IDSを使ったLinuxセキュリティアップ入門（５）

　前回は、ログフォルダの作成および設定ファイルであるsnort.confの基本的な編集を行った。今回は、セキュリティ関連の対策として、専用ユーザの作成と関連するフォルダのパーミッション変更を行うことにしよう。

●Snort専用ユーザの作成

　まず、Snortの専用ユーザの作成である。なぜ、専用ユーザを作成するのか、その意義を簡単に説明しておこう。

　通常、Snortの起動はroot権限で行わなければならない。しかし、単純にrootのままでSnortを起動させておくと、Snortがクラックされてしまった場合、root権限までが奪われてしまう可能性があるのはお分かりだろう。そこで、Snort専用ユーザを作成し、Snortを起動する際にそのユーザで起動するようにするのだ。実際には、起動オプションでユーザを指定して起動させることになる。

　また、専用ユーザは、システムログイン機能を不可に設定しておく。こうしておけば、万が一Snortがクラックされてしまっても、起動ユーザを装ってシステムに侵入することができなくなる。もちろん、root権限を奪われる心配もなくなるわけだ。ただし、Snortに関連する各フォルダのパーミッションは、専用ユーザのみアクセスできるよう変更を行っておく必要がある。

　Snortといえども人間が作っているプログラムだ。脆弱性がまったくないとは言い切れない。いつ、どのような形でセキュリティホールが明らかになるか分からないのだ。専用ユーザの作成は、まさに転ばぬ先の杖なのである。

　それでは、専用ユーザ作成の具体的な手順を見てみよう。作成するのは、ユーザとグループである。ここでは、GUIのユーザ管理ツールを使ったユーザ作成から説明する。

1）スタートメニューから［システム設定］→［ユーザとグループ］を選択する。
　ユーザ管理は、通常rootしか扱うことができない。そのため、一般ユーザで利用しようとする場合、rootのパスワードを入力するよう求められる。ダイアログボックスが表示されたらパスワードを入力し、［OK］をクリックする。これで、ユーザ管理ツールが起動する。

2）「ユーザ」パネルが開いているのを確認し、「ユーザの追加」ボタンをクリックする。
　「新規ユーザの作成」ダイアログボックスが開く。

3）各項目について、以下のように入力する。

・ユーザ名：「snort」とする。
・氏名：空欄でかまわない。
・パスワード：最低でも6文字以上を指定しよう。短いパスワードでは警告メッセージが表示され、受け付けてもらえないので注意する。
・ログインシェル：ドロップダウンリストから「/sbin/nologin」を選択する。
これで、ユーザsnortを使ってシステムにログインすることはできなくなる。・ホームディレクトリの作成：オフにする。システムにログインすることはないので、ホームディレクトリも必要ない。
・ユーザ用にプライベートグループを作成：オンにする。グループsnortが自動作成される。
・ユーザIDを手動で指定：ユーザIDを特別に指定する必要がなければ、オフのままでいい。

4）［OK］ボタンをクリックする。

　以上で、ユーザ「snort」とグループ「snort」が作成される。ユーザ管理ツールのリストに表示されているかどうか確認しよう。ユーザsnortは、いわば実体のないユーザで、rootがSnortを起動するためだけにあるものだ。

【執筆：磯野康孝】

（詳しくはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec