Windows system >> Windowsの知識 >  >> Linuxシステムチュートリアル >> Linuxチュートリアル >> 10 Linuxオペレーティングシステムのセキュリティ管理スキルの経験の概要

10 Linuxオペレーティングシステムのセキュリティ管理スキルの経験の概要

  

Linuxオペレーティングシステムはオープンソースの無料オペレーティングシステムであるため、ますます多くのユーザーから歓迎されています。中国ではLinuxオペレーティングシステムが普及し続けているため、政府の各部門は独立した著作権を持つLinuxベースのオペレーティングシステムのレベルを上げて国家の情報セキュリティを保護しています。より速くより大きな開発を手に入れましょう。 LinuxはUNIXと非常に似ていますが、それらの間にはいくつかの重要な違いがあります。 UNIXやWindows NTに慣れている多くのシステム管理者にとって、Linuxオペレーティングシステムのセキュリティを確保する方法は、多くの新たな課題に直面するでしょう。この記事では、一連の実用的なLinuxセキュリティ管理の経験を紹介します。

1.ファイルシステム

Linuxシステムでは、アプリケーションごとに別々のプライマリパーティションをインストールし、重要なパーティションを読み取り専用に設定すると、ファイルシステムのセキュリティが大幅に向上します。これは主に、Linux独自のext2ファイルシステムの(追加されただけの)不変プロパティの追加を含みます。

◆ファイルのパーティション分割Linuxファイルシステムはいくつかのメインパーティションに分割することができ、各パーティションは別々に設定されインストールされます一般的には、少なくとも/、/usr /local、/var、/homeを作成する必要があります。等しいパーティション/usrは読み取り専用としてインストールでき、変更不可能と見なすことができます。 /usr内のファイルが変更された場合、システムは直ちにセキュリティ警告を出します。もちろん、これはユーザが/usrの内容を変更することを含みません。 /lib、/boot、および/sbinのインストールと設定は同じです。それらをインストールするときにそれらを読み取り専用にしようとするべきです、そして彼らのファイル、ディレクトリ、およびプロパティへのどんな変更でもシステム警告を引き起こすことができます。

もちろん、すべての主要パーティションを読み取り専用に設定することは不可能です/varなどのパーティションによっては、その性質上、読み取り専用に設定できないと判断されますが、許可しないでください。実行権限があります。

◆ext2を拡張すると、ext2ファイルシステムで唯一の追加ファイル属性と不変ファイル属性が使用され、セキュリティレベルがさらに向上します。不変で属性を追加するだけでext2ファイルシステムの属性フラグを拡張することができます。不変としてマークされたファイルは、rootユーザーが変更することはできません。追加のみとマークされたファイルは変更できますが、rootユーザーが変更できる場合でも、追加できるようになった後に限り変更できます。

chattrコマンドを使用してファイルのこれらのプロパティを変更できますプロパティの値を表示する場合は、lsattrコマンドを使用できます。 ext2ファイルのプロパティの詳細については、man chattrコマンドを使用してください。これら2つのファイル属性は、侵入バックドアを既存のファイルにインストールしようとするハッカーを検出するときに役立ちます。セキュリティ上の理由から、そのようなアクティビティが検出されたらすぐにブロックし、アラームメッセージを送信する必要があります。

重要なファイルシステムが読み取り専用としてマウントされ、そのファイルが不変としてマークされている場合、侵入者はシステムを再インストールして不変ファイルを削除する必要がありますが、これはすぐにアラートを生成します。ハッキングされる可能性を減らします。

◆ログファイルの保護は、ログファイルとログバックアップで使用すると特に便利で、不変であり、これら2つのファイル属性を追加するだけです。システム管理者は、アクティブログファイルのプロパティを追加のみに設定する必要があります。ログが更新されると、新しく生成されたログバックアップファイル属性は不変に設定され、新しいアクティブログファイル属性は追加のみされるようになります。これは通常、ログ更新スクリプトにいくつかの制御コマンドを追加することを必要とします。

