セキュリティーガイド

Red Hat Enterprise Linux 7

RHEL サーバーとワークステーションをセキュアにする概念と手法

Mirek Jahoda

Red Hat Customer Content Services

mjahoda@redhat.com

Stephen Wadeley

Red Hat Customer Content Services

Robert Krátký

Red Hat Customer Content Services

Martin Prpič

Red Hat Customer Content Services

Ioanna Gkioka

Red Hat Customer Content Services

Tomáš Čapek

Red Hat Customer Content Services

Yoana Ruseva

Red Hat Customer Content Services

Miroslav Svoboda

Red Hat Customer Content Services

法律上の通知

概要

本書は、ユーザーおよび管理者が、ローカルまたはリモートからの侵入、悪用および悪意のある行為に対してワークステーションとサーバーを保護するプロセスと方法を習得する際の手助けとなります。

本ガイドは Red Hat Enterprise Linux にフォーカスしたものですが、概念と手法はすべての Linux システムに適用できるものです。データセンター、勤務先および個人宅での安全なコンピューター環境の構築に必要となるプランニングとツールについて詳細に説明しています。

管理上の適切な知識と警戒体制およびツールを備えることで、Linux を実行しているシステムの機能をフルに活用し、かつこれらのシステムをほとんどの一般的な侵入や悪用の手法から保護することができます。

注記

専門知識をさらに得るために、Red Hat Server Hardening (RH413) トレーニングコースが用意されています。

第1章セキュリティーの概要

ビジネスの運営や個人情報の記録ではネットワーク化された強力なコンピューターへの依存度が高まっていることから、各種業界ではネットワークとコンピューターのセキュリティーの実践に関心が向けられています。企業は、システム監査の適正な実施やソリューションが組織の運営要件を満たすようにするために、セキュリティー専門家の知識と技能を求めてきました。ほとんどの組織はますます動的になってきていることから、従業員は会社の重要な IT リソースにローカルまたはリモートでアクセスするようになっています。このため、セキュアなコンピューティング環境に対するニーズはより顕著になっています。

しかし残念なことに、多くの組織 (個々のユーザーも含む) が、機能性や生産性、便利さ、使いやすさおよび予算面の懸念事項にばかり目を向けてセキュリティーを付け足しと見なし、セキュリティーのプロセスが見過ごされています。さらに、セキュリティーの適切な実施については、無許可の侵入が発生した後にはじめて徹底されることも多くあります。多くの侵入の試みを阻止する効果的な方法は、インターネットなどの信頼できないネットワークにサイトを接続する前に、適切な措置を講じることです。

注記

本書では、/lib ディレクトリーにあるファイルにも言及しています。64 ビットのシステムを使用している場合は、それらのファイルの一部は /lib64 にある可能性があります。

1.1. コンピューターセキュリティーとは

コンピューターセキュリティーは、コンピューティングと情報処理の幅広い領域で使用される一般的な用語です。日常業務や重要な情報へのアクセスにおいてコンピューターシステムとネットワークに依存する業界は、企業データを総体的資産の重要な部分であると見なしています。総保有コスト (Total Cost of Ownership: TCO) やサービスの品質 (Quality of Service: QoS) などのいくつかの用語および評価指標は日常的なビジネス用語として用いられるようになっていますが、これらの評価指標を用いて、各種の業界はプランニングおよびプロセス管理コストの一環としてデータ保全性や可用性などを算出しています。電子商取引などを行う業界では、データの可用性と信頼性がビジネスの成否を決める可能性があります。

1.1.1. セキュリティーの標準化

すべての業界の企業は、米国医師会 (AMA: American Medical Association) や米国電気電子学会 (IEEE: Institute of Electrical and Electronics Engineers) などの標準化推進団体によって作成される規制やルールに従っています。情報セキュリティーにも同じことが言えます。多くのセキュリティーコンサルタントやベンダーは機密性 (Confidentiality)、保全性 (Integrity)、可用性 (Availability) の頭文字をとった CIA として知られる標準セキュリティーモデルを採用しています。この 3 階層モデルは、機密情報のリスク評価やセキュリティー方針の確立において一般的に採用されているモデルです。以下でこの CIA モデルについて説明します。

機密性 — 機密情報は、事前に定義された個人に対してのみ利用可能とする必要があります。情報の許可されていない送信や使用は、制限する必要があります。例えば、情報に機密性があれば、権限のない個人が ID 盗難やクレジット詐欺などの悪意のある目的で顧客情報や財務情報を入手できません。
保全性 — 情報は、不完全または不正確になるように改ざんすべきではありません。承認されていないユーザーは、機密情報を変更したり破壊する機能を使用できないように制限される必要があります。
可用性 — 情報は、認証されたユーザーが必要な時にいつでもアクセスできる必要があります。可用性は、情報が合意された頻度とタイミングで入手できることを保証します。これは、パーセンテージで測定されることが多く、ネットワークサービスプロバイダーやその企業顧客が使用するサービスレベルアグリーメント (SLA) で正式に合意されます。

1.1.2. 暗号化ソフトウェアおよび認定

以下の Red Hat ナレッジベースの記事は、Red Hat Enterprise Linux のコア暗号化コンポーネントの概要 (どのコンポーネントか選択されているか、どのように選択されているか、オペレーティングシステムにどのように統合されているかどうか、ハードウェアセキュリティーモジュールおよびスマートカードがどのようにサポートされているか、これらに暗号化認証がどのように適用されているか) を説明します。

RHEL7 Core Crypto Components

1.2. セキュリティーコントロール

コンピューターセキュリティーは多くの場合、以下の 3 つの異なるマスターカテゴリーに分類され、一般にはコントロールと呼ばれています。

物理的
技術的
管理的

これら 3 つの大まかなカテゴリーは、セキュリティーの適切な実施における主な目的を定義するものです。これらのコントロールには、コントロールおよびそれらの実装方法を詳細化するサブカテゴリーがあります。

1.2.1. 物理的コントロール

物理的コントロールは、機密資料への認証されていないアクセスの抑止または防止のために、明確な構造でセキュリティー対策を実施することです。物理的コントロールの例は以下の通りです。

有線監視カメラ
動作/温度感知アラームシステム
警備員
写真付き身分証明書
施錠された、デッドボルト付きのスチールドア
バイオメトリクス (指紋、声、顔、虹彩、筆跡、および本人確認を行うためのその他の自動認識方法が含まれます)

1.2.2. 技術的コントロール

技術的コントロールでは、物理的な構造物やネットワークにおける機密データのアクセスや使用を制御するための基盤となる技術を使用します。技術的コントロールは広い範囲に及び、以下のような技術も含まれます。

暗号化
スマートカード
ネットワーク認証
アクセス制御リスト (ACL: Access control lists)
ファイル完全性監査ソフトウェア

1.2.3. 管理者コントロール

管理的コントロールは、セキュリティーの人的要素を定義します。これらは組織内のあらゆるレベルの人員に関連するもので、次のような手段によって、誰がどのリソースや情報にアクセスするかを決定します。

トレーニングおよび認識の向上
災害準備および復旧計画
人員採用と分離の戦略
人員登録とアカウンティング

1.3. 脆弱性のアセスメント

時間、リソースおよびやる気のある攻撃者は、ほとんどすべてのシステムに侵入することができます。現在利用できるすべてのセキュリティー手順と技術を駆使しても、すべてのシステムを侵入から完全に保護できる訳ではありません。ルーターはインターネットへのセキュアなゲートウェイの提供に役立ちます。ファイアウォールはネットワークの境界を保護します。仮想プライベートネットワーク (VPN) は、暗号化されたストリームにおいてデータを安全に通過させます。侵入検知システムは悪意のある活動について警告します。しかし、これらの技術が成功するかどうかは、以下を含む数多くの要因によって決まります。

技術の設定、監視、および保守を行うスタッフの専門知識
サービスとカーネルのパッチ、および更新を迅速かつ効率的に行う能力
ネットワーク上での警戒を常に怠らない担当者の能力

データシステムと各種技術が動的であることを考えると、企業リソースのセキュア化は極めて複雑なタスクになり得ます。この複雑さゆえに、使用するすべてのシステムについての専門家リソースを見つけることは多くの場合、困難になります。高レベルの情報セキュリティーの多くの分野に精通している人材を確保することはできても、複数分野における専門家スタッフを保持することは容易ではありません。これは主に、情報セキュリティーの各専門分野では継続的な注意とフォーカスが必要とされるためです。情報セキュリティーは常に変化しています。

脆弱性アセスメントは、お使いのネットワークとシステムのセキュリティーについての内部監査です。このアセスメントの結果として、ネットワークの機密性、完全性および可用性の状態が明らかになります (「セキュリティーの標準化」に詳述)。通常、脆弱性アセスメントは、対象システムとリソースに関する重要なデータを収集する調査フェーズから開始されます。この後にはシステム準備フェーズが続きます。基本的にこのフェーズでは、対象を絞り、それが持つすべての既知の脆弱性を検査します。準備フェーズの後には報告フェーズが続きます。ここでは、調査結果が高中低のカテゴリに分類され、対象のセキュリティーを向上させる (または脆弱性のリスクを軽減する) 方法が話し合われます。

