Presented by: Greg Smith Pacsec.jp 2004 管理者向けセキュリティ Presented by: Greg Smith Pacsec.jp 2004
はじめに 自己紹介 所属、仕事内容 「管理者向けセキュリティ」の重要性について
自己紹介 Greg Smith 8年間におよぶUNIX ベースのOS経験 管理者として5年勤務 過去4年間は断続的にセキュリティに取り組む
所属、仕事内容 株式会社エス・アイ・ディ・シー(Secured Infrastructure Design Corporation)に勤務 セキュリティアナリスト、様々なBSD / Linuxサーバの管理者
「管理者向けセキュリティ」の 重要性について 「管理者向けセキュリティ」の 重要性について 管理者はサーバのケアにもっと関心を払うべきだと考えている 自分のセキュリティに関する基本的見解を皆様に伝えたい
概 略 「私の」セキュリティ定義 OSレベルのセキュリティ ログ監視によるセキュリティ インタラクティブセキュリティ 概 略 「私の」セキュリティ定義 OSレベルのセキュリティ ログ監視によるセキュリティ インタラクティブセキュリティ 管理者に必要とされるセキュリティ基準
「私の」セキュリティ定義 賢い選択をする 教育を受ける、 また常に学び続ける 知覚力 適合 ケアと注意
OSレベルのセキュリティ 適切なアプリケーション管理 OSでのユーザのやり取りに関する適切 な記録 管理者とユーザログイン間における不一 な記録 管理者とユーザログイン間における不一 致を関知 ファイルシステムにおける不一致を関知
適切なアプリケーションの管理 方法 説明 ディストリビューション FreeBSD CVS/portupgrade FreeBSDはCVS システムを使用し、OSとディペンデンシーを最新の状態に保つ Debian apt-get update Debianは最新の状態を保つためにapt パッケージ管理システムを使用 Gentoo emerge sync emerge syncコマンドでGentoo portage tree をアップデートできる Fedora Yum update Yum はRHNと同時に使用できる素晴らしい代替物
ユーザ行為の適切な記録 ログイン時を監視し、ある特定の時間にオフィスにいないはずのユーザが、ログインしたように見える場合、同ユーザの行動を確認するために、ログをさらにチェックする 自分のログインを監視し、管理者ログインとの不一致に気づいたなら、これはログを詳しく調査する正当な理由となる
ファイルシステムにおける 不一致を関知する ファイルシステムにおける 不一致を関知する 自分以外の人間によって、ファイルがシステムのどこか別の場所に移動されたり、削除されたり、あるいはコピーされたりしていないか? ログから /dev/null へのシンボリックリンクはあるか? 以前には存在しなかった、ファイルが保存された新しいディレクトリが作成されていないか? 最後にログインした時からのファイルシステムの違いを監視する
ロギングによるセキュリティ よりよくナビゲートするためにsed、awk、uniq、sortのようなツールを使用することを恐れない ログを解析する、不一致を探す Apacheログ;パーソナルディレクトリからのファイルの転送を探す FTPログ;疑わしい転送を探す SSH認証エラーを探す
より容易にするために テキスト解析ツールを使用する より容易にするために テキスト解析ツールを使用する ここに挙げた例はすべてFreeBSD 4.9の デフォルトログインシステムに基づいている ログ 例 Cron 異なったテキスト解析法を用いてエントリの違いを見る容易な方法 Secure/Auth.log どんな曖昧なものも注意してSecure/Authログを監視する Message/Syslog 侵入された可能性を探す Lastlog ただ不一致を探す Apache – httpd-access ログを圧縮するためにsed/awk/grepを使用する
ログを解析する、不一致を探す cronにおける例, 1000エントリ sed s/[0-9]/#/g cron.ot | sort | uniq
Secure/Authログ解析 同じようなライン、awk およびgrepを 使用するとうまく解析できる
Secure/Authログ解析 cat auth.log | grep Failed | awk '{print $3" "$6" "$7" "$11" "$13}‘ シンプルなgrep/awkを使用、役に立たない情報を取り除く
メッセージログ解析 同じようなライン、grepを使用するとうまく解析できる
メッセージログ解析 うまく解析するためにgrepを使用 さらに進む cat messages | grep root | grep BAD このシンプルな手順で、ログを見通す時間は大幅に削減される
ロギングを利用した更なるセキュリティ 最後のログを監視する、lastコマンドを使用する セキュリティ侵害の可能性を追跡するなら、httpdのアクセスログ およびhttpdのエラー ログが役立つ。httpログの解析は、これまでに紹介した解析方法を使用すると、より良い結果を得ることができる。
ロギングを利用した更なるセキュリティ ログを定期的に監視する 現在使用している特定のOSのログシステムを学ぶ 時間を節約するために、当該不一致を探してログにざっと目を通す;不一致が見つかったら、より詳しく調査する ログファイルサイズの不一致に注意する
インタラクティブセキュリティ インタラクティブセキュリティをどう見るか? インタラクティブセキュリティを選択する理由
インタラクティブセキュリティを どう見るか? インタラクティブセキュリティを どう見るか? 知覚力 システムを知る 自身の環境に合うように、サーバやワークステーションをカスタマイズ化する 正しい見方がセキュリティの大幅な強化につながることを理解する
インタラクティブセキュリティを選択する理由 システム保守に費やす工数を減らす;単調な仕事に管理者が費す時間はより少ないことが望ましい OSの基本的な機能に関する知識を増やす よりストレスの少ない労働環境を実現する
管理策 サーバが侵害されたら、それを教訓に、 然るべき処置を講じる 分離 常識
結 論 管理者は、最も配慮を必要とする実際のインフラと密接に働かなければならない 結 論 管理者は、最も配慮を必要とする実際のインフラと密接に働かなければならない 管理者の知識および技術を向上することにより、セキュリティ侵害を受ける可能性を減らすことができる
特に以下の方に感謝を捧げます: Richard S. Keirstead Lars Maul Steve Manzuik ご質問 特に以下の方に感謝を捧げます: Richard S. Keirstead Lars Maul Steve Manzuik