【Linuxのセキュリティ対策 第3回 】(ホライズン・デジタル・エンタープライズ) | ScanNetSecurity
2024.05.06(月)

【Linuxのセキュリティ対策 第3回 】(ホライズン・デジタル・エンタープライズ)

4.セキュリティツールの開発状況とオープンソースツールの紹介

特集 特集
facebookLINE
4.セキュリティツールの開発状況とオープンソースツールの紹介

この章ではクラッキングに備えるためのいくつかのツールを紹介する。

・ファイル整合性チェックソフト

 クラッカーは、/bin/loginなどのようなシステムファイルを書き換える。ローカルからの(そしてネットワークからの)システムに対する攻撃を発見する良い方法は、Tripwire、Aide、Osirisのような、システムがいじられていないかどうかをチェックするプログラムを実行することである。これらは重要なバイナリや設定ファイル全てのチェックサムを取り、参照値として正しいことが分かっている以前の値のデータベースと比較する。したがって、これらのファイルの変更は全て知ることができる。

 ファイルが書き換えられたことを定期的にチェックすれば、クラッキングの被害を最小限に押さえることができる。侵入者が変更できないようにハードウェアロックをされたメディアにデータベースをのせ、そのデータベースと実際のファイルを定期的に比較することで、書き換えが行われなかったかどうかをチェックします。またこの手のプログラムをリムーバブルメディアにインストールし、さらに物理的に書き込み禁止にしておくとよい。

 こうしておけば、侵入者にはシステム整合性チェックプログラムやデータベースを改竄することが不可能になる。いったんこの手のものを設定したら、これを通常のセキュリティ管理作業の一部として定期的に実行し、何か変更がなされていないかチェックするとよい。

 Tripwireも,ユーザーが指定したディレクトリやファイルのチェック・サムをデータベースに格納しておき,そのチェック・サムを確認することでディレクトリやファイルに対する不正アクセス(改竄)があったかどうかを検査する。この改竄は,単純にファイルが書き換えられたという確認から,タイム・スタンプ,所有者のユーザーID,グループID,リンクの数,iノード番号などさまざまな項目についてファイルの状態を確認できる。元来は米Purdue大学の
COASTプロジェクトが開発したツールで,UNIXの分野では不正アクセス対策用フリーソフトとして広く利用されている。元々フリーソフトとして公開されていたTripwireを米Tripwire Security Systemsが開発元から独占販売・開発ライセンス権の供与を受け,企業向けに機能強化したものがTripwire 2.2.1である。

 この製品のLinux版(Red Hat Linux 5.0,6.0対応)を無償公開している。米Tripwire Security Systems(www.tripwire.com)からTripwire Linux版およびPDF形式のマニュアルがダウンロードできる。

・システムスキャナ

 システムスキャナはローカルホストをスキャンして、セキュリティプロファイルを調査する。ファイルのパーミッション、所有権、OSのコンフィグレーション、トロイの木馬型プログラムの有無、侵入者の痕跡などについてチェックし、セキュリティ上の弱点を探す。Linuxに対応したシステムスキャナではCOPSが知られている。このソフトウェアは、 ftp://ftp.jpcert.or.jp/pub/cert/tools/cops/ から手に入る。

・ネットワークスキャナ

 システムスキャナがローカルホストをスキャンするのとは対照的に、ネットワークスキャナはネットワーク経由でサーバをスキャンする。ネットワークスキャナではSATAN(Security Administrator Tool for Analyzing Networks)はあまりにも有名である。そして強力である。当然Linuxにも対応している。また、SAINT(Security Administrator's Integrated Network Tool), nmap(The Network Mapper), Nessus等も有名である。
 特にNessusはプラグインを用いることにより、新手の攻撃の手口をNessusに追加できる機能を有する。また、この手のツールは非常に強力であるがため、使い方を間違うと思わぬ形で攻撃を行ってしまう可能性がある。使い方には十分な注意が必要である。

・アクセス制御ソフト

 ここでは、アクセス制御ソフトとしてTCP Wrapperを紹介する。入手は ftp://ftp.porcupine.org/pub/security/ からダウンロードする事が出来る。

 TCP Wrapperは inetdから起動されるデーモンのアクセス制御やログの出力を行うツール。多くのLinuxディストリビューションでは標準で搭載されるようになって来ている。

 inetdとは、telnet, ftp, rsh, rlogin, finger等のサービスを提供するデーモンの代わりに一括して接続要求を受けるデーモンである。inetdは、あらかじめ設定したサービスに対応するポートで接続要求を待っており、そのポートに接続要求が有るとそれに対応したデーモンを起動し中継を行う。このようにすることで、多くのデーモンの一括管理を可能にしている。(そのため、inetd.confの設定は注意すべきである。不要なサービスは原則として起動しない方が良い。)

・ログ監視ソフト

 実際の運用においては、ログの監視は人間には限界がある事がわかる。ここでは、ログ監視ソフトとして、SWATCH - The Simple WATCHer and filter( ftp://ftp.stanford.edu/general/security-tools/swatch/ )を紹介す
る。


株式会社ホライズン・デジタル・エンタープライズ
http://www.hde.co.jp
開発部 三谷 洋司
マーケティング部 川下 真

(詳しくはScan本誌をご覧ください)
http://www.vagabond.co.jp/scan/

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  3. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  6. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  7. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  10. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

ランキングをもっと見る
ホーム 特集 特集 記事
TOP