Linuxのセキュリティ：ステップバイステップの防御（2）

NFSサービス
ネットワークファイルシステムは、Unixの世界におけるファイル共有アクセスの基盤です。ユーザーがディレクトリを勝手に共有できないようにしたい場合は、/etc /exportsファイルをロックして共有ディレクトリを事前に定義するなど、NFSの制限を増やすことができます。ユーザーに共有を許可せず、ユーザーアクセスのみを制限する場合は、NFS起動スクリプトを変更する必要があります。 /etc/init.d/nfsファイルを編集し、デーモン行を見つけてそれをコメントアウトします。 /etc/init.d/nfs＃daemon rpc.nfsd $ RPCNFSDCOUNT
システム内の多くの設定ファイルやコマンドは非常に敏感なので、パーミッションを変更したり、読み取り専用のプロパティを追加したりすることである程度セキュリティ上の問題を回避することができます。 Chmod 700 /bin /rpm＃NFS共有ディレクトリ設定ファイルchmod 600 /etc /exports＃ホストアクセス制御ファイルchmod 600 /etc/hosts.* chmod R 751 /var /log chmod 644 /var /log /messages＃システムログ設定ファイルchmod 640 /etc/syslog.conf chmod 660 /var /log /wtmp chmod 640 /var /log /lastlog chmod 600 /etc /ftpusers＃ユーザーパスワードファイルchmod 644 /etc /passwd chmod 600 /etc /shadow #checkモジュール設定ファイルディレクトリchmod R 750 /etc/pam.d chmod 600 /etc/lilo.conf＃端末設定ファイルchmod 600 /etc /securetty chmod 400 /etc/shutdown.allow＃システムアクセスセキュリティ設定ファイルchmod 700 /etc /セキュリティー＃ネットワークシステム構成ファイルchmod R 751 /etc /sysconfig＃ハイパーデーモン構成ファイルchmod 600 /etc/xinetd.conf chmod 600 /etc/inetd.conf chmod R 750 /etc/rc.d/init.d/chmod 750 /etc/rc.d/init.d/*＃自動プログラム制御ファイルchmod 600 /etc /crontab chmod 400 /etc/cron.* #SSH設定ファイルchmod 750 /etc /ssh #kernel制御設定ファイルchmod 400 /etc/sysctl.confg chattr + I /etc /services chattr + I /etc /group chattr + I /etc /gsha Dow chattr + I /etc/hosts.* chattr + I /etc/xinetd.conf chattr + I /etc /exports chattr + I /bin /login chattr + a /var /log /message
フォローするログ
まずログサーバーを使用します。クライアントのログ情報のコピーを保存しておくことをお勧めしますログファイルを保存するサーバーを作成するログを確認して問題を見つけることができます。リモートロギングを受け入れるように/etc /sysconfig /syslogファイルを変更します。 /etc /sysconfig /syslog SYSLOGD_OPTIONS =" -m r 0"
ログのリモート保存も設定する必要があります。 /etc/syslog.confファイルをログサーバー設定に変更すると、syslogはそのコピーをログサーバーに保存します。 /etc/syslog.conf *。* @log_server_IP
カラーログフィルタを使用することができます。カラーログロコフィルタ、現在のバージョンは0.32です。 loco /var /log /messagesを使用してください。  Moreは色付きのログを表示し、ログのルートとexceptionコマンドの場所を明確にマークすることができます。これにより、ログを分析する際のアーティファクトを減らすことができます。ログの定期的な確認も必要です。ログ監視ツールはRed Hat Linuxで利用可能で、ログを自動的にチェックし、定期的に管理者のメールボックスにメールを送信します。 MailTo = rootパラメーターの後に管理者のEメールアドレスを追加するには、/etc /log.d /conf /logwatch.confファイルを変更する必要があります。 Logwatchは定期的にログをチェックし、root、sudo、telnet、およびftpの使用に関する情報をフィルタリングして、管理者が日常のセキュリティを分析できるようにします。このマシンのsuidとsgidでファイルを確認してください。 suidとsgidを持つファイルは非常に危険です。簡単に言うと、一般ユーザーはこれらのコマンドを使用するときにスーパーユーザー特権を持つことができ、ユーザーはスーパーユーザー環境に直接入ることができます。 suidとsgidを必要とする多くのコマンドがあります。これらのコマンドはシステムのインストール時に見つかり、セキュリティの問題と問題のあるマシンを比較するための標準として使用できます。 suidとsgidに加えて、いくつかのファイルがどのユーザにも属していないことがわかった場合、それはセキュリティの脆弱性である可能性があります。次のコマンドは、上記のファイルリストをファイルに保存し、それらのファイルをバックアップし、後でそれらを比較のために使用することができます。 /-xdev -type f -perm +6000 2> /dev /null> /root/backup/audit/suid.logを検索します。/-xdev -nouser -o -nogroup> /dev /null> /root /Backup /audit /nouser.log find /-xdev -type f -perm -2> /dev /null> /root/backup/audit/other.log
SSHを使用する
