OpenGroove

Linux LPIC編。（第13 章 システムセキュリティ）
第13 章最後はLinuxセキュリティに関するあれこれを。

ポートの確認
サービスの稼働状況を確認するために開いているポートを確認するコマンドいくつか。
nmap、netstat、lsof、fuser、ncなんかがある。

nmapはホスト名を指定してポートスキャンを実施する。
ポートスキャンは攻撃側が利用することでもあるので、利用の際は注意。
nmapにはXmasツリースキャンというのがあり（-sXオプション）、これはTCPヘッダ
のFIN、URG、PSHフラグを有効にしたパケットを送って反応を確かめるというもの。
他にも-sの後にTでTCPスキャン、RでRPCスキャンとか、いろいろある。

# nmap -sX calcio.net

自ホストのポート利用状況の確認はnetstat、lsof、fuserで。
ちなみにfuserは、もともとはファイルやソケットを使用しているプロセスを特定するコマンド。

rpm -Vaを利用したファイル改ざんチェック
rpm -Vaコマンドの実行によりファイルの改ざんチェックできる。
表記は以下のようになる。先頭に表示されるのが検証記号。

#rpm -Va
S.5….T c /usr/share/test/testfile

RPM検証記号

S　ファイルサイズが異なる
M　アクセス権かタイムスタンプが変更されている
5　MD５チェックサムの値が異なる
L　シンボリックリンクが変更されている
U　所有者が変更されている
G　所属グループが変更されている
T　ファイルの更新時刻が異なる
D　デバイスファイルが変更されている
?　不明
c　設定ファイルを表す

TCP Wraper（hosts.allowの記述）
TCP Wraperと/etc/hosts.allow及びhosts.denyについては、以下に書いておいた。
↓ ↓ ↓
Linuxネットワークのトラブルシューティング

ちなみにTCP Wraperはinitdと連携して動作する。

xinetdの設定
xinetdではサービスごとのアクセス制御をinetdより細かく行うことができる。
/etc/xinetd.dディレクトリ以下の名サービスごとの設定ファイルを/etc/xinetd.conf
にインクルードして構成する。

と言いつつ、新出題範囲では「xinetdの設定」は削除になってマス。。

セキュリティツール
こんなんがあるよ、ってことで。
ちなみに、新出題範囲ではTripwireは削除、OpenVASとFail2banが追加に。

Snort
いわゆるパケットスニファリングツール。

Tripwire
ファイルの改ざんチェックツール。リアルタイムで検知するのではなく、
cronのスケジューリングによって動く。

OpenVAS
ネットワーク経由で脆弱性のチェックを行う。

Fail2ban
ログファイルを監視して攻撃を検知する。iptablesのルールを書き換えて
攻撃元からのアクセスを遮断してくれるんだそうだ。

別の問題集で見つけたコト。
Dos攻撃の一種、SYN flood攻撃への対策には、以下のパラメータ値を有効に。
/proc/sys/net/ipv4/tcp_syncookies

ブロードキャスト宛のICMPリクエストパケットを無視するには、以下のパラメータ
値を有効に。
/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

でも、多分デフォルトで有効（値が1）になっているのでは。
Dos攻撃は試験範囲から削除になっているけど、参考のために。

セキュリティ情報の収集
CERT/CCとか。う〜ん、ここまで書かなくてもいいだろう。。

第13章 システムセキュリティ、 終了〜。
次回からいよいよ、最終章、「トラブルシューティング」だ！

出典
Linux教科書LPICレベル2（翔泳社）

Linux記事一覧はこちらをどうぞ
↓ ↓ ↓
Linux-index