自宅の脆弱性アセスメントを実施することを想定してみましょう。まずは自宅のドアが閉じられており、かつ施錠されていることを確認するために各ドアの点検を行うことでしょう。また、すべての窓が完全に閉じられていて掛け金が締められていることもチェックするでしょう。これと同じ概念がシステムやネットワーク、および電子データにも適用されます。悪意のあるユーザーはデータを盗み、これを破壊します。悪意のあるユーザーが使用するツールや考え方および動機に注目すると、彼らの行動にすばやく反応することが可能になります。

1.3.1. アセスメントとテストの定義

脆弱性アセスメントは、外部からの視点と内部からの視点の 2 種類に分類できます。

外部からの視点で脆弱性アセスメントを実施する場合、システムに外部から攻撃を試みます。会社の外部に立つことで、クラッカーの視点を得ることができます。一般にルーティング可能な IP アドレスや DMZ にあるシステムやファイアウォールの外部インターフェースなど、クラッカーが目を付けるものに着目します。DMZ は「非武装地帯 (demilitarized zone)」を表し、企業のプライベート LAN などの信頼できる内部ネットワークと公的なインターネットなどの信頼できない外部ネットワークの間にあるコンピューターまたは小さなサブネットワークに相当します。通常、DMZ には Web (HTTP) サーバー、FTP サーバー、SMTP (e-mail) サーバーおよび DNS サーバーなど、インターネットのトラフィックにアクセスできるデバイスが含まれます。

内部からの視点で脆弱性アセスメントを実施する場合、実行者は内部関係者であり、信頼されるステータスにあることから、有利な位置に立ちます。内部からの視点は、実行者やその同僚がシステムにログオンした時点で得られるものです。プリントサーバーやファイルサーバー、データベースおよびその他のリソースを見ることができます。

これら 2 種類の脆弱性アセスメントには大きな違いがあります。会社の内部にいる場合は、部外者にはない多くの特権が与えられます。多くの組織では、侵入者を締め出すようにセキュリティーが構成されています。しかし、組織内の各分野に対しては、ほとんどセキュリティー対策が取られていません (部門内ファイアウォール、ユーザーレベルのアクセス制御および内部リソースに対する認証手順など)。また、一般的にほとんどのシステムは社内にあるので、内部からの方がより多くのリソースを確認できます。いったん社外に移動すると、ステータスは信頼されない状態になります。外部から利用できるシステムやリソースは、通常は非常に限られたものになります。

脆弱性アセスメントと侵入テストの違いを考えてみましょう。脆弱性テストを侵入テストの第一歩と捉えてください。アセスメントで得られる情報は、その後のテストで使用されます。アセスメントは抜け穴や潜在的な脆弱性を検査する目的で行われるのに対し、侵入テストでは調査結果を実際に使用する試みがなされます。

ネットワークインフラストラクチャーのアセスメントは動的なプロセスです。セキュリティー (情報セキュリティーと物理的なセキュリティー) は動的なものです。アセスメントを実施することで概要が明らかになり、誤検出 (False positives) と検出漏れ (False negatives) が示される場合があります。誤検出では、実際には存在しない脆弱性をツールが検出します。検出漏れでは、実際の脆弱性が除外されてしまいます。

セキュリティー管理者の力量は、使用するツールとその管理者が有する知識で決まります。現在使用できるアセスメントツールのいずれかを選び、それらをシステムに対して実行すると、ほぼ間違いなく誤検出がいくつか見つかります。プログラム障害でもユーザーエラーでも、結果は同じです。ツールは、誤検出することもあれば、さらに悪い場合は、検出漏れをすることもあります。

脆弱性アセスメントと侵入テストの違いが定義されたところで、新たなベストプラクティスの一環として侵入テストを実施する前に、アセスメントの結果を注意深く確認し、検討してみましょう。

警告

実稼働システム上で脆弱性を悪用する試みを行わないでください。システムとネットワークの生産性と効率に悪影響を与える可能性があります。

脆弱性アセスメントの実施には、以下のような利点があります。

情報セキュリティーに事前にフォーカスできる
クラッカーが発見する前に潜在的な不正使用を発見できる
システムを最新の状態に維持し、パッチを適用できる
スタッフの成長と専門知識の開発を促す
経済的な損失とマイナスの評判を緩和する

1.3.2. 方法論の確立

脆弱性アセスメントの方法論を確立すると、脆弱性アセスメント用のツール選択に役立ちます。残念ながら、現時点では事前定義の方法論や業界で承認された方法論はありませんが、一般常識やベストプラクティスを適切なガイドとして活用することができます。

ターゲットは何か? 1 台のサーバー、またはネットワーク全体、そしてネットワーク内にあるすべてのものが含まれるのか? 会社の外部にいるのか、それとも内部にいるのか? これらの質問に対する答えは、ツールを選択する際だけでなく、ツールの使用方法を決定する際にも役立ちます。

方法論の確立についての詳細は、以下の Web サイトを参照してください。

https://www.owasp.org/ — 『The Open Web Application Security Project』

1.3.3. 脆弱性アセスメントのツール

アセスメントは、情報収集ツールを使用することから始まります。ネットワーク全体を評価する際は、最初にレイアウトを描いて実行されているホストを把握します。ホストの場所を確認したら、それぞれのホストを個別に検査します。これらのホストにフォーカスするには別のツールセットが必要になります。どのツールを使用すべきかを知っておくことは、脆弱性の発見において最も重要なステップである可能性があります。

日常生活のあらゆる状況と同様に、同じジョブを実行できる異なるツールは数多くあります。この概念は脆弱性アセスメントの実施にも当てはまります。ツールには、オペレーティングシステムやアプリケーションに固有のものや、(使用されるプロトコルに基づいて) ネットワークに固有のツールもあります。ツールには無料のものもあれば、そうでないものもあり、直感的で使いやすいツールもあれば、難解で適切に文書化されてはいないものの、他のツールにはない機能を持つツールもあります。

適切なツールを見つけることは困難なタスクとなる場合もあり、最終的には経験が重要になります。可能であれば、実験ラボをセットアップし、各ツールの長所と短所を発見できるようできる限り多くのツールをテストするようにします。ツールの README ファイルや man ページも確認してください。さらに、インターネットからツールについての記事やステップバイステップのガイドまたはツール固有のメーリングリストなどの詳細情報を入手してください。

以下で説明するツールは、利用可能なツールのごくわずかなサンプルです。

1.3.3.1. Nmap を使用したホストのスキャン

Nmap はネットワークのレイアウトを決定するためによく使用されるツールです。Nmap は長年にわたって利用されており、情報収集を行う際におそらく最もよく使われるツールです。各種のオプションと使用法を詳述した優れたマニュアルページが含まれています。管理者は、ネットワーク上で Nmap を使用し、ホストシステムやそれらのシステム上で開かれているポートを見つけることができます。

Nmap は、脆弱性アセスメントにおける最初の有効なステップです。ネットワーク内にあるすべてのホストのマッピングができるほか、Nmap が特定ホスト上で実行中のオペレーティングシステムを特定できるようにするオプションを渡すこともできます。Nmap はセキュアなサービスの使用と不必要なサービスの停止についての方針を定める際の優れた土台を提供します。

Nmap をインストールするには、root で yum install nmap コマンドを実行します。

1.3.3.1.1. Nmap の使用

Nmap を実行するには、シェルプロンプトに nmap コマンドを入力し、その後にスキャン対象のマシンのホスト名または IP アドレスを入力します。

nmap <hostname>

たとえば、ホスト名が foo.example.com のマシンをスキャンするには、シェルプロンプトに以下を入力します。

~]$ nmap foo.example.com

基本的なスキャン (ホストの位置や他のネットワーク条件によって数分の時間がかかる場合があります) の結果は以下のようになります。

Interesting ports on foo.example.com:
Not shown: 1710 filtered ports
PORT    STATE  SERVICE
22/tcp  open   ssh
53/tcp  open   domain
80/tcp  open   http
113/tcp closed auth

Nmap はリッスンしているまたはサービスを待機している最も一般的なネットワーク通信ポートをテストします。テストから得られる情報は、不必要または未使用のサービスの終了を希望している管理者にとって役に立つものです。

Nmap の使用法に関する詳細情報は、以下の URL にある公式ホームページを参照してください。

http://www.insecure.org/

1.3.3.2. Nessus

Nessus は完全サービス型のセキュリティースキャナーです。Nessus のプラグインアーキテクチャーを使うと、ユーザーは使用しているシステムやネットワーク用にスキャナーをカスタマイズすることができます。他のスキャナーと同様に、Nessus の性能はベースとなる署名データベースに左右されます。幸いなことに Nessus の更新は頻繁に行われており、完全なレポート作成機能やホストスキャンおよびリアルタイムの脆弱性検索機能があります。しかし、Nessus のように頻繁に更新される強力なツールであっても、誤検出や検出漏れの可能性があることに注意してください。

注記

Nessus クライアントおよびサーバーソフトウェアを使用するには、サブスクリプションが必要です。本ガイドでは、このアプリケーションに関心のあるユーザー向けに参考情報として説明しています。

