ルーキー教室：Linuxシステムのセキュリティを向上させる方法を教えてください

Linuxには機能、価格、またはパフォーマンスの面で多くの利点がありますが、オープンオペレーティングシステムとしては、必然的にセキュリティ上のリスクがあります。これらの隠れた危険性を解決し、アプリケーションに安全なオペレーティングプラットフォームを提供する方法について、この記事では最も基本的な、最も一般的な、そして最も効果的なトリックのいくつかを紹介します。

LinuxはUnixライクなオペレーティングシステムです。理論的には、Unixの設計自体に大きなセキュリティ上の欠陥はありません。長年にわたり、Unixオペレーティングシステムに見られるセキュリティ問題の大部分は個々のプログラムに存在していたので、ほとんどのUnixベンダーはこれらの問題を解決して安全なUnixオペレーティングシステムを提供できると主張しています。しかし、Linuxは特定のベンダに属しておらず、ベンダがセキュリティ保証を提供していると主張していないという点で少し異なります。したがって、ユーザはセキュリティ問題を自分で解決するだけで済みます。

LinuxはWeb上で多くの市販のプログラムやツールを見つけることができるオープンシステムです。ユーザーやハッカーにとっては、プログラムやツールを簡単に見つけることができるため便利です。 Linuxシステムに潜入する、またはLinuxシステムに関する重要な情報を盗むこと。ただし、Linuxのさまざまなシステム機能を慎重に設定し、必要なセキュリティ対策を追加する限り、ハッカーがそれを利用することが可能になります。

一般に、Linuxシステムのセキュリティ設定には、不要なサービスの削除、リモートアクセスの制限、重要な情報の隠蔽、セキュリティの脆弱性の修正、セキュリティツールの使用、およびセキュリティチェックの繰り返しが含まれます。 。この記事では、Linuxシステムのセキュリティを向上させるための10のコツを紹介します。トリックはそれほど大きくはありませんが、トリックは機能しますが、試してみるとよいでしょう。

最初のトリック：不要なサービスをキャンセルする

初期のUnixバージョンでは、それぞれのWebサービスはバックグラウンドで実行されているサービスプログラムを持っていました。バージョンはこのタスクを引き受けるために統一された/etc /inetdサーバープログラムを使用します。 InetdはInternetdaemonの略で、複数のネットワークポートを同時に監視し、外部から接続情報を受信すると、対応するTCPまたはUDPネットワークサービスを実行します。

inetdの統一されたコマンドのため、LinuxのほとんどのTCPまたはUDPサービスは/etc/inetd.confファイルに設定されています。そのため、不要なサービスをキャンセルする最初の手順は、/etc /inetd.confファイルを確認し、不要なサービスの前に「＃」を追加することです。

一般に、http、smtp、telnet、ftpに加えて、単純なファイル転送プロトコルtftp、ネットワークメールストレージ、受信imap /ipopトランスポートプロトコルなどの他のサービスもキャンセルする必要があります。データの検索と検索、曜日と時刻の同期のための時刻など

finger、efinger、systat、netstatなど、システムの状態を報告するサービスもいくつかありますが、システムのトラブルシューティングやユーザーの発見には非常に便利ですが、ハッカーにとっても便利な方法です。たとえば、ハッカーはユーザーの電話、ディレクトリ、およびその他の重要な情報を見つけるためにfingerサービスを使用することができます。したがって、多くのLinuxシステムは、システムのセキュリティを強化するためにこれらのサービスをキャンセルまたは部分的にキャンセルします。

/etc/inetd.confを使用してシステムサービス項目を設定するだけでなく、Inetdは/etc /servicesファイルも使用して各サービスで使用されるポートを見つけます。そのため、セキュリティ上の脆弱性を回避するために、ファイル内の各ポートの設定を慎重に確認する必要があります。

Linuxには2つの異なるサービスタイプがあります。1つはフィンガーサービスのように必要なときにだけ実行されるサービスであり、もう1つは実行されていない終わりのないサービスです。サービスこのタイプのサービスはシステムの起動時に実行を開始するので、inetdを変更してinetdを停止することはできませんが、/etc/rc.d/rc[n].d/ファイルを変更するかRunleveleditorを使用することによってのみ変更できます。ファイルサービスを提供するNFSサーバーとNNTPニュースサービスを提供するニュースはこのタイプのサービスに属します。必要でない場合はこれらのサービスをキャンセルするのが最善です。

2番目のトリック：システムへのアクセスを制限する

Linuxシステムに入る前に、すべてのユーザーがログインする必要があります。つまり、ユーザーはユーザーアカウントとパスワードを入力する必要があります。システム検証に合格した後に初めて、ユーザーはシステムに入ることができます。

他のUnixオペレーティングシステムと同様に、Linuxは通常パスワードを暗号化して/etc /passwdファイルに保存します。 Linuxシステムのすべてのユーザーが/etc /passwdファイルを読み取ることができますファイルに格納されているパスワードは暗号化されていますが、まだ安全ではありません。平均的なユーザーは、網羅的な方法でパスワードを推測するために市販のパスワード解読ツールを使用することができます。より安全な方法は、シャドウファイル/etc /shadowを設定して、特別な権限を持つユーザーだけがファイルを読み込めるようにすることです。

Linuxシステムでシャドウファイルを使用したい場合は、シャドウファイルをサポートするためにすべてのユーティリティを再コンパイルする必要があります。この方法は面倒で、簡単な方法はプラグイン検証モジュール（PAM）を使用することです。多くのLinuxシステムには、LinuxユーティリティーPAMが付属しています。これは、他のユーティリティーの再コンパイルを必要とせずに認証の方法と要件を動的に変更するために使用できる認証メカニズムです。これは、PAMがモジュール内の認証に関連するすべてのロジックを隠すためにクローズドパッケージを使用するため、シャドウファイルを使用するのが最善の方法だからです。

さらに、PAMには多くのセキュリティ機能があります。従来のDES暗号化方式を他のより強力な暗号化方式に書き換えて、ユーザーのパスワードが容易に解読されないようにすることができます。各ユーザーのコンピューターリソースの使用量の上限を設定すると、ユーザーの時間と場所を設定することもできます。

Linuxシステム管理者は、PAMのインストールと設定に数時間を費やすことができます。これにより、Linuxシステムのセキュリティが大幅に向上し、システム外の多くの攻撃を防ぐことができます。

3番目の動き：最新のシステムコアを維持する

多くのLinuxディストリビューションチャネルがあり、システムセキュリティを強化するために更新されたプログラムとシステムパッチが頻繁に表示されるためシステムカーネルを頻繁にアップデートするようにしてください。

カーネルは、Linuxオペレーティングシステムの中核をなすもので、メモリ内に存在し、オペレーティングシステムの他の部分をロードし、オペレーティングシステムの基本機能を実装するために使用されます。カーネルはコンピュータやネットワークのさまざまな機能を制御するため、そのセキュリティはシステム全体のセキュリティにとって非常に重要です。

初期のバージョンのカーネルにはよく知られているセキュリティ上の脆弱性が多くあり、安定していませんバージョン2.0.x以降でのみ安定性と安全性が向上し、新しいバージョンの操作効率が大きく変わりました。カーネルの機能を設定するとき、必要な機能だけを選択し、全体としてすべての機能を受け入れないでください。そうしないと、カーネルが非常に大きくなり、システムリソースを消費し、ハッカーに良い機会を残します。

インターネット上には最新のセキュリティパッチがしばしばありますLinuxのシステム管理者は、よく知られた、頻繁に出てくるセキュリティニュースグループを見つけ、新しいパッチをチェックするべきです。