今回お知らせするのは、Gentoo セキュリティ ハンドブックの翻訳完了のお知らせです。Gentoo セキュリティ ハンドブックは、Gentoo Linux セキュリティ・ガイドを、より詳細にしたものであり、Gentooをサーバとして利用したい方、デスクトップ環境でも、インターネットに接続しており、クラッキングや不正アクセスなどに気を遣いたい方には、必ず目を通してもらいたいドキュメントです。
このハンドブックは、以下の14章から構成されています。そして、セキュリティを強化すべき対象の検討から始まり、セキュリティを強化するための方法として、一番の基本であるロギングから解説し、次にマウント、権限、サービスのアクセス制御という風に、順々にレベルを上げていきます。このため、Linux初心者の方でも理解しやすいドキュメントになっています。
- プレインストール関連
- セキュリティを強化する
- ロギング
- パーティションのマウント
- ユーザ/グループの制限
- ファイルパーミション
- PAM
- TCP Wrapper
- カーネルセキュリティ
- サービスのセキュリティを確保する
- Chrootとバーチャルサーバ
- ファイアーウォール
- 侵入検知
- 最新状態を維持する
原文より:
どれほど数多くの保護を実装しても、攻撃者がコンピュータに物理アクセスすることで、それらすべてが簡単に回避されるかもしれません。しかしながら、機器に物理アクセスする攻撃者に対するセキュリティを決めるために、取りうる対策が一応は存在します。機器を鍵のかかる棚にしまうことで、攻撃者がケーブルを抜き、持ち去るのを防いでください。攻撃者がハードディスクを絶対持ち逃げできないように、コンピュータのケースに鍵をかけるのも良いアイデアです。うまく権限とログイン制限を回避して、別ディスクからのブートができないように、 BIOS上でハードディスクをファーストブートディスクにし、 BIOSパスワードを設定するようにしてください。悪意あるユーザがシングルユーザモードでブートして、システムに対する完全なアクセスを取得できないように、LILOやGRUBのブートパスワードを設定することも重要です。これについては3章の GRUBパスワードの設定 や LILO パスワードの設定 で詳細に触れます。
もちろん、ログを保存しておくだけでは、片手落ちです。
Logcheckのようなアプリケーションによって、通常のログ解析はずっと楽になります。
Logcheckとはスクリプトで、logtailと呼ばれるバイナリに付属しています。
logtailはcronデーモンから実行され、不審な活動に対する一連のルールに沿って、
ログをチェックし、結果をrootのメールボックスにメールします。
Logcheckとlogtailは、app-admin/logsentryパッケージの一部です。
Logcheckは4つのファイルを使い、
重要なログエントリを重要でないものからフィルターします。
これらのファイルには、
ハッキング攻撃により出力される既知のメッセージを含むlogcheck.hacking、
セキュリティの侵害を知らせるパターンを含むlogcheck.violations、
violationsファイルにマッチしそうで、かつ、
通常のエントリとして無視してしまって構わないキーワードを含むlogcheck.violations.ignore、
無視されるべきエントリにマッチするlogcheck.ignoreがあります。
こちらからどうぞ。
Gentoo セキュリティ ハンドブック
翻訳をしてくださった村上 卓さん、松葉さん、クリスさん、小林さん、シンドウさん、
また、査読をしてくださったみなさん、ありがとうございました。
どうもお疲れさまでした。
|