Nessus に関する詳細は、以下の URL にある公式 Web サイトを参照してください。

http://www.nessus.org/

1.3.3.3. OpenVAS

OpenVAS (Open Vulnerability Assessment System) は、脆弱性および包括的な脆弱性管理のスキャンに使用可能なツールおよびサービスのセットです。OpenVAS フレームワークでは、ソリューションの様々なコンポーネントを制御するウェブベース、デスクトップ、およびコマンドラインツールが多く提供されます。OpenVAS の中心となる機能は、セキュリティースキャナーが提供します。これは、毎日更新される 3 万 3 千以上の Network Vulnerability Tests (NVT) を活用します。Nessus (「Nessus」を参照) とは異なり、OpenVAS はサブスクリプションが必要ありません。

OpenVAS に関する詳細は、以下の URL にある公式 Web サイトを参照してください。

http://www.openvas.org/

1.3.3.4. Nikto

Nikto は、優れた 共通ゲートウェイインターフェース (CGI) のスクリプトスキャナーです。Nikto は、CGI の脆弱性をチェックするだけでなく、侵入検知システムを逃れるために回避的な方法でチェックを行います。Nikto には詳細の資料が同梱されており、プログラムの実行前に注意して確認してください。Nikto は、CGI スクリプトに対応する Web サーバーのセキュリティーをチェックする優れたリソースになります。

Nikto の詳細については、以下の URL を参照してください。

http://cirt.net/nikto2

1.4. セキュリティーへの脅威

1.4.1. ネットワークセキュリティーへの脅威

ネットワークの以下の要素を設定する際に不適当なプラクティスが行われると、攻撃のリスクが増大します。

セキュリティーが十分ではないアーキテクチャー

間違った構成のネットワークは、未承認ユーザーの主要のエントリーポイントになります。信頼ベースのオープンなローカルネットワークを安全性の非常に低いインターネットに対して無防備な状態にしておくことは、犯罪の多発地区でドアを半開きにしておくようなものです。すぐに何かが起きることはないかもしれませんが、いずれ誰かがこの機会を悪用するでしょう。

ブロードキャストネットワーク

システム管理者は、セキュリティー計画においてネットワーキングハードウェアの重要性を見落としがちです。ハブやルーターなどの単純なハードウェアは、ブロードキャストやノンスイッチの仕組みに基づいています。つまり、あるノードがネットワークを介して受信ノードにデータを送信するときは常に、受信ノードが受信してデータを処理するまで、ハブやルーターはデータパケットのブロードキャストを送信します。この方式は、外部侵入者やローカルホスト上の認証されていないユーザーが仕掛けるアドレス解決プロトコル (ARP) およびメディアアクセスコントロール (MAC) アドレスの偽装に対して最も脆弱です。

集中化サーバー

ネットワーキングのもうひとつの落とし穴は、集中化されたコンピューティングの使用にあります。多くの企業では、一般的なコスト削減手段として、すべてのサービスを 1 台の強力なマシンに統合しています。集中化は、複数サーバーの設定よりも管理がより簡単な上、コストを大幅に削減できるので便利な手段と言えます。しかし、集中化されたサーバーはネットワークにおける単一障害点となるため、集中化サーバーが攻撃されると、ネットワークは完全に使えなくなるか、またはデータの不正操作や盗難が起きやすくなる可能性があります。こうした状況では、1 つの集中化サーバーが侵入口となり、ネットワーク全体へのアクセスを許してしまうことになります。

1.4.2. サーバーセキュリティーへの脅威

サーバーには組織の重要情報が数多く含まれることが多いため、サーバーのセキュリティーはネットワークのセキュリティーと同様に重要です。サーバーが攻撃されると、クラッカーがすべてのコンテンツを意のままに盗んだり、不正に操作したりできるようになることがあります。以下のセクションでは、主要な問題のいくつかを詳述します。

未使用のサービスと開かれたポート

Red Hat Enterprise Linux 7 を完全にインストールすると、1000 以上のアプリケーションとライブラリのパッケージが含まれます。しかし、ほとんどのサーバー管理者はディストリビューションに含まれるすべての個別パッケージをインストールすることはありません。その代わりに、複数のサーバーアプリケーションを含むパッケージのベースインストールを行います。インストールするパッケージ数を制限する理由および追加するリソースについての詳細は、「必要なパッケージの最小限のインストール」を参照してください。

システム管理者は、どのアプリケーションがインストールに含まれるかを気にせずにオペレーティングシステムをインストールしてしまうことがよくあります。必要のないパッケージがインストールされ、デフォルト設定でオンにしてしまうと、これが問題になる場合があります。これにより、管理者の気付かないところで、Telnet や DHCP、または DNS などの不要なサービスがサーバーやワークステーションで実行され、その結果、サーバーへの不要なトラフィックが発生したり、クラッカーにシステムへのパスが提供される可能性があります。ポートを閉じる方法や未使用のサービスを無効にする方法についての詳細は、「サービスのセキュア化」を参照してください。

パッチが適用されないサービス

デフォルトのインストールに含まれるほとんどのサーバーアプリケーションは、ソフトウェアの細部まで徹底的にテストされており、堅牢な作りになっています。何年も実稼働環境で使用される中で、それらのコードは入念に改良され、数多くのバグの発見や修正が行われるものです。

しかし、完璧なソフトウェアというものはなく、常に改良の余地があるものです。さらに、比較的に新しいソフトウェアは実稼働環境に最近導入されたか、または他のサーバーソフトウェアほど普及していない場合が多くあり、厳密なテストが期待通りに行われていない状況も多く見受けられます。

開発者やシステム管理者は、サーバーアプリケーションで悪用される可能性のあるバグを発見することが多くあり、関連する情報を Bugtraq メーリングリスト (http://www.securityfocus.com) や Computer Emergency Response Team (CERT) Web サイト (http://www.cert.org) などの、バグ追跡やセキュリティー関連の Web サイトに公開します。これらはセキュリティーの脆弱性についてコミュニティに警告する効果的な方法ではありますが、システムに速やかにパッチを当てるかどうかは個々のシステム管理者次第となります。クラッカーも同じ脆弱性トラッキングサービスにアクセスし、可能な場合にはいつでもパッチが適用されていないシステムをクラッキングするために関連情報を利用できることを考慮すると、速やかな対応がとりわけ重要になります。優れたシステム管理には、よりセキュアなコンピューティング環境を確保するために、警戒を怠らず、バグ追跡を絶えず行い、適切なシステム保守を実行することが求められます。

システムを最新状態に維持する方法についての詳細は、3章システムを最新の状態に保つ を参照してください。

管理における不注意

システムにパッチを当てようとしない管理者は、サーバーセキュリティーへの最大の脅威の 1 つとなります。SysAdmin, Audit, Network, Security Institute (SANS) によると、コンピューターのセキュリティー脆弱性の主な原因は、「訓練を受けていない人にセキュリティーの保守を任せ、保守を行うために必要な訓練や時間を与えないこと」にあります。これは、自信過剰な管理者やモチベーションの高い管理者だけではなく、経験の少ない管理者にも起こり得ます。

サーバーやワークステーションにパッチを当てない管理者のほかに、システムのカーネルやネットワーク通信からのログメッセージを見落とす管理者もいます。またよく起こるエラーとして、サービスのデフォルトパスワードやキーを変更しないまま放置しておくことがあります。例えば、データベースにはデフォルトの管理パスワードが設定されているものがありますが、この設定では、システム管理者がインストール後すぐにデフォルトパスワードを変更することをデータベース開発者が想定しています。しかし、データベース管理者がこのパスワードの変更を忘れると、経験の浅いクラッカーでさえ、周知のデフォルトパスワードを使ってデータベースの管理者権限を得ることができます。これらは、管理者の不注意がサーバーを危険にさらすことになる数例に過ぎません。

本質的に安全ではないサービス

どんなに注意深い組織であっても、選択するネットワークサービスが本質的に安全でない限り、攻撃を受けやすくなります。例えば、多くのサービスは、信頼できるネットワークで使用されるとの仮定に基づいて開発されますが、これらのサービスが (本質的に信頼できない) インターネット上で利用可能になる時点で、この仮定は成立しなくなります。

安全ではないネットワークサービスのカテゴリの 1 つに、暗号化されていないユーザー名とパスワードを認証時に要求するサービスがあります。Telnet や FTP がこの種のサービスです。パケット盗聴ソフトウェアがリモートユーザーとこのようなサービス間のトラフィックをモニタリングしていれば、ユーザー名とパスワードは簡単に傍受される可能性があります。

また、基本的にこのようなサービスはセキュリティー業界で中間者攻撃と呼ばれる攻撃の餌食になりやすくなります。この種の攻撃では、クラッカーは、ネットワーク上のクラッキングされたネームサーバーをだまし、目標のサービスではなくクラッカーのマシンにポイントすることで、ネットワークトラフィックをリダイレクトします。誰かがサーバーへリモートセッションを開くと、攻撃者のマシンがリモートサービスと無防備なユーザー間に静かに存在する目に見えないパイプとして機能し、この間を流れる情報を取り込みます。このようにして、クラッカーはサーバーやユーザーに気付かれることなく、管理パスワードや生データを収集できるようになってしまいます。

