IDSを使ったLinuxセキュリティアップ入門(5)
前回は、ログフォルダの作成および設定ファイルであるsnort.confの基本的な編集を行った。今回は、セキュリティ関連の対策として、専用ユーザの作成と関連するフォルダのパーミッション変更を行うことにしよう。
特集
特集
●Snort専用ユーザの作成
まず、Snortの専用ユーザの作成である。なぜ、専用ユーザを作成するのか、その意義を簡単に説明しておこう。
通常、Snortの起動はroot権限で行わなければならない。しかし、単純にrootのままでSnortを起動させておくと、Snortがクラックされてしまった場合、root権限までが奪われてしまう可能性があるのはお分かりだろう。そこで、Snort専用ユーザを作成し、Snortを起動する際にそのユーザで起動するようにするのだ。実際には、起動オプションでユーザを指定して起動させることになる。
また、専用ユーザは、システムログイン機能を不可に設定しておく。こうしておけば、万が一Snortがクラックされてしまっても、起動ユーザを装ってシステムに侵入することができなくなる。もちろん、root権限を奪われる心配もなくなるわけだ。ただし、Snortに関連する各フォルダのパーミッションは、専用ユーザのみアクセスできるよう変更を行っておく必要がある。
Snortといえども人間が作っているプログラムだ。脆弱性がまったくないとは言い切れない。いつ、どのような形でセキュリティホールが明らかになるか分からないのだ。専用ユーザの作成は、まさに転ばぬ先の杖なのである。
それでは、専用ユーザ作成の具体的な手順を見てみよう。作成するのは、ユーザとグループである。ここでは、GUIのユーザ管理ツールを使ったユーザ作成から説明する。
1)スタートメニューから[システム設定]→[ユーザとグループ]を選択する。
ユーザ管理は、通常rootしか扱うことができない。そのため、一般ユーザで利用しようとする場合、rootのパスワードを入力するよう求められる。ダイアログボックスが表示されたらパスワードを入力し、[OK]をクリックする。これで、ユーザ管理ツールが起動する。
2)「ユーザ」パネルが開いているのを確認し、「ユーザの追加」ボタンをクリックする。
「新規ユーザの作成」ダイアログボックスが開く。
3)各項目について、以下のように入力する。
・ユーザ名:「snort」とする。
・氏名:空欄でかまわない。
・パスワード:最低でも6文字以上を指定しよう。短いパスワードでは警告メッセージが表示され、受け付けてもらえないので注意する。
・ログインシェル:ドロップダウンリストから「/sbin/nologin」を選択する。
これで、ユーザsnortを使ってシステムにログインすることはできなくなる。・ホームディレクトリの作成:オフにする。システムにログインすることはないので、ホームディレクトリも必要ない。
・ユーザ用にプライベートグループを作成:オンにする。グループsnortが自動作成される。
・ユーザIDを手動で指定:ユーザIDを特別に指定する必要がなければ、オフのままでいい。
4)[OK]ボタンをクリックする。
以上で、ユーザ「snort」とグループ「snort」が作成される。ユーザ管理ツールのリストに表示されているかどうか確認しよう。ユーザsnortは、いわば実体のないユーザで、rootがSnortを起動するためだけにあるものだ。
【執筆:磯野康孝】
(詳しくはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》