Linuxオペレーティングシステムはオープンソースの無料のオペレーティングシステムであるため、ますます多くのユーザーに受け入れられています。中国ではLinuxオペレーティングシステムが普及し続けているため、政府の各部門は独立した著作権を持つLinuxベースのオペレーティングシステムのレベルを上げて国家の情報セキュリティを保護しています。より速くより大きな開発を手に入れましょう。 LinuxはUNIXと非常に似ていますが、それらの間にはいくつかの重要な違いがあります。 UNIXやWindows NTに慣れている多くのシステム管理者にとって、Linuxオペレーティングシステムのセキュリティを確保する方法は、多くの新たな課題に直面するでしょう。この記事では、一連の実用的なLinuxセキュリティ管理の経験を紹介します。
I.ファイルシステム
Linuxシステムでは、アプリケーションごとに別々のプライマリパーティションをインストールし、重要なパーティションを読み取り専用に設定すると、ファイルシステムのセキュリティが大幅に向上します。これは主に、Linux独自のext2ファイルシステムの(追加のみ)および不変のプロパティの追加を含みます。
●ファイルのパーティション分割Linuxファイルシステムは、いくつかのメインパーティションに分割でき、各パーティションは異なります。構成とインストール、通常は少なくとも/、/usr /local、/var、および/homeパーティションを作成する必要があります。 /usrは読み取り専用としてインストールでき、変更不可能と見なすことができます。 /usr内のファイルが変更された場合、システムは直ちにセキュリティ警告を出します。もちろん、これは/usr内のユーザー自身のコンテンツを含みません。 /lib、/boot、および/sbinのインストールと設定は同じです。それらをインストールするときにそれらを読み取り専用にしようとするべきです、そして彼らのファイル、ディレクトリ、およびプロパティへのどんな変更でもシステム警告を引き起こすことができます。
/varなどの一部のパーティションには独自の性質があり、読み取り専用に設定することはできませんが、実行を許可しないようにする必要があります。 。
●ext2の拡張では、セキュリティレベルをさらに向上させるために、ext2ファイルシステムで唯一の追加ファイル属性と不変ファイル属性を使用します。不変で属性を追加するだけでext2ファイルシステムの属性フラグを拡張することができます。不変としてマークされたファイルは、rootユーザーが変更することはできません。追加のみとマークされたファイルは変更できますが、rootユーザーが変更できる場合でも、追加できるようになった後に限り変更できます。
ファイルのこれらのプロパティは、chattrコマンドで変更できますプロパティの値を表示したい場合は、lsattrコマンドを使用できます。 ext2ファイルのプロパティの詳細については、manchattrコマンドを使用してください。これら2つのファイル属性は、侵入バックドアを既存のファイルにインストールしようとするハッカーを検出するときに役立ちます。セキュリティ上の理由から、そのようなアクティビティが検出されたらすぐにブロックし、アラームメッセージを送信する必要があります。
重要なファイルシステムが読み取り専用としてインストールされており、ファイルが不変としてマークされている場合、侵入者はシステムを再インストールして不変ファイルを削除する必要があります。違法侵入の機会
●ログファイルの保護は、ログファイルおよびログバックアップで使用すると特に便利で、不変であり、これら2つのファイル属性のみを追加します。システム管理者は、アクティブログファイルのプロパティを追加のみに設定する必要があります。ログが更新されると、新しく生成されたログバックアップファイル属性は不変に設定され、新しいアクティブログファイル属性は追加のみされるようになります。これは通常、ログ更新スクリプトにいくつかの制御コマンドを追加することを必要とします。
次に、バックアップ
Linuxシステムのインストールが完了したら、システム全体をバックアップする必要がありますこのバックアップに基づいてシステムの整合性を検証できるので、システムファイルが不正に変更されたかどうかを確認できます。システムファイルが破損している場合は、システムバックアップを使用して通常の状態に復元することもできます。
●CD-ROMバックアップ最新のシステムバックアップ媒体はCD-ROMですが、将来的にはシステムをCDの内容と比較して、システムの整合性が損なわれていないかどうかを確認できます。セキュリティレベルが特に厳しい場合は、ディスクを起動可能に設定し、システム起動プロセスの一環として作業を確認できます。この方法では、CDから起動できる限り、システムは破壊されていません。
読み取り専用パーティションを作成した場合は、それらをディスクイメージから定期的に再ロードできます。 /boot、/lib、/sbinなどのパーティションを読み取り専用パーティションとしてインストールできない場合でも、ディスクイメージと比較してチェックしたり、起動時に別の安全なイメージからそれらを再ダウンロードしたりすることができます。
●その他のバックアップ方法/etc内の多くのファイルは頻繁に変更されますが、システムの整合性を確認するために/etcの内容の多くをCDに入れることができます。頻繁に変更されない他のファイルは、他のシステム(テープなど)にバックアップすることも、読み取り専用ディレクトリに圧縮することもできます。この方法では、ディスクイメージを使用した検証に基づく追加のシステム整合性チェックが可能になります。
ほとんどのオペレーティングシステムにはCD-ROMが付属しているので、CD-ROMの非常用起動ディスクや検証ディスクを作成するのは非常に便利で、非常に効果的で実現可能な検証方法です。
第三に、システムの内部セキュリティメカニズムを改善する
バッファオーバーフロー攻撃を防ぐためにLinuxオペレーティングシステムの内部機能を改善することができますが、攻撃を防ぐことは最も困難ですが、そのような改善にはシステム管理が必要ですスタッフは豊富な経験とスキルを持っていますが、高いセキュリティ要件を持つ多くのLinuxシステムにはまだ必要です。
●SolarisDesignerのセキュアLinuxパッチ2.0カーネル用のSolarisDesignerのセキュアLinuxパッチは、実行不可能なスタックを提供してバッファオーバーフローの脅威を軽減し、システム全体のセキュリティを大幅に向上させます。
バッファオーバーフローは、侵入者がいつバッファオーバーフローが発生する可能性があるのか、およびメモリ内のどこに現れるのかを判断できなければならないため、実装が非常に困難です。システム管理者はこの種の攻撃を防ぐためにバッファオーバーフローの存在を完全に除去しなければなりません。このため、多くの人がLinuxTorvaldsを含んでいます。LinuxTorvaldsも、この安全なLinuxパッチが重要だと考えています。なぜなら、それはバッファオーバーフローを使うすべての攻撃を防ぐからです。ただし、これらのパッチは実行スタック上の特定のプログラムおよびライブラリにも問題を引き起こすことに注意することが重要です。これもシステム管理者にとって新たな課題となります。
実行不可能なスタックパッチは多くの安全なメーリングリスト(
[email protected]など)に配布されており、ユーザはそれらを簡単にダウンロードすることができます。
●StackGuardStackGuardは非常に強力なセキュリティパッチツールです。重要なアプリケーションをStackGuardがパッチを当てたgccバージョンに再コンパイルしてリンクすることができます。
StackGuardは、スタック攻撃のバッファオーバーフローを防ぐためにスタックチェックを追加しますこれはシステムパフォーマンスのわずかな低下を引き起こしますが、StackGuardは依然として高いセキュリティ要件を持つ特定のアプリケーションにとって非常に便利なツールです。 。
SafeGuardを使用するLinuxバージョンが完成したので、ユーザーがStackGuardを使用しやすくなります。 StackGuardを使用するとシステムパフォーマンスが約10〜20%低下する可能性がありますが、バッファ全体のオーバーフローを防ぐことができます。
●新しいアクセス制御機能の追加Linuxバージョン2.3カーネルは、ファイルシステムにアクセス制御リストを実装しようとしています。これは、元の3つのカテゴリ(所有者、グループ、その他)のアクセス制御メカニズムに追加できます。より詳細なアクセス制御
新しいアクセス制御機能は2.2と2.3のLinuxカーネルで開発され、ext2ファイル属性に関する現在の問題のいくつかに最終的に影響するでしょう。従来のext2ファイルシステムよりも正確なセキュリティ管理を提供します。この新機能により、アプリケーションは、スーパーユーザー権限なしで、初期ソケットなどの特定のシステムリソースにアクセスできるようになります。
●ルールセットベースのアクセス制御Linuxコミュニティは現在、LinuxオペレーティングシステムのB1セキュリティを有効にすると主張しているルールベースのアクセス制御(RSBAC)プロジェクトを開発しています。 RSBACはアクセス制御に基づく拡張フレームワークであり、多くのシステム呼び出し方法を拡張し、さまざまなアクセス方法と認証方法をサポートしています。これは、Linuxシステムの内部およびローカルセキュリティを拡張および強化するのに役立ちます。
zh-CN"],null,[1],zh-TW"]]]