安全ではないサービスの別のカテゴリは、NFS または NIS などのネットワークファイルシステムと情報サービスです。これらは、LAN 利用を目的として開発されましたが、残念なことに (リモートユーザー用の) WAN も対象に含まれるように拡張されました。NFS では、クラッカーによる NFS 共有のマウントやそこに格納されているものへのアクセスを防ぐ認証やセキュリティーの仕組みがデフォルトで設定されていません。NIS も、プレーンテキスト ASCII または DBM (ASCII から派生) データベースの中に、パスワードやファイルパーミッションなどの、ネットワーク上のすべてのコンピューターに知らせる必要のある重要な情報を保持しています。クラッカーがこのデータベースのアクセス権を取得すると、管理者のアカウントを含む、ネットワーク上のすべてのユーザーアカウントにアクセスできるようになってしまいます。

Red Hat Enterprise Linux 7 は、上記のサービスをデフォルト時にすべて無効にしてリリースされます。しかし、管理者はこれらのサービスの使用を迫られる場合も多くあるため、注意して設定することが重要になります。安全な方法でサービスをセットアップする詳細情報は、「サービスのセキュア化」を参照してください。

1.4.3. ワークステーションおよび家庭用 PC のセキュリティーに対する脅威

ワークステーションや家庭用 PC はネットワークやサーバーほど攻撃にさらされることはないかもしれませんが、クレジットカード情報のような機密データが含まれるのでシステムクラッカーの標的になります。ワークステーションは知らぬ間に攻撃者によって「スレーブ」マシンとして引き入れられ、一連の攻撃で攻撃者に使用される可能性もあります。このため、ユーザーはワークステーションの脆弱性を理解しておくと、オペレーティングシステムの再インストールや、深刻な場合はデータ盗難からの回復といった問題から免れることができます。

不適切なパスワード

不適切なパスワードを設定すると、システムにアクセスする最も簡単な方法を攻撃者に提供してしまいます。パスワードを作成する際のよくある落とし穴を避ける方法については、「パスワードのセキュリティー」を参照してください。

脆弱なクライアントアプリケーション

管理者がサーバーに十分な安全対策を施し、パッチを当てている場合でも、リモートユーザーによるアクセスが安全であるわけではありません。例えば、サーバーが公開ネットワーク上で Telnet や FTP サービスを提供している場合、攻撃者はネットワークを通過するプレーンテキストのユーザー名とパスワードを取り込み、アカウント情報を使用してリモートユーザーのワークステーションにアクセスすることが可能です。

SSH などのセキュアなプロトコルを使用している場合であっても、クライアントアプリケーションを定期的に更新していないと、リモートユーザーは特定の攻撃を受けやすくなる可能性があります。例えば、v.1 SSH クライアントは、悪意のある SSH サーバーからの X 転送攻撃に対して脆弱です。クライアントがサーバーに接続すると、攻撃者はネットワーク上でクライアントによるキー入力やマウス操作をひそかに収集できます。この問題は v.2 SSH プロトコルで修正されましたが、ユーザーはどのアプリケーションにこのような脆弱性があるかを追跡し、必要に応じてアプリケーションを更新する必要があります。

「デスクトップのセキュリティー」では、管理者とホームユーザーがコンピューターのワークステーションの脆弱性を限定するために取るべき手順をより詳細に説明しています。

1.5. 一般的な不正使用と攻撃

表1.1「一般的な不正使用」では、侵入者が組織のネットワークリソースにアクセスするために使用する最も一般的な不正使用とエントリーポイントのいくつかについて詳しく説明しています。これらの一般的な不正使用については、それらがどのように実行され、管理者がそれらの攻撃からネットワークをどのように適切に保護できるかを理解していることが重要になります。

表1.1 一般的な不正使用

不正使用	説明	注意事項
空またはデフォルトのパスワード	管理パスワードを空白のままにしたり、製品ベンダーが設定したデフォルトパスワードをそのまま使用します。ルーターやファイアウォールなどのハードウェアで最もよく見られますが、Linux で実行するサービスにはデフォルトの管理者パスワードが入っているものがあります（ただし Red Hat Enterprise Linux 7 はパスワードなしで出荷されます)。	ルーター、ファイアウォール、VPN および Network Attached Storage (NAS) アプライアンスなどのネットワークハードウェアに一般的に関連するものです。多数のレガシーオペレーティングシステム、特にサービスをバンドルしたオペレーティングシステム (UNIX や Windows など) によくあります。管理者が急いで特権ユーザーアカウントを作成したためにパスワードが空白のままになっていることがありますが、これは、このアカウントを発見した悪意のあるユーザーにとっては、絶好のエントリーポイントとなります。
デフォルトの共有鍵	セキュアなサービスでは、開発や評価テスト用にデフォルトのセキュリティー鍵がパッケージ化されていることがあります。これらの鍵を変更せずにインターネット上の実稼働環境に置いた場合、同じデフォルトの鍵を持つすべてのユーザーがその共有鍵のリソースや、そこにあるすべての機密情報にアクセスできるようになります。	無線アクセスポイントや事前設定済みのセキュアなサーバー機器に最も多く見られます。
IP スプーフィング	リモートマシンがローカルネットワーク上でノードとして動作し、サーバーに脆弱性を見つけるとバックドアプログラムまたはトロイの木馬をインストールして、ネットワークリソース全体へのコントロールを得ようとします。	スプーフィングは、攻撃者が標的となるシステムへの接続を調整するのに TCP/IP シーケンス番号を予測しなければならないのでかなり難しいことですが、クラッカーの脆弱性の攻撃を支援する利用可能なツールがいくつかあります。標的となるシステムで実行される、ソースベース認証技術を使用するサービス (`rsh`、 `telnet`、FTP その他) によって異なりますが、このようなサービスは、`ssh` または SSL/TLS で使用される PKI やその他の形式の暗証化認証と比較すると推奨できるものではありません。
盗聴	2 つのノード間の接続を盗聴することにより、ネットワーク上のアクティブなノード間を行き交うデータを収集します。	この種類の攻撃には大抵、Telnet、FTP、HTTP 転送などのプレーンテキストの転送プロトコルが使われます。リモートの攻撃者がこのような攻撃を仕掛けるには、LAN 上で、攻撃するシステムへのアクセス権が必要になります。通常、クラッカーは、LAN 上にあるシステムを危険にさらすためにアクティブ攻撃（IP スプーフィングや中間者攻撃など) を仕掛けます。パスワードのなりすましを防ぐ予防策としては、暗号化鍵交換、ワンタイムパスワードまたは暗号化された認証によるサービス使用が挙げられます。通信中は強力な暗号化を実施することをお勧めします。
サービスの脆弱性	攻撃者はインターネット上で実行されているサービスの欠陥や抜け穴を見つけます。この脆弱性を利用する攻撃者は、システム全体と格納されているデータを攻撃するだけでなく、ネットワーク上の他のシステムも攻撃する可能性があります。	CGI などの HTTP ベースのサービスは、リモートのコマンド実行やインタラクティブなシェルアクセスに対しても脆弱です。HTTP サービスが「nobody」などの権限のないユーザーとして実行される場合でも、設定ファイルやネットワークマップなどの情報が読み取られる可能性があります。または、攻撃者がサービス拒否攻撃を開始して、システムのリソースを流出させたり、他のユーザーが利用できないようにする可能性もあります。開発時およびテスト時には気付かない脆弱性がサービスに含まれることがあります。このような脆弱性 (攻撃者が任意の値を使用してアプリケーションのメモリーバッファー領域をあふれさせ、攻撃者が任意のコマンドを実行できるようなインタラクティブなコマンドプロンプトを与えて、サービスをクラッシュさせるバッファーオーバーフローなど）は完全な管理コントロールを攻撃者に与えるものとなる可能性があります。管理者は、サービスが root ユーザーとして実行されないようにし、ベンダーまたは CERT や CVE などのセキュリティー組織からのアプリケーション用のパッチやエラータ更新がないか常に注意する必要があります。
アプリケーションの脆弱性	攻撃者はデスクトップやワークステーションのアプリケーション（電子メールクライアントなど）に欠陥を見つけ出し、任意のコードを実行したり、将来のシステム侵害のためにトロイの木馬を移植したり、システムを破壊したりします。攻撃を受けたワークステーションがネットワークの残りの部分に対して管理特権を持っている場合は、さらなる不正使用が起こる可能性があります。	ワークステーションとデスクトップは、ユーザーが侵害を防いだり検知するための専門知識や経験を持たないため、不正使用の対象になりやすくなります。認証されていないソフトウェアをインストールしたり、要求していないメールの添付ファイルを開く際には、それに伴うリスクについて個々に通知することが必須です。電子メールクライアントソフトウェアが添付ファイルを自動的に開いたり、実行したりしないようにするといった、予防手段を取ることが可能です。さらに、Red Hat Network や他のシステム管理サービスなどからワークステーションのソフトウェアを自動更新することにより、マルチシートのセキュリティーデプロイメントの負担を軽減できます。
サービス拒否攻撃 (DoS: Denial of Service)	単独の攻撃者または攻撃者のグループは、目標のホスト（サーバー、ルーター、ワークステーションのいずれか）に認証されていないパケットを送ることにより、組織のネットワークまたはサーバーのリソースに対して攻撃を仕掛けます。これにより、正当なユーザーはリソースを使用できなくなります。	2000 年に発生した米国内での DoS で最も多く報告されたケースとして、通信量の非常に多い民間および政府サイトのいくつかが利用不可能になりました。ゾンビ (zombie) やリダイレクトされたブロードキャストノードとして動作する、高帯域幅接続を有する複数の攻撃対象のシステムを使って、調整された ping フラッド攻撃が行われたためです。通常ソースパケットは、攻撃の本当のもとを調査するのが難しくなるよう、偽装 (または再ブロードキャスト）されています。 `iptables` を使用したイングレスフィルタリング (IETF rfc2267) や `snort` などのネットワーク侵入検知システムにおける進歩は、管理者が分散型サービス拒否攻撃を追跡し、これを防止するのに役立っています。

