- 9 物理的なセキュリティ
- 10 ソフトウエア管理
- 11 ファイルの管理
- 12 パーティションやファイルの暗号化
- 13 cryptctl を利用したアプリケーション向けのストレージ暗号化
- 14 ユーザ管理
- 15
cronとatの制限 本章では、システムのセキュリティを改善するため、
cronやatデーモンへのアクセスを制限する方法について説明しています。- 16 Spectre/Meltdown チェッカー
spectre-meltdown-checkerは、直近の 20 年間に製造されたほぼ全ての CPU 内に存在する投機的実行機能に関する脆弱性が、お使いのシステムに存在しているかどうかをテストするためのスクリプトです。この脆弱性はハードウエアの欠陥に起因するものであり、攻撃者はこの脆弱性を悪用することで、システム内に存在する全てのデータを読み取ることができる可能性があります。クラウド型のコンピューティングシステムの場合、 1 台の物理ホスト内に複数の仮想マシンが動作する仕組みであることから、この脆弱性を悪用できてしまうと、全ての仮想マシン内のデータを読み取ることができる可能性があることになります。この脆弱性を根本から解決するには、 CPU の再設計と入れ替えが必要になってしまいますが、それができるまでの間の回避策として、これらの脆弱性を緩和するためのソフトウエア修正が提供されています。お使いの SUSE システムを最新の状態に維持しておくことで、これらの修正は全てインストールされることになります。spectre-meltdown-checkerは詳細なレポートを生成します。お使いのシステムに脆弱性が存在しないことを保証する仕組みではありませんが、緩和策が正しく適用され、潜在的な脆弱性が存在していないことを確認することができます。- 17 YaST を利用したセキュリティの設定
YaST のモジュールである を利用することで、 openSUSE Leap に対するセキュリティ関連の設定を一括で変更することができます。ログイン処理やパスワードの生成に関する設定のほか、起動の許可に関する設定やユーザの作成、既定のファイルアクセス許可などの設定が含まれています。このモジュールは、 YaST コントロールセンターから › を選択することで、起動を行うことができます。起動を行うと、 ダイアログは、 が選択された状態で始まりますが、それ以外の設定分野については、左側のペインで選択して表示させてください。
- 18 Polkit 認可フレームワーク
Polkit はグラフィカルな Linux デスクトップ環境で使用される認可フレームワークで、システムでの権限管理をより精密に行うための仕組みです。従来の Linux システムでは、最高位のシステム権限を持つユーザとして
rootを規定し、それ以外のユーザやグループと分離していましたが、サウンドハードウエアにアクセスするためのaudioグループなどのように、rootとは別の権限構成も存在していました。このような構成では、特定の状態にある場合にのみ許可したり、一時的に許可したりするようなことが実現できませんでした。このような場合、通常は
sudoコマンドなどでrootに成り代わり、特権を得て作業を行うことになりますが、 Polkit では要件に応じて特定のユーザやグループに対して、必要な権限のみを与えることができます。権限は処理と権限内容を記した設定ファイル内で動的に対応することができます。- 19 Linux でのアクセス制御リスト
POSIX ACL (アクセス制御リスト) は、ファイルシステム内のオブジェクト (ファイルやディレクトリなど) に対して設定することのできる、従来型のパーミッション (アクセス許可) の拡張です。 ACL を使用することで、従来型のパーミッションよりも柔軟な構成をとることができるようになります。
- 20 AIDE を利用した侵入検知
システムの機密を保持することは、代替のきかないシステムの管理者にとっては必須の課題となります。常にシステムが安全な状態にあることは誰も保証できませんので、定期的に (たとえば
cronなどで) 追加のチェックを行い、システムが正しく制御されていることを確認することが重要となります。このような要件を満たすことができるのが AIDE (Advanced Intrusion Detection Environment; 高度な侵入検知環境) です。