次に、バックアップ

Linuxシステムのインストールが完了したら、システムファイルが違法かどうかを確認できるように、このバックアップに基づいてシステムの完全性を確認することができます。改ざんシステムファイルが破損している場合は、システムバックアップを使用して通常の状態に復元することもできます。

◆CD-ROMバックアップ最新のシステムバックアップメディアはCD-ROMディスクです。システムとディスクの内容を定期的に比較して、システムの整合性が損なわれていることを確認できます。セキュリティレベルが特に厳しい場合は、ディスクを起動可能に設定し、システム起動プロセスの一環として作業を確認できます。この方法では、CDから起動できる限り、システムは破壊されていません。

読み取り専用パーティションを作成した場合は、それらをディスクイメージから定期的に再ロードできます。 /boot、/lib、/sbinなどのパーティションを読み取り専用パーティションとしてインストールできない場合でも、ディスクイメージと比較してチェックしたり、起動時に別の安全なイメージからそれらを再ダウンロードしたりすることができます。

◆その他のバックアップ方法/etc内のファイルの多くは頻繁に変更されますが、システムの整合性を確認するために/etcの内容の多くをCDに入れることができます。頻繁に変更されない他のファイルは、他のシステム(テープなど)にバックアップすることも、読み取り専用ディレクトリに圧縮することもできます。この方法では、ディスクイメージを使用した検証に基づく追加のシステム整合性チェックが可能になります。

現在、ほとんどのオペレーティングシステムにCDが付属しているので、CD-ROMの緊急起動ディスクや検証用ディスクを作成するのは非常に便利です。検証方法

3番目に、システムの内部セキュリティメカニズムを改善する

は、Linuxオペレーティングシステムの内部機能を改善して、バッファオーバーフロー攻撃を防ぐことができます。このような改善には、システム管理者による相当量の経験とスキルが必要ですが、高度なセキュリティを必要とする多くのLinuxシステムには必要です。

◆Solaris DesignerのセキュアLinuxパッチバージョン2.0カーネル用のSolaris DesignerのセキュアLinuxパッチは、実行不可能なスタックを提供してバッファオーバーフローの脅威を軽減し、システム全体のセキュリティを大幅に向上させます。

バッファオーバーフローは、侵入者がいつバッファオーバーフローが発生する可能性があるのか​​、およびメモリのどこに現れるのかを判断できなければならないため、実装が非常に困難です。システム管理者はこの種の攻撃を防ぐためにバッファオーバーフローの存在を完全に除去しなければなりません。このため、多くの人がLinux Torvaldsを含めています。これも、この安全なLinuxパッチが重要であると考えています。これは、バッファオーバーフローを使用するすべての攻撃を防ぐためです。ただし、これらのパッチは実行スタック上の特定のプログラムおよびライブラリにも問題を引き起こすことに注意することが重要です。これもシステム管理者にとって新たな課題となります。

実行不可能なスタックパッチは多くの安全なメーリングリスト([email protected]など)に配布されており、ユーザはそれらを簡単にダウンロードすることができます。

◆StackGuardStackGuardは非常に強力なセキュリティパッチツールです。重要なアプリケーションをStackGuardがパッチを当てたgccバージョンに再コンパイルしてリンクすることができます。

StackGuardは、スタック攻撃バッファのオーバーフローを防ぐためにスタックチェックを追加します。ただし、これはシステムパフォーマンスのわずかな低下をもたらしますが、セキュリティレベルが重要な特定のアプリケーションにとって、StackGuardは依然として非常に重要です。使用するための道具。

SafeGuardを使用するLinuxバージョンが完成したので、ユーザーにとってStackGuardの使用がより簡単になります。 StackGuardを使用するとシステムパフォーマンスが約10〜20%低下する可能性がありますが、バッファ全体のオーバーフローを防ぐことができます。

◆新しいアクセス制御機能の追加Linuxバージョン2.3カーネルは、ファイルシステムにアクセス制御リストを実装しようとしています。これは、元の3つのカテゴリ(所有者、グループ、その他)に基づくものです。より詳細なアクセス制御を追加してください。