第2章インストール時におけるセキュリティーのヒント

セキュリティーは、Red Hat Enterprise Linux 7 をインストールするために CD や DVD をディスクドライブに入れた時から始まります。最初からシステムを安全に設定することで、追加のセキュリティー設定を後で実装することがより簡単になります。

2.1. BIOS のセキュア化

BIOS (もしくは BIOS に相当するもの) およびブートローダーのパスワード保護により、システムに物理的にアクセス可能な未承認ユーザーがリムーバブルメディアを使って起動したり、シングルユーザーモードで root 権限を取得したりすることを防ぐことができます。このような攻撃に対するセキュリティー対策は、ワークステーション上の情報の機密性とマシンの場所によって異なります。

例えば、マシンが見本市で使われていて機密情報を含んでいない場合、このような攻撃を防ぐことは重要ではないかもしれません。しかし、同じ見本市で企業ネットワーク用のプライベートの暗号化されていない SSH 鍵のあるノートパソコンが誰の監視下にもなく置かれていた場合、重大なセキュリティー侵害につながり、その影響は企業全体に及ぶ可能性があります。

ただし、ワークステーションが権限のあるユーザーもしくは信頼できるユーザーのみがアクセスできる場所に置かれてるのであれば、BIOS もしくはブートローダーの安全確保は必要ない可能性もあります。

2.1.1. BIOS パスワード

コンピューターの BIOS をパスワードで保護する主な理由は、以下の 2 つです^[1]。

BIOS 設定の変更を防止する — 侵入者が BIOS にアクセスした場合、CD-ROM やフラッシュドライブから起動するように設定できます。このようにすると、侵入者がレスキューモードやシングルユーザーモードに入ることが可能になり、システム上で任意のプロセスを開始したり、機密性の高いデータをコピーできるようになってしまいます。
システムの起動を防止する — BIOS の中には起動プロセスをパスワードで保護できるものもあります。これを有効にすると、攻撃者は BIOS がブートローダーを開始する前にパスワード入力を求められます。

BIOS パスワードの設定方法はコンピューターメーカーで異なるため、具体的な方法についてはコンピューターのマニュアルを参照してください。

BIOS パスワードを忘れた場合は、マザーボード上のジャンパーでリセットするか、CMOS バッテリーを外します。このため、可能な場合はコンピューターのケースをロックすることがよい方法です。ただし、CMOS バッテリーを外す前にコンピューターもしくはマザーボードのマニュアルを参照してください。

2.1.1.1. 非 BIOS ベースのシステム

他のシステムやアーキテクチャーでは、異なるプログラムを使用して x86 システム上の BIOS とほぼ同等の低レベルのタスクを実行します。Unified Extensible Firmware Interface (UEFI) シェルなどがこの例になります。

BIOS と同様のプログラムをパスワード保護する方法については、メーカーの指示を参照してください。

2.2. ディスクのパーティション設定

Red Hat は、/boot、/、/home/tmp、および /var/tmp/ の各ディレクトリーに個別のパーティションを作成することを推奨しています。各パーティションの目的は異なります。以下でこれらのパーティションについて説明します。

/boot: このパーティションは、ブート時にシステムが最初に読み込むパーティションです。システムを Red Hat Enterprise Linux 7 にブートするために使われるブートローダーとカーネルイメージはこのパーティションに保存されます。このパーティションは暗号化すべきではありません。このパーティションが / に含まれていて、そのパーティションが暗号化されているかまたは他の理由で利用できなくなると、システムをブートすることができなくなります。
/home: ユーザーデータ (/home) が別個のパーティションではなく / に保存されていると、このパーティションが一杯になり、オペレーティングシステムが不安定になる可能性があります。また、システムを次のバージョンの Red Hat Enterprise Linux 7 にアップグレードする際には、/home パーティションでデータを保存できると、このデータはインストール時に上書きされないので、アップグレードが非常に簡単になります。root パーティション (/) が破損すると、ユーザーのデータは完全に失われてしまいます。個別のパーティションを使うことで、データ損失に対する保護が少しは高まります。また、このパーティションを頻繁にバックアップする対象とすることも可能です。
/tmp および /var/tmp/: /tmp ディレクトリーおよび /var/tmp/ ディレクトリーは、どちらも長期保存の必要がないデータを保存するために使われます。しかし、これらのディレクトリーのいずれかでデータがあふれると、ストレージスペースがすべて消費されてしまう可能性があります。こうした状態が発生し、かつこれらのディレクトリーが / に保管されていると、システムが不安定になり、クラッシュする可能性があります。そのため、これらのディレクトリーは個別のパーティションに移動することが推奨されます。

注記

インストールのプロセス中には、パーティションを暗号化するオプションを利用できます。ユーザーは、パスフレーズを提供する必要があります。これは、パーティションのデータを保護するために使われるバルク暗号鍵を解除する鍵として機能します。LUKS についての詳細情報は「LUKS のディスク暗号化の使用」を参照してください。

2.3. 必要なパッケージの最小限のインストール

コンピューター上の各ソフトウェアには脆弱性が潜んでいる可能性があるので、実際に使用するパッケージのみをインストールすることがベストプラクティスになります。インストールを DVD から行う場合は、インストールしたいパッケージのみを選択するようにします。他のパッケージが必要になる場合は、いつでも後でシステムに追加することができます。

最小限のインストール 環境に関する詳細情報は、Red Hat Enterprise Linux 7 インストールガイドの「ソフトウェアの選択」の章を参照してください。最小限のインストールは、Kickstart ファイルで --nobase オプションを使用して実行することもできます。Kickstart インストールについての詳細情報は、Red Hat Enterprise Linux 7 インストールガイドの「パッケージの選択」のセクションを参照してください。

2.4. インストールプロセス時のネットワーク接続の制限

Red Hat Enterprise Linux をインストールする際に、特定のタイミングで作成したスナップショットをインストールメディアとして使用します。そのため、セキュリティー修正が最新のものではなく、このインストールメディアで設定するシステムが公開されてから修正された特定の問題に対して安全性に欠ける場合があります。

脆弱性が含まれる可能性のあるオペレーティングシステムをインストールする場合には、必ず、必要最小限のネットワークゾーンだけに公開レベルを制限してください。最も安全な選択肢は、インストールプロセスの中はマシンをネットワークから切断した状態にする「ネットワークなし」のゾーンです。インターネット接続からのリスクが最も高くなっていますが、LAN またはイントラネット接続で十分な場合もあります。ベストなセキュリティーの慣習に従い、ネットワークから Red Hat Enterprise Linux をインストールする場合はお使いのリポジトリーに最も近いゾーンを選択するようにしてください。

ネットワーク接続の設定に関する詳しい情報は、『Red Hat Enterprise Linux 7 インストールガイド』の「ネットワーク & ホスト」の章を参照してください。

2.5. インストール後の手順

以下のステップは、Red Hat Enterprise Linux のインストール直後に実行する必要のあるセキュリティー関連の手順です。

システムを更新します。root で以下のコマンドを実行します。
```
~]# yum update
```
ファイアウォールサービスの firewalld は Red Hat Enterprise Linux のインストールで自動的に有効になっていますが、kickstart 設定などで明示的に無効となっている場合もあります。このような場合は、ファイアウォールを再度有効にすることが推奨されます。
firewalld を開始するには、root で以下のコマンドを実行します。
```
~]# systemctl start firewalld
~]# systemctl enable firewalld
```
セキュリティーを強化するために、不要なサービスは無効にしてください。たとえば、使用中のコンピューターにプリンターがインストールされていなければ、以下のコマンドを使って cups サービスを無効にします。
```
~]# systemctl disable cups
```
アクティブなサービスを確認するには、次のコマンドを実行します。
```
~]$ systemctl list-units | grep service
```

2.6. その他のリソース

インストールに関する全般的な情報は、『Red Hat Enterprise Linux 7 インストールガイド』を参照してください。

^[1] 。システム BIOS はメーカーによって異なるため、パスワード保護をサポートしないものもあれば、あるタイプのパスワード保護のみをサポートするものもあります。

第3章システムを最新の状態に保つ

本章では、システムを最新の状態に保つプロセスについて説明します。セキュリティー更新のインストール方法の立案や設定、新たに更新されたパッケージが導入する変更の適用、Red Hat カスタマーポータルを利用したセキュリティーアドバイザリーの追跡などが関連してきます。

3.1. インストール済みソフトウェアのメンテナンス

セキュリティーの脆弱性が発見された場合、セキュリティー上のリスクを最小限に抑えるために、影響を受けるソフトウェアを更新する必要があります。そのソフトウェアが現在サポートされている Red Hat Enterprise Linux ディストリビューション内のパッケージの一部である場合、Red Hat は脆弱性を修正する更新パッケージをできるだけ迅速にリリースするように全力を尽くします。

