第13回 NETMARK+iproute2+TDEフル活用でLIDS総仕上げ


面 和毅
サイオステクノロジー株式会社
インフラストラクチャービジネスユニット
Linuxテクノロジー部
OSSテクノロジーグループ
シニアマネージャ
2006/12/20

 前回では、NETMARKとiproute2を組み合わせた場合のメリットについて説明し、最後に具体例としてsyslogdとiproute2を組み合わせた場合を説明しました。今回は、いままで説明してきたTDETPEと、前回取り上げたNETMARKとiptables/iproute2を組み合わせて、なるべくセキュアにサーバを構築してみましょう。

 今回も説明のためにVMwareイメージを用いて解説を行いますので、実際に手元で設定ファイルを確認したい場合には以下のURLから今回の分のVMwareイメージをダウンロードしてください。

【atmarkIT VMware Images】
http://www.selinux.gr.jp/LIDS-JP/atmarkit.html

 rsync+iproute2でバックアップを

 前回のVMwareとホストOSを使用したネットワーク上で、今度はiproute2とLIDSを組み合わせて、rsyncによるバックアップを取りたいと思います。

図1 iproute2とLIDSを組み合わせてセキュアにバックアップを取得

 図1のように、syslogサーバにrsyncでバックアップを取ることとします。rsyncはsshで接続し、rsyncによるパケットはsyslogサーバにルーティングすることとしますが、通常のSSHはsyslogサーバに対してのルーティングを持たないため、リモートログインができないようになっています。これを応用することにより、DMZに露出しているサーバを管理ネットワークからバックアップ/管理を行う際に、万が一このサーバがクラックされたとしても、管理ネットワークを通してそのほかのマシンに攻撃を展開していくことを防ぐことができます。

図2 管理ネットワークマシンを踏み台にした攻撃を防ぐことができる

1.rsyncパッケージのインストール

 Debianではrsyncパッケージが用意されていますので、

# apt-get install rsync

で簡単にインストールすることが可能です。

2.SSHの公開鍵認証によるパスワード省略

 まず、rsyncとSSHでバックアップを取るといっても、バックアップジョブが走るたびにパスワード(パスフレーズ)の入力が必要になるのでは現実的ではありません。SSHでのパスワード認証を省略させるには、

  • 公開鍵認証(空のパスワードを使用)
  • 公開鍵認証+ssh-agent
  • ホストベース認証

などいくつかの方法があります。今回は空のパスワードを用いた公開鍵認証を使用することにします。テストのためrootでバックアップを行うことにしますが、一般ユーザーをバックアップに使用する場合でも同様の手順となります。

  1. まず、LIDSの入っているマシン(ホスト名lids)上で、RSAで公開鍵と秘密鍵のペアを作成します。パスワード(パスフレーズ)は、何も入力せずに空のままでEnterを押します。
# ssh-keygen -t rsa
  1. 次に、作成された公開鍵をsyslogサーバ上に転送し、「/root/.ssh/authorized_keys」としてコピーします。コピーしたら、ファイルの属性をchmodコマンドで600にしておきます。
  2. 次に、syslogサーバ上の/etc/ssh/sshd_configファイルを編集し、公開鍵認証を使用するように設定します(Debianでは、デフォルトで使用するように設定されています)。設定が終わったら、syslogサーバ上のsshdを再起動します。
  3. これで、パスワード入力を行うことなく、公開鍵認証を用いてSSHでログインができるようになっているはずです。

3.rsyncコマンドのACL設定

 次に、LIDSを用いてrsyncコマンドがソケットを作成する際に特定のマーカーを付けるようにします。例として、「30」をrsyncにマークするようにします。LIDSを無効にするか、LFSを開いて、

# lidsconf -A -s /usr/bin/rsync -o LIDS_SOCKET_NF_MARK 30 -j DISABLE

とします。

 このコマンドを実行するシェルは、ダウンロードしたイメージの、/root/scripts/client/lids.rsync.shとなります。

4.iproute2の設定

 最後にiproute2で、30のマークが付いているパケットをsyslogサーバにルーティングするようにします。

# ip rule add fwmark 30 table 20

1/3

Index
NETMARK+iproute2+TDEフル活用でLIDS総仕上げ
Page1
rsync+iproute2でバックアップを
  Page2
rsync+iproute2のテスト
さらにサンドボックス化
  Page3
VMwareとiproute2を組み合わせる


Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間