カテゴリー: Ｌｉｎｕｘ

セキュリティソフトが不要な理由
　　（１）ファイルパーミッション
　　　　・管理者制限が用意されており、管理者以外はシステムファイルを操作することはできない
　　　　　　Ｗｉｎｄｏｗｓでは、メールをプレビューしたり、圧縮ファイルを展開しただけで
　　　　　　　　実行ファイルが起動しウイルスに感染する場合がある
　　　　　　Ｌｉｎｕｘでは、入手したばかりの実行ファイルには権限が与えられていないため
　　　　　　　　それがウイルスであったとしても、全く動き出さない

　　（２）パッケージ（ＡＰＴ、ＲＰＭ）管理
　　　　ソフトを任意のディレクトリにインストールしない・させないを基本とする
　　　　　　ユーザーはソフトのインストールやアンインストールを管理の仕組みを通じて行う
　　　　　　　　あらかじめ認証登録されたリポジトリからしかソフトをインストールしない
　　　　　　　　ここからウイルスが紛れ込む心配はほとんどない
　　　　　　インストールされているすべてのソフトの最新版を確認しアップデートしてくれる

　　（３）オープンソース（ＯＳＳ）
　　　　Ｌｉｎｕｘの更新頻度は非常に高く、脆弱性の報告から修正までの時間が短い
　　　　　　ＯＳ自体が極めて堅牢だと言える
　　　　　　標準で搭載されているソフトもＯＳＳであるため、非常に信頼できる

　　（４）ウイルスがほとんど存在しない
　　　　Ｌｉｎｕｘのシェアは非常に少ない
　　　　　　ウイルスを作っても被害を与えることができない（利益を得ることが出来ない）
　　　　　　　　※よくセキュリティーソフトが不要な理由のひとつに上げられるが
　　　　　　　　　　ウイルスが存在しない（今後発生しない）ことはない、と思います

　　補足
　　　　Ｌｉｎｕｘユーザーが増えたら、ウイルスのリスクは必然的に高まる
　　　　　　セキュリティホールも数多く発見され、修正されるであろう
　　　　　　リポジトリの信用認証も経ずにソフトをインストールする人も多くなるであろう
　　　　自分のＰＣには無害であっても、メールにWindows用ウイルスを誤って添付する可能性もある

　　　　ウィルス対策ソフトは不要ではありません
　　　　　　無料のソフトがあるので、インストールしておくのがベターだと思います

Linuxのセキュリティ対策　サーバー編
　　（１）ソフトウェア管理
　　　　・ＯＳ（カーネル）のアップデート情報をチェックし最新のアップデートを必ず適用する
　　　　　　ディストリビューターからの情報をこまめにチェックし、アップデートする

　　　　・不要なソフトウェアをインストールしない
　　　　　　インストールの際のパッケージには最小構成（Minimal）を選ぶ
　　　　　　そこから必要なパッケージのみを個別にインストールするようにする

　　　（２）ユーザー管理
　　　　・不要になったユーザーアカウントは削除する
　　　　　　使用されなくなったユーザーアカウントは「userdel」コマンドによって削除する
　　　　　　ユーザーアカウントの利用を再開する可能性がある場合は
　　　　　　　　とりあえず「passwd」コマンドでログインできないようにしておく

　　　　・パスワード漏えい対策に有効期限を設定する
　　　　　　パスワードは「chage」コマンドで有効期限を設定しておく
　　　　　　　　パスワードを定期的に変更することで不正アクセスを防止する

　　　　・ユーザーによる権限昇格を防止する
　　　　　　「pam_wheel.so」を設定し「su」コマンドを使用できるユーザーを制限する
　　　　　　　　root権限に昇格させると、どんな設定も変更できるので必ず制限する
　　　　　　さらに管理者権限の共有は絶対させない

　　（３）運用管理
　　　　・アクセス権を適切に設定する
　　　　　　ファイルやディレクトリには適切なパーミッション（アクセス権）を設定する
　　　　　　　　「chmod」コマンドによって「読み込み」「書き込み」「実行」の権限を設定しておく
　　　　　　ファイルを所有するユーザやグループについて、誰がどのような操作をするかを設定する

　　　　・不要なデーモンを起動させない
　　　　　　ＧＵＩのサーバ管理ツールを使わないなら
　　　　　　　　ランレベルを３に設定し、不要なデーモンを起動しないようにする
　　　　　　　　不必要なデーモンを起動させておくと、使用しないポートが開いたままの状態となる

　　　　・不要なSUIDを削除する
　　　　　　「find」コマンドを使用して、不要なSUIDが付与されているファイルがないかを確認し削除する
　　　　　　　　SUIDが設定されている実行ファイルは
　　　　　　　　　　誰が実行してもファイル所有者の権限で処理が実行される

　　　　・ログを正確に残す
　　　　　　ログファイルを保存しておく
　　　　　　　　ストレージ容量を圧迫するので、一定の量で別のディスクにバックアップする
　　　　　　　　ＮＴＰを使用してサーバの時刻を正確に維持しておく

　　（４）ネットワーク管理
　　　　・パケットフィルタリングを行う
　　　　　　iptablesなどでパケットフィルタリングを行う
　　　　　　　　パケットのヘッダに含まれるポートやＩＰアドレス情報、通信の方向などをチェックする　　　　　　　　チエックポリシーのチューニングも定期的に行う

　　　　・不要なポートを閉じる
　　　　　　「netstat」コマンドを実行し、現在開いているポート番号を確認して不要なポートを閉じる

　　　　・リモートアクセスで管理する場合はＳＳＨを利用する
　　　　　　ＳＳＨは通信内容が暗号化されるため安全です

ハードディスクにインストールする必要がないLinuxディストリビューション
　　Puppy LinuxのＬｉｖｅ ＵＳＢを作成する

　　（１）ＵＳＢをフォーマットする
　　　　ＦＡＴ３２でＵＳＢを初期化する

　　（２）Puppy LinuxのＩＳＯイメージの取得
　　　　Ｌｉｖｅ ＣＤのＩＳＯイメージをPuppy Linuxの日本語版ページより取得する
　　　　　　(例）precise-571JP.isoをダウンロードした

　　（３）ＩＳＯイメージの書き込みソフトのダウンロード
　　　　UnetbootinのページからUNetbootinのWindows版を（今回は）取得する

　　（４）ＵＳＢへの書き込み
　　　　使い方を下記に示す

　　（５）ＵＳＢから起動を掛ける
　　　　ＰＣを再起動させ、ＵＳＢからPuppy Linuxの起動を確認する
　　　　　　Puppy Linuxインストールすることも
　　　　　　Windowsを残したまま、ＵＳＢから起動させることも選択できる

ハードディスクにインストールする必要がないLinuxディストリビューション
　　LiveＣＤとして提供される
　　　　起動時にＲＡＭへシステムを読み込むのでハードディスクが無くても使用できる
　　　　ハードディスク及びＵＳＢメモリへのインストールも可能
　　古いパソコンでも動作可能
　　　　２５６ＭＢ（５．Ｘ系）以上で動作する
　　　　WindowsＸＰ機であれば十分に動きます