How to build Internet Server with Linux

last update: 29 Sep 2004

6.1.1 ファイルとディレクトリのパーミッション検査

1. 書き込み可能か否かの検査
   findコマンドを使って簡単にすべてのディレクトリとファイルのパーミッションを検査することができます。
   以下のコマンドは、ルートディレクトリ/以下でユーザ以外が書き込み可能なすべてのディレクトリとファイルを表示するものです。
   % find / -perm -020 ! \( -type l -o -type p -o s\) -print
   
   
   "-perm"オプションを"-2"とすれば、全ユーザが書き込み可能なすべてのディレクトリとファイルを表示します。
2. SUID/SGIDプログラムの検査
   スティッキービットの立ったプログラムはSUIDプログラムと呼ばれ、実行時にユーザIDやグループIDを変えて 動作します。
   

   SUID/SGUD化する意味の説明は省くとして、/usr/bin/chshや/usr/bin/passwdなどのように、 システム運用上どうしても必要なSUID/SGIDプログラム以外、システムにおかないようにしましょう。
   

   % find / -perm -002000 -o -perm -004000 -type f -print
   
3. umask
   各ユーザの.cshrcなどで環境変数"umask"が設定されています。 これは各ユーザが新規に生成するファイルのパーミッションの決定に影響を与えるものです。
   

   umask 077

   .cshrcのumaskの設定例

   
   
4. .rhosts
   .rhostsファイルは、rshdやrlogindが参照するもので、 このファイルに書かれたホストやユーザはrshやrloginを使う場合にユーザ認証なし(パスワードなし)でアクセスすることができます。
   これがいかに危険かは説明する必要がないでしょう。
   

   .rhostsファイルは各ユーザのホームディレクトリに置かれるので、常時ユーザのホームディレクトリを 監視して.rhostsファイルが見つかったら即刻削除すべきでしょう。
   




6.1.2 検査ツール

セキュリティ確保をツールに頼ろうとするのは、決してよい管理者のすることではありませんが、 いくつか有能なツールがあるので紹介します。
詳細はリンクをたどってみて下さい。

• tiger-2.2.3(Redhat7.x系では利用不可)
• cops_104(Redhat7.x系では利用不可)
• tripwire

万が一、侵入されたとしてもログをとっておけば、その後の対処が可能ですのでモニタリングも行ないましょう。

• IPmasquerade
  "IPmasquerade"はkernelレベルでproxy機能を実現するものです。設定によってfirewallの機能を持たせることができます。 2.0系カーネルではipfwadm、 2.2系カーネルではipchainsを用いて実現します。
• TCPwrappers
  TCPwrappersはセキュリティ機能を向上させたtcpdデーモンです。 細かなアクセス制御と、アクセス状況をログファイルに記録する機能を持っています。

home |index |previous |next |contents

since 04/Oct/2004