管理者がクライアントをリモートで管理する場合Webminに加えて、コマンドラインの使用はWebminより速いです。 telnetは平文で送信されますが、SSHは機密情報がスニファによってキャプチャされるのを防ぐための最良の選択です。 SSHは最初の接続で通信している2台のマシン間で鍵を生成し、それ以降の通信は暗号化され、スニファは情報を効率的に分析できなくなります。 LinuxがSSHコマンドを直接使用している場合は、他のホストに接続できますが、Windowsから接続している場合は、ソフトウェアサポートが必要です（http://www.chiark.greenend.org.uk/~sgtatham/puttyから入手可能）PuTTYをお勧めします。 /ダウンロード、現在のバージョンは0.52です。 SSHはTCPポート22を使用します。 rlogin、rcpなどのrプロセスを使用しないように注意してください。
より安全なファイル転送を使用する
多数のファイルを転送するのにFTPが必要でない限り、代わりにSCPを使用できます。 SSHと同様に、SCPは鍵を介して暗号化チャネルを作成します。 Windows上のWinSCPはhttp://winscp.vse.cz/からダウンロードできます。現在のバージョンは2.0.0（Build89）です。しかし、大量のファイルを転送する必要がある場合、SCPはプロセッサが暗号化の処理に多くのリソースを費やすようにするので、代わりにproftpを使用できます。 Red Hat Linuxが使用するデフォルトのWuftpサービスはhttp://www.proftpd.org/からダウンロードされており、現在のバージョンは1.2.4です。
システムスナップショットの使用

システムスナップショットは、システムファイルを使用してデータベースを調整し、システムの変更を定期的に検出します。 Tripwireをお勧めします。現在のバージョンは2.3.1-10です。 tripwire設定ファイルは包括的ですが、お使いのシステムには適していない可能性があるため、twpol.txtファイルをカスタマイズする必要があります。カスタマイズの原則は、最初にシステム全体をインストールし、次にtripwireをインストールしてから、デフォルトの設定ファイルを使用してシステムのスナップショットを作成することです。エラーメッセージが表示されたら、＃を使用して追加の構成情報をマスクしてからデータベースを再生成します。 Rpm ivh tripwire-2.3.1-10.i386.rpm＃twpol.txtファイルを修正し、システムに存在しないファイルをマスクアウトしてから、/etc/tripwire/twinstall.shのインストールを開始します。＃インストールによって、キーを生成するためのパスワードが要求されます。データベースのパスワードを更新します。＃キーをコピーする操作に注意してください。そうしないと、初期化エラーでファイルが存在しないことを確認するcp /etc/tripwire/$HOSTNAME-local.key /etc/tripwire/localhost-local.key #initialize tripwire、データベースを生成します。このデータベースは、キーtripwire --init＃のパスワードを入力してシス​​テムスナップショットからシステムの変更を確認し、指定されたユーザーにメッセージを送信します。tripwire --check -M
ホストベースの侵入検知を使用します。管理者がセキュリティを突破する試みを見つけるのに役立ちます。企業におけるホストベースの侵入防止は、ネットワークベースよりも重要です。結局、企業のネットワークはファイアウォールの内側にあります。現在Red Hat Linux 7.2でサポートされているバージョンは0.9-1で、http://www.intersectalliance.comからダウンロードできます。その中でも、snare-coreがコアデーモンです。スネアはグラフィカルインタフェースの表示プログラムです。インストールが完了すると、auditという名前のデーモンが生成されます。スネアは、機密データログへのアクセスだけでなく、ルート操作やファイルのアクセス許可の変更にも関係しています。そのため、設定ファイルを使用して、システムに適した侵入検知ログシステムを定義できます。デフォルトインストールでは、一般的なニーズを満たすための完全な設定がすでに提供されています。
その他のセキュリティツール
Bastilleツールの使用Bastilleはセキュリティ設定スクリプトのコレクションで、以前の設定の多くはBastilleを使用して自動的に実行できます。初めてBastilleをインストールした後、BastilleBackEndは以前に構成された構成ファイルを使用できます。セキュリティスクリプトをカスタマイズするには、/etc /Bastille /configファイルを設定します。 Bastilleの一般的な設定には、ファイアウォールなどのパラメータは含まれていません。必要に応じて、InteractiveBastille.plを使用してインストール後に対話形式でインストールできます。 Bastilleによってウィザードウィンドウが表示されます。[はい]または[いいえ]を選択すると、システムに適した構成ファイルを生成できます。 Bastilleの設定方法は少し異なります。トロイの木馬チェッカーの使用chkrootkitは、システム内の重要なコマンドをチェックすることによって置き換えられることを確認するために使用されます出現したトロイの木馬とバックドアのツールに従って書かれているので、頻繁なアップデートに注意を払います。自動実行プログラムを使用するcrontabを使用すると、管理者の作業強度が低下する可能性があります。たとえば、定期的なtripwire検証、chkrootkit検証を追加し、その結果を管理者のメールボックスに送信します。少なくとも1台のログサーバーと異なる種類のLinuxバージョンまたはオペレーティングシステムがあり、すべてのデスクトップがファイアウォール内にあり、インターネットへの接続にモデムが使用されていない必要があります。ネットワークでは、少なくとも2人のシステム管理者が互いにバックアップを取り、rootで直接ログインしないで、telnetを使用してリモートでログインしないで、システムの変更を文書化する必要があります。上記は企業におけるLinuxセキュリティの基本設定の簡単な説明です。基本設定が満たされていないと、セキュリティの問題がシステム管理者を悩ませます。ネットワークのやり取りの制限、リソースの制限など、カバーされていないより複雑なセキュリティ設定が多数あります。ファイアウォール内のデスクトップが導入されているため、ファイアウォール、メールサーバー、ファイル、およびWebサーバーのセキュリティ設定は説明されていませんが、セキュリティ写真が作成されるわけではないので、安心してご利用いただけます。これらはまだ始まったばかりですが、十分ではありません。 Linuxのセキュリティに関心がある管理者とのコミュニケーションには、具体的な使用シナリオやより深い設定の多くを歓迎します。