多くの場合、セキュリティー上の特定の不正使用に関する発表にはパッチ (または問題を解決するソースコード) が伴われています。このパッチは Red Hat Enterprise Linux パッケージに適用されます。パッチはテストされ、エラータ更新としてリリースされるものです。しかし、発表にパッチが含まれていない場合には、Red Hat の開発者はまず、問題の解決に向けてそのソフトウェアの保守担当者と協力します。問題が解決されると、パッケージがテストされ、エラータ更新としてリリースされます。

システムで使用しているソフトウェアのエラータ更新がリリースされている場合、システムが攻撃される可能性のある期間を最短にするため、影響を受けるパッケージをできる限り早く更新することが強く推奨されます。

3.1.1. セキュリティーの更新の立案と設定

すべてのソフトウェアにはバグが含まれます。これらのバグは、悪意のあるユーザーにシステムをさらしてしまう可能性のある脆弱性につながりかねません。更新されていないパッケージは、コンピューターへの侵入を招く一般的な原因となります。脆弱性の悪用を防ぐには、セキュリティーパッチをタイミングよくインストールする計画を実行して、発見された脆弱性をすばやく排除してください。

セキュリティー更新が利用可能になったらそれらをテストして、インストールするスケジュールを立てます。更新のリリースからシステムにインストールするまでの間、システムを保護するための新たな制御が必要になります。これらの制御は脆弱性の内容によって異なりますが、ファイアウォールの追加ルールや、外部ファイアウォールの使用、またはソフトウェア設定の変更などがこれらに含まれることがあります。

サポート対象のパッケージ内のバグは、エラーのメカニズムを使用して修正されます。エラータは、1 つ以上の RPMパッケージとそのエラータが対処する問題の簡単な説明で構成されています。エラータはすべて、アクティブなサブスクリプションを持つお客様に Red Hat サブスクリプション管理 サービスで配布されます。セキュリティー問題に対処するエラータは、Red Hat セキュリティーアドバイザリー と呼ばれます。

セキュリティーエラータを使った作業についての詳細情報は、「カスタマーポータルでセキュリティー更新を見る」を参照してください。RHN Classic からの移行を含む Red Hat サブスクリプション管理 サービスについての詳細情報は、Red Hat サブスクリプション管理にある関連ドキュメントを参照してください。

3.1.1.1. Yum のセキュリティー機能の使用

Yum パッケージマネジャーには、セキュリティーエラータの検索、一覧、表示、インストールに使用可能なセキュリティー関連の機能がいくつか含まれています。これらの機能を使うと、Yum を使ってセキュリティー更新のみをインストールすることもできます。

使用中のシステムで利用可能なセキュリティー関連の更新を確認するには、root で以下のコマンドを実行します。

~]# yum check-update --security
Loaded plugins: langpacks, product-id, subscription-manager
rhel-7-workstation-rpms/x86_64                  | 3.4 kB  00:00:00
No packages needed for security; 0 packages available

上記のコマンドは非対話モードで実行されるので、更新が利用可能かどうかの自動確認のスクリプトに使用することができます。このコマンドは、利用可能なセキュリティー更新がある場合には 100 を返し、更新がない場合には 0 を返します。エラーが発生すると、1 が返されます。

同様に、以下のコマンドを使用するとセキュリティー関連の更新のみがインストールされます。

~]# yum update --security

updateinfo サブコマンドを使うと、リポジトリーが提供する利用可能な更新についての情報を表示したり、それについてアクションを取ることができます。この updateinfo サブコマンド自体は、多くのコマンドを受け付け、この中にはセキュリティー関連の使用も含まれます。これらのコマンドの概要については、表3.1「yum updateinfo で使用可能なセキュリティー関連のコマンド」を参照してください。

表3.1 yum updateinfo で使用可能なセキュリティー関連のコマンド

コマンド	説明
`advisory [advisories]`	1 つ以上のアドバイザリーについての情報を表示します。advisories をアドバイザリー番号または番号に置き換えます。
`cves`	CVE (Common Vulnerabilities and Exposures) に関連する情報のサブセットを表示します。
`security` または `sec`	セキュリティー関連の情報をすべて表示します。
`severity [severity_level]` or `sev [severity_level]`	提供された severity_level のセキュリティー関連パッケージについての情報を表示します。

3.1.2. パッケージの更新とインストール

システムのソフトウェアを更新する際には、信頼できるソースから更新をダウンロードすることが重要です。攻撃者は、問題を解決するはずのバージョンと同じバージョン番号のパッケージを簡単に再構築し、そのパッケージからセキュリティー上の別の不正使用を可能にした上で、それをインターネット上にリリースする場合があります。こうした事態が発生すると、元の RPM に対するファイル検証などのセキュリティー対策を講じても、不正アクセスを検知することができません。このため、RPM は Red Hat などの信頼できるソールからのみダウンロードし、その保全性を検証するためにパッケージの署名を確認することが極めて重要になります。

Yum パッケージマネジャーの使用方法に関する詳細情報は、Red Hat Enterprise Linux 7 システム管理者のガイドの Yum の章を参照してください。

3.1.2.1. 署名パッケージの検証

Red Hat Enterprise Linux のパッケージはすべて、Red Hat GPG 鍵を使って署名されています。GPG は GNU Privacy Guard または GnuPG の略で、配信ファイルの信頼性を保証するために使用されるフリーソフトウェアのパッケージです。パッケージ署名の検証が失敗すると、パッケージは改ざんされている可能性があるので信頼できません。

Yum パッケージマネジャーを使うと、インストールまたはアップグレード対象の全パッケージを自動的に検証できます。この機能は、デフォルトで有効になっています。使用中のシステムでこのオプションを設定する場合は、/etc/yum.conf 設定ファイル内で gpgcheck 設定ディレクティブが 1 に設定されていることを確認してください。

以下のコマンドを使用すると、ファイルシステム上のパッケージファイルを手動で検証できます。

rpmkeys --checksig package_file.rpm

Red Hat パッケージの署名のプラクティスについての追加情報は、Red Hat カスタマーポータルの Red Hat GPG キーの記事を参照してください。

3.1.2.2. 署名パッケージのインストール

ファイルシステムから検証済みのパッケージ (パッケージの検証方法については、「署名パッケージの検証」を参照) をインストールするには、以下のように root で yum install コマンドを実行します。

yum install package_file.rpm

複数のパッケージを一度にインストールするには、シェル glob を使用します。たとえば、以下のコマンドを実行すると、現行ディレクトリーにすべての .rpm パッケージがインストールされます。

yum install *.rpm

重要

セキュリティーに関するエラータをインストールする前に、エラータレポートに記載されているすべての特別な指示をよく読み、指示に従ってインストールしてください。エラータ更新に基づく変更の適用についての全般的な指示は、「インストールされた更新による変更の適用」を参照してください。

3.1.3. インストールされた更新による変更の適用

セキュリティーに関するエラータと更新をダウンロードしてインストールした後は、古いソフトウェアの使用を中止して新しいソフトウェアの使用を開始することが重要です。これを実際に行う方法は、更新済みのソフトウェアの種類によって異なります。以下では、ソフトウェアの一般的なカテゴリを示し、パッケージのアップグレード後に更新バージョンを使用する方法について説明します。

注記

一般的に、システムの再起動は、ソフトウェアパッケージの最新バージョンが使用されていることを確認する最も確実な方法です。ただし、このオプションは常に必要というわけではなく、システム管理者が常に利用できるわけでもありません。

アプリケーション

ユーザースペースのアプリケーションとは、ユーザーが開始できるすべてのプログラムのことです。通常このようなアプリケーションは、ユーザー、スクリプトまたは自動化されたタスクユーティリティがそれらを起動する場合にのみ使用されるものです。

ユーザースペースのアプリケーションが更新されると、システムにあるアプリケーションのすべてのインスタンスが停止し、更新バージョンを使用するためにプログラムが再起動されます。

カーネル

カーネルは、Red Hat Enterprise Linux 7 オペレーティングシステムの中心的なソフトウェアコンポーネントです。カーネルはメモリー、プロセッサーおよび周辺機器へのアクセスを管理し、すべてのタスクをスケジュールします。

カーネルは中心的な役割を担うので、カーネルの再起動にはコンピューターの再起動が伴います。つまりカーネルの更新バージョンは、システムの再起動後に初めて使用できるようになります。

KVM

qemu-kvm および libvirt のパッケージが更新されると、すべてのゲスト仮想マシンを停止して、関連の仮想化モジュールをリロードし (またはホストシステムを再起動し)、仮想マシンを再起動する必要があります。

kvm、kvm-intel、または kvm-amd のどのモジュールがロードされているかを確認するには、lsmod コマンドを使用します。その後に modprobe -r コマンドを使用してロードされているモジュールを削除し、modprobe -a コマンドで影響を受けたモジュールをリロードします。以下に例を示します。

~]# lsmod | grep kvm
kvm_intel             143031  0
kvm                   460181  1 kvm_intel
~]# modprobe -r kvm-intel
~]# modprobe -r kvm
~]# modprobe -a kvm kvm-intel

共有ライブラリ

共有ライブラリは、glibc のように、多くのアプリケーションやサービスにより使用されるコードの集合です。通常、共有ライブラリを使用しているアプリケーションは、アプリケーションが初期化される際に共有コードを読み込みます。そのため、更新されたライブラリを使用しているすべてのアプリケーションは、まず停止してから再起動する必要があります。

特定ライブラリにリンクしている実行中のアプリケーションを判別するには、以下の例のように lsof コマンドを使用します。

lsof library

たとえば、libwrap.so.0 ライブラリーにリンクしている実行中のアプリケーションを判別するには、以下を入力します。

~]# lsof /lib64/libwrap.so.0
COMMAND     PID USER  FD   TYPE DEVICE SIZE/OFF     NODE NAME
pulseaudi 12363 test mem    REG  253,0    42520 34121785 /usr/lib64/libwrap.so.0.7.6
gnome-set 12365 test mem    REG  253,0    42520 34121785 /usr/lib64/libwrap.so.0.7.6
gnome-she 12454 test mem    REG  253,0    42520 34121785 /usr/lib64/libwrap.so.0.7.6

このコマンドは、ホストのアクセス制御に TCP Wrapper を使用する実行中のプログラムの一覧を返します。そのため tcp_wrappers パッケージが更新されると、リストにあるすべてのプログラムは停止してから再起動する必要があります。

systemd サービス

systemd サービスは、通常ブートプロセス中に開始される永続的なサーバープログラムです。systemd サービスの例としては、sshd や vsftpd などがあります。

通常、これらのプログラムはマシンが起動している限りはメモリ内に残るので、パッケージのアップグレード後には、更新された systemd サービスは停止してから再起動する必要があります。これは、root で systemctl コマンドを使用すると実行できます。

systemctl restart service_name

service_name を sshd などの再起動するサービスの名前に置き換えます。

他のソフトウェア

以下のアプリケーションの更新は、リンク先のリソースで示された指示にしたがってください。

Red Hat Directory Server — https://access.redhat.com/site/documentation/en-US/Red_Hat_Directory_Server/ で該当する Red Hat Directory Server バージョンの『Release Notes』を参照してください。
Red Hat Enterprise Virtualization Manager — https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Virtualization/ で該当する Red Hat Enterprise Virtualization のバージョンの『インストールガイド』を参照してください。

3.2. Red Hat カスタマーポータルの使用

Red Hat カスタマーポータルは https://access.redhat.com/ にあり、これは Red Hat 製品に関する公式情報のお客様向け主要リソースになります。ドキュメンテーションの検索やサブスクリプションの管理、製品および更新のダウンロード、サポートケースの開始、セキュリティー更新についての情報収集などができます。

3.2.1. カスタマーポータルでセキュリティー更新を見る

アクティブなサブスクリプションに関連するセキュリティーアドバイザリー (エラータ) を見るには、https://access.redhat.com/ でカスタマーポータルにログインして、メインページの Download Products & Updates ボタンをクリックします。Software & Download Center ページに入り、Errata ボタンをクリックすると、登録済みシステムに関連するアドバイザリーが一覧表示されます。

アクティブな Red Hat 全製品のセキュリティー更新をすべて表示するには、ページのトップにあるナビゲーションメニューを使って セキュリティー → セキュリティーアップデート → アクティブな製品 に移動します。

テーブルの左側にあるエラータコードをクリックすると、個別のアドバイザリーについての詳細情報が表示されます。次のページには、特定のエラータの原因や結果、必要となる修正だけでなく、その特定のエラータが更新するパッケージ全一覧と更新の適用方法が示されています。このページには、関連する CVE などの関連参照情報のリンクも含まれています。

3.2.2. カスタマーポータルページでの CVE への移動

CVE (Common Vulnerabilities and Exposures) プロジェクトは MITRE Corporation がメンテナンスを行なっているもので、脆弱性とセキュリティーエクスポージャーの標準名を一覧提供しています。Red Hat 製品に関連する CVE の一覧をカスタマーポータルで確認するには、https://access.redhat.com/ でアカウントにログインして、ページトップにあるナビゲーションメニューを利用して セキュリティー → リソース → CVE データベース に移動します。

テーブルの左側にある CVE コードをクリックすると、個別の脆弱性についての詳細情報が表示されます。次のページには、特定の CVE 説明だけでなく、影響を受けている Red Hat 製品の一覧と関連する Red Hat エラータのリンクが含まれています。

3.2.3. 問題の影響度の分類について

Red Hat 製品で発見されたすべてのセキュリティー問題には、Red Hat 製品セキュリティー がその問題の重大度に応じて影響度を割り当てます。これは、低、中、重要、重大の 4 段階評価で判断されます。また、セキュリティー問題はすべて Common Vulnerability Scoring System (CVSS) ベーススコアを使って評価されます。

これらを合わせると、セキュリティー問題の影響度が理解できます。そうすることで、使用中のシステムのアップグレード戦略のスケジュールを立てたり、優先順位を決めたりすることができます。これらの評価は特定の脆弱性の潜在的なリスクを反映するもので、現行の脅威レベルではなく、バグの技術的分析に基づいています。つまり、セキュリティーの影響度評価は、特定の弱点に対してエクスプロイトがリリースされても変更されません。

カスタマーポータルで影響度評価の個別レベルの詳細情報を確認するには、重大度レベルのページを参照してください。

3.3. その他のリソース

セキュリティー更新やその適用方法、Red Hat カスタマーポータル、および関連するトピックについての詳細情報は、以下のリソースを参照してください。

インストールされているドキュメント

yum(8) - Yum パッケージマネジャーの man ページでは、Yum を使用してシステムにパッケージをインストール、更新、削除する方法を説明しています。
rpmkeys(8) - rpmkeys ユーティリティーの man ページでは、このプログラムを使用してダウンロードされたパッケージの信頼性を検証する方法を説明しています。

オンラインのドキュメント

Red Hat Enterprise Linux 7 システム管理者ガイド — Red Hat Enterprise Linux 7 の『システム管理者ガイド』では、Yum および rpm コマンドを使って Red Hat Enterprise Linux 7 システム上でパッケージをインストール、更新、削除する方法について説明しています。
Red Hat Enterprise Linux 7 SELinux User's and Administrator's Guide — Red Hat Enterprise Linux 7 の『SELinux User's and Administrator's Guide』では、SELinux mandatory access control メカニズムの設定について説明しています。

Red Hat カスタマーポータル

Red Hat カスタマーポータル、セキュリティー — カスタマーポータルのセキュリティーセクションには、Red Hat CVE データベースや Red Hat 製品セキュリティーの連絡先など、最も重要なリソースへのリンクが含まれています。
Red Hat セキュリティーブログ — Red Hat セキュリティー専門家による最新のセキュリティー関連問題に関する記事。

第4章ツールとサービスを使用したシステム強化

4.1. デスクトップのセキュリティー

Red Hat Enterprise Linux 7 は、不正アクセスの防止や攻撃から守るためのデスクトップ強化に複数の手段を提供しています。本項では、ユーザーパスワード、セッション、アカウントのロック、取り外し可能なメディアの安全な取り扱いについて推奨の方法を紹介します。

4.1.1. パスワードのセキュリティー

パスワードは、Red Hat Enterprise Linux 7 がユーザーの ID を確認する第一の手段です。ユーザーやワークステーション、ネットワークの保護にパスワードのセキュリティーが重要であるのは、このためです。

インストールプログラムではセキュリティー目的で、システムが セキュアハッシュアルゴリズム 512 (SHA512) とシャドウパスワードを使うように設定します。この設定は、変更しないことが強く推奨されます。

インストール中にシャドウパスワードが検出されると、すべてのパスワードは全ユーザーが読み取り可能な /etc/passwd ファイルに一方向のハッシュとして保存されます。この場合、システムはオフラインのパスワードクラッキング攻撃に脆弱なものとなってしまいます。侵入者が通常のユーザーとしてマシンにアクセスすると、/etc/passwd ファイルを侵入者自身のマシンにコピーして、パスワードクラッキングプログラムをいくつでも実行できるようになります。このファイルに安全でないパスワードがあれば、パスワードクラッカーがこれを見つけるのは時間の問題となります。

シャドウパスワードは、パスワードハッシュを /etc/shadow ファイルに保存することで、このタイプの攻撃を排除します。このファイルは、root ユーザーのみが読み取り可能なためです。

この場合、攻撃者は SSH や FTP などのマシン上のネットワークサービスにログインしてリモートからパスワードクラッキングを試みることが強いられます。このようなブルートフォース攻撃は時間がかかり、何百回ものログイン失敗がシステムファイルに書き込まれるので、明らかな痕跡が残ります。もちろん、クラッカーが脆弱なパスワードがあるシステムに真夜中から攻撃を開始した場合、夜明け前にはアクセスに成功し、痕跡を隠すためにログファイルを編集してしまう、という可能性もあります。

フォーマットやストレージに加えて考慮すべき点は、コンテンツの問題です。パスワードクラッキングからアカウントを保護するためにユーザーがなし得る最重要事項は、強固なパスワードを作成することです。

注記

Red Hat は、Red Hat Identity Management (IdM) などの集約型の認証ソリューションの使用を推奨します。ローカルのパスワードよりも集約型のソリューションの使用が推奨されます。詳しい情報は、以下のリンクをご覧ください。

4.1.1.1. 強固なパスワードの作成

安全なパスワードを作成するには、長いパスワードの方が短くかつ複雑なものよりも強固であることをユーザーは認識する必要があります。あるパスワードが数字や特殊文字、大文字のアルファベットを含んでいても、それが 8 文字の長さしかなければ、強固なパスワードとは言えません。「John The Ripper」のようなパスワード解析ツールは、人間が記憶するには困難なパスワードを分解するために最適なものです。