新しいアクセス制御機能は2.2と2.3のLinuxカーネルで開発され、それらはext2ファイル属性に関する現在の問題のいくつかに最終的に影響するでしょう。従来のext2ファイルシステムよりも正確なセキュリティ管理を提供します。この新機能により、アプリケーションは、スーパーユーザー権限なしで、初期ソケットなどの特定のシステムリソースにアクセスできるようになります。

◆ルールセットベースのアクセス制御Linuxコミュニティは現在、LinuxオペレーティングシステムのB1セキュリティを有効にすると主張しているルールベースのアクセス制御(RSBAC)プロジェクトを開発しています。 RSBACはアクセス制御に基づく拡張フレームワークであり、多くのシステム呼び出し方法を拡張し、さまざまなアクセス方法と認証方法をサポートしています。これは、Linuxシステムの内部およびローカルセキュリティを拡張および強化するのに役立ちます。


トラップとハニーポットの設定

ハニーポットプログラムがデザインを参照している間、いわゆるトラップは起動時にアラームイベントを引き起こすことができるソフトウェアです。侵入者がトラップをトラップして専用のアラームを起動させる。トラップとハニーポットの手順を設定することで、侵入イベントが発生した場合にアラームをすばやく発行できます。多くの大規模ネットワークでは、一般に特殊なトラッププログラムが設計されています。罠の手順は一般的に2つのタイプに分けられます:1つは復讐行動を取らずに侵入者だけを見つけることです、そしてもう1つは同時に報復行動を起こすことです。

ハニーポットを設定する一般的な方法は、Linuxシステムが多くの脆弱性を持つバージョンのIMAPサーバーを使用していると意図的に主張することです。侵入者がこれらのIMAPサーバの大規模なポートをスキャンすると、それはトラップに入り、システムアラームをトリガーします。

もう一つのハニーポットトラップの例は有名なphfです。これは非常に壊れやすいWeb cgi-binスクリプトです。オリジナルのphfは電話番号を調べるために設計されました、しかしそれは重大なセキュリティホールを持っています:それは侵入者がシステムパスワードファイルを取得するか他の悪意のある操作を実行するためにそれを使うことを許します。システム管理者は偽のphfスクリプトを設定することができますが、システムのパスワードファイルを侵入者に送信する代わりに、不正な情報を侵入者に返し、同時にシステム管理者に警告します。

別の種類のハニートラップトラップは、侵入者のIPアドレスをファイアウォールのブラックリストに設定することによって、侵入者がアクセスを続けることを直ちに拒否することができます。非友好的な訪問を拒否することは、短期または長期のどちらかです。 Linuxカーネルのファイアウォールコードはこれを行うのに最適です。

V.芽の中への侵入を排除する。

侵入者が攻撃の前に実行する最も一般的なことの1つは、侵入者の終了番号のスイープを時間内に検出して停止できる場合です。ターゲット行動は侵入イベントの発生率を大幅に減らすことができます。反応システムは、単純なステータスチェックパケットフィルタでも、複雑な侵入検知システムまたは設定可能なファイアウォールでもかまいません。

◆Abacus Port Sentry Abacus Port Sentryは、ネットワークインタフェースを監視し、ファイアウォールと対話してポートスキャン攻撃を無効にするオープンソースのツールキットです。進行中のポートスキャンが発生すると、Abacus Sentryはすぐに続行を中止します。しかし、設定を誤ると、敵対的な部外者があなたのシステムにDoS攻撃を仕掛ける可能性もあります。

Abacus PortSentryは、Linuxの透過プロキシツールと併用すると非常に効果的な侵入防止対策を提供します。これにより、すべてのIPアドレスに汎用サービスを提供している未使用のポートがPort Sentryにリダイレクトされます。PortSentryは、侵入者がさらなる措置を取る前にポートスキャンを検出してブロックすることができます。
zh-CN"],null,[1],zh-TW"]]]

Copyright © Windowsの知識 All Rights Reserved