになるか分からないのだ。専用ユーザの作成は、まさに転ばぬ先の杖なのである。

 それでは、専用ユーザ作成の具体的な手順を見てみよう。作成するのは、ユーザとグループである。ここでは、GUIのユーザ管理ツールを使ったユーザ作成から説明する。


1)スタートメニューから[システム設定]→[ユーザとグループ]を選択する。
 ユーザ管理は、通常rootしか扱うことができない。そのため、一般ユーザで利用しようとする場合、rootのパスワードを入力するよう求められる。ダイアログボックスが表示されたらパスワードを入力し、[OK]をクリックする。これで、ユーザ管理ツールが起動する。

2)「ユーザ」パネルが開いているのを確認し、「ユーザの追加」ボタンをクリックする。
 「新規ユーザの作成」ダイアログボックスが開く。

3)各項目について、以下のように入力する。

・ユーザ名:「snort」とする。
・氏名:空欄でかまわない。
・パスワード:最低でも6文字以上を指定しよう。短いパスワードでは警告メッセージが表示され、受け付けてもらえないので注意する。
・ログインシェル:ドロップダウンリストから「/sbin/nologin」を選択する。
これで、ユーザsnortを使ってシステムにログインすることはできなくなる。・ホームディレクトリの作成:オフにする。システムにログインすることはないので、ホームディレクトリも必要ない。
・ユーザ用にプライベートグループを作成:オンにする。グループsnortが自動作成される。
・ユーザIDを手動で指定:ユーザIDを特別に指定する必要がなければ、オフのままでいい。

4)[OK]ボタンをクリックする。

 以上で、ユーザ「snort」とグループ「snort」が作成される。ユーザ管理ツールのリストに表示されているかどうか確認しよう。ユーザsnortは、いわば実体のないユーザで、rootがSnortを起動するためだけにあるものだ。


【執筆:磯野康孝】

(詳しくはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第5回「ウソも方便」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第6回 「川辺」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×