情報の理論上では、エントロピーはランダムな変数に関連付けられる不確実性のレベルで、ビット表示されます。エントロピーの値が高ければ高いほど、パスワードはより安全と言えます。NIST (米標準技術研究所) の SP 800-63-1 文書によると、一般的に選択される 5 万件のパスワードからなる辞書にないパスワードには、少なくとも 10 ビットのエントロピーがあります。このため、ランダムな 4 単語からなるパスワードには、およそ 40 ビットのエントロピーがあることになります。安全性を高めるために複数の単語で構成される長いパスワードは、パスフレーズ とも呼ばれます。例を示します。

randomword1 randomword2 randomword3 randomword4

大文字や数字、特殊文字の使用が強制されるシステムでは、上記の推奨事項に合致するパスフレーズは簡単に修正することができます。たとえば、最初の文字を大文字にして、"1!" を追加します。このような修正は、パスフレーズの安全性を大幅に高めるもの ではない ことに注意してください。

パスワードを自分で作成するもうひとつの方法は、パスワードジェネレーターを使用することです。pwmake は、大文字、小文字、数字、特殊文字の 4 種類の文字からなるランダムなパスワードを生成するコマンドラインツールです。このユーティリティーを使用すると、パスワード生成に使用されるエントロピービットの数を指定できます。エントロピーは、/dev/urandom から引き出されます。指定可能な最小ビット数は 56 で、これはブルートフォース攻撃が滅多に仕掛けられないシステムやサービスのパスワードには十分なものです。攻撃者がパスワードハッシュファイルに直接アクセスできないアプリケーションであれば、64 ビットで十分です。攻撃者がパスワードハッシュへの直接アクセスを取得する可能性がある場合やパスワードが暗号鍵として使用される場合は、80 ビットや 128 ビットを使用する必要があります。無効なエントロピービット数を指定すると、pwmake はデフォルトのビット数を使用します。128 ビットのパッケージを作成するには、以下のコマンドを実行します。

pwmake 128

安全なパスワードの作成にはいくつものアプローチがありますが、以下の悪い点は必ず避けてください。

辞書の 1 単語を使用する。外国語の 1 単語を使用する。反転した単語を使用する。数字のみを使用する。
パスワードまたはパスフレーズを 10 文字未満にする。
キーボードのレイアウトにおけるキーの配列を使用する。
パスフレーズを書き留める。
誕生日や記念日、家族の名前、ペットの名前などの個人情報をパスフレーズに使用する。
複数のマシンで同じパスワードまたはパスフレーズを使用する。

セキュアなパスワードの作成は不可欠ですが、パスワードの適切な管理も特に大きな組織のシステム管理者にとっては重要です。次のセクションでは、組織内でのユーザーパスワードの作成および管理で推奨される方法を説明します。

4.1.1.2. 強固なパスワードの強制

組織内に多くのユーザーがいる場合、システム管理者は 2 つの基本的な方法で強固なパスワードの使用を強制できます。つまり、管理者がパスワードを作成してユーザーに渡すか、パスワードに十分な強度があるかを検証しながらユーザー自身がパスワードを作成する方法です。

前者の方法だとパスワードは強固なものになりますが、組織が拡大するにつれてタスクが重荷になります。また、ユーザーが自分のパスワードを書き留め、それをさらしてしまうリスクも高まります。

これらの理由で、多くのシステム管理者は後者を選択しますが、パスワードが強固かどうかを積極的に検証します。場合によっては、管理者はパスワードエージングで定期的にユーザーがパスワードを変更するように強制することもできます。

ユーザーは、パスワードの作成や変更を求められると、passwd コマンドラインユーティリティーを使用することができます。これは PAM (Pluggable Authentication Modules) を認識し、パスワードが短すぎないか、短くない場合は簡単にクラックされないかを確認します。この確認は、pam_pwquality.so PAM モジュールが実行します。

注記

Red Hat Enterprise Linux 7 では、pam_pwquality PAM モジュールが pam_cracklib の代わりとなっています。後者は、Red Hat Enterprise Linux 6 でパスワードの品質確認にデフォルトのモジュールとして使われていました。新たなモジュールは、pam_cracklib と同じバックエンドを使用します。

pam_pwquality モジュールは、ルールセットに対してパスワードの強度を確認するために使用されます。確認の手順は 2 段階になります。まず、該当パスワードが辞書にあるかどうかをチェックします。辞書にない場合は、さらにいくつかのチェックを行います。pam_pwquality は /etc/pam.d/passwd ファイルの password コンポーネント内に他の PAM モジュールと並んでいます。ルールのカスタムセットは、/etc/security/pwquality.conf 設定ファイル内で指定されます。これらのチェック項目の完全一覧については、pwquality.conf (8) man ページを参照してください。

例4.1 pwquality.conf 内でのパスワード強度チェックの設定

pam_quality の使用を有効にするには、以下の行を /etc/pam.d/passwd ファイルのpassword スタックに追加します。

password    required    pam_pwquality.so retry=3

チェック項目のオプションは、1 行に 1 つずつ指定します。たとえば、パスワードを 8 文字以上にして、4 種類すべての文字を含めることを要件とするには、以下の行を /etc/security/pwquality.conf ファイルに追加します。

minlen = 8 
minclass = 4

文字シーケンスと連続した同じ文字についてパスワード強度チェックを設定するには、以下の行を /etc/security/pwquality.conf に追加します。

maxsequence = 3
maxrepeat = 3

この例では、入力するパスワードに、abcd などの単純なシーケンスの 3 文字を超える文字と、1111 などの 3 文字を超える同一連続文字を含めることができません。

注記

root ユーザーはパスワード作成ルールを強制している本人なので、警告メッセージが出ても自分または通常ユーザーにどんなパスワードでも設定することができます。

4.1.1.3. パスワードエージングの設定

パスワードエージングは、システム管理者が組織内での脆弱なパスワードに対する防御として用いるもうひとつのテクニックです。パスワードエージングとは、一定期間後 (通常 90 日) にユーザーが新たなパスワードを作成するように求められるシステムのことです。理論上は、ユーザーに定期的なパスワード変更を強制すれば、クラックされたパスワードは侵入者にとって一定期間しか有効でないことになります。しかし、パスワードエージングのマイナス面は、ユーザーがパスワードを書き留める可能性が高くなるという点です。

Red Hat Enterprise Linux 7 でパスワードエージングを指定するには、chage コマンドを使用します。

重要

Red Hat Enterprise Linux 7 では、デフォルトでシャドウパスワードが有効になっています。詳細は、Red Hat Enterprise Linux 7 システム管理者のガイドを参照してください。

chage コマンドの -M オプションでは、パスワードが有効となる最長日数を指定します。例えば、ユーザーのパスワードが 90 日間で期限切れとなるように設定するには、以下のコマンドを実行します。

chage -M 90 username

上記のコマンドでは、username をユーザーの名前に置き換えます。パスワードの有効期限を無効にするには、-M オプションの後に -1 の値を指定します。

chage コマンドで使用可能なオプションの詳細情報については、以下の表を参照してください。

表4.1 chage のコマンドラインオプション

オプション	説明
`-d` days	1970 年 1 月 1 日から最後にパスワードを変更した日までの日数を指定します。
`-E` date	アカウントがロックされる日付を YYYY-MM-DD の形式で指定します。日付の代わりに、 1970 年 1 月 1 日からの日数を指定することも可能です。
`-I` days	パスワードが失効してからアカウントがロックされるまでのアクティブでない日数を指定します。値を `0` とすると、パスワード失効後にアカウントはロックされません。
`-l`	現在のアカウントエージングの設定を一覧表示します。
`-m` days	パスワード変更が必要となる間隔の最短日数を指定します。値を `0` とすると、パスワードは失効しません。
`-M` days	パスワードの有効最長日数を指定します。このオプションで指定した日数と `-d` オプションで指定した日数の合計が、1970 年 1 月 1 日から数えた現在までの日数より少ない場合は、ユーザーはアカウントを使用する前にパスワードを変更する必要があります。
`-W` days	パスワードが失効する前にユーザーに警告を発する日数を指定します。

インタラクティブモードで chage を使用して、複数のパスワードエージングおよびアカウントの詳細を修正することもできます。以下のコマンドでインタラクティブモードに入ります。

chage <username>

以下は、このコマンドを使用したインタラクティブセッションの例です。

~]# chage juan
Changing the aging information for juan
Enter the new value, or press ENTER for the default
Minimum Password Age [0]: 10
Maximum Password Age [99999]: 90
Last Password Change (YYYY-MM-DD) [2006-08-18]:
Password Expiration Warning [7]:
Password Inactive [-1]:
Account Expiration Date (YYYY-MM-DD) [1969-12-31]:

ユーザーの初回ログイン時にパスワードが失効するように設定できます。これにより、ユーザーはパスワードを直ちに変更するよう強制されます。

初期パスワードを設定します。デフォルトのパスワードを割り当てるには、シェルプロンプトで、root 権限で以下のコマンドを実行します。
```
passwd username
```
警告
passwd ユーティリティーには、null パスワードを設定するオプションがあります。