第13回 NETMARK+iproute2+TDEフル活用でLIDS総仕上げ
面 和毅
サイオステクノロジー株式会社
インフラストラクチャービジネスユニット
Linuxテクノロジー部
OSSテクノロジーグループ
シニアマネージャ
2006/12/20
前回では、NETMARKとiproute2を組み合わせた場合のメリットについて説明し、最後に具体例としてsyslogdとiproute2を組み合わせた場合を説明しました。今回は、いままで説明してきたTDE/TPEと、前回取り上げたNETMARKとiptables/iproute2を組み合わせて、なるべくセキュアにサーバを構築してみましょう。
今回も説明のためにVMwareイメージを用いて解説を行いますので、実際に手元で設定ファイルを確認したい場合には以下のURLから今回の分のVMwareイメージをダウンロードしてください。
| 【atmarkIT VMware Images】 http://www.selinux.gr.jp/LIDS-JP/atmarkit.html |
rsync+iproute2でバックアップを
前回のVMwareとホストOSを使用したネットワーク上で、今度はiproute2とLIDSを組み合わせて、rsyncによるバックアップを取りたいと思います。
 |
| 図1 iproute2とLIDSを組み合わせてセキュアにバックアップを取得 |
図1のように、syslogサーバにrsyncでバックアップを取ることとします。rsyncはsshで接続し、rsyncによるパケットはsyslogサーバにルーティングすることとしますが、通常のSSHはsyslogサーバに対してのルーティングを持たないため、リモートログインができないようになっています。これを応用することにより、DMZに露出しているサーバを管理ネットワークからバックアップ/管理を行う際に、万が一このサーバがクラックされたとしても、管理ネットワークを通してそのほかのマシンに攻撃を展開していくことを防ぐことができます。
 |
| 図2 管理ネットワークマシンを踏み台にした攻撃を防ぐことができる |
1.rsyncパッケージのインストール
Debianではrsyncパッケージが用意されていますので、
| # apt-get install rsync |
で簡単にインストールすることが可能です。
2.SSHの公開鍵認証によるパスワード省略
まず、rsyncとSSHでバックアップを取るといっても、バックアップジョブが走るたびにパスワード(パスフレーズ)の入力が必要になるのでは現実的ではありません。SSHでのパスワード認証を省略させるには、
- 公開鍵認証(空のパスワードを使用)
- 公開鍵認証+ssh-agent
- ホストベース認証
などいくつかの方法があります。今回は空のパスワードを用いた公開鍵認証を使用することにします。テストのためrootでバックアップを行うことにしますが、一般ユーザーをバックアップに使用する場合でも同様の手順となります。
- まず、LIDSの入っているマシン(ホスト名lids)上で、RSAで公開鍵と秘密鍵のペアを作成します。パスワード(パスフレーズ)は、何も入力せずに空のままでEnterを押します。
| # ssh-keygen -t rsa |
- 次に、作成された公開鍵をsyslogサーバ上に転送し、「/root/.ssh/authorized_keys」としてコピーします。コピーしたら、ファイルの属性をchmodコマンドで600にしておきます。
- 次に、syslogサーバ上の/etc/ssh/sshd_configファイルを編集し、公開鍵認証を使用するように設定します(Debianでは、デフォルトで使用するように設定されています)。設定が終わったら、syslogサーバ上のsshdを再起動します。
- これで、パスワード入力を行うことなく、公開鍵認証を用いてSSHでログインができるようになっているはずです。
3.rsyncコマンドのACL設定
次に、LIDSを用いてrsyncコマンドがソケットを作成する際に特定のマーカーを付けるようにします。例として、「30」をrsyncにマークするようにします。LIDSを無効にするか、LFSを開いて、
| # lidsconf -A -s /usr/bin/rsync -o LIDS_SOCKET_NF_MARK 30 -j DISABLE |
とします。
このコマンドを実行するシェルは、ダウンロードしたイメージの、/root/scripts/client/lids.rsync.shとなります。
4.iproute2の設定
最後にiproute2で、30のマークが付いているパケットをsyslogサーバにルーティングするようにします。
| # ip rule add fwmark 30 table 20 |
|
1/3 |
 |
| Index | |
| NETMARK+iproute2+TDEフル活用でLIDS総仕上げ | |
 |
Page1 rsync+iproute2でバックアップを |
| Page2 rsync+iproute2のテスト さらにサンドボックス化 |
|
| Page3 VMwareとiproute2を組み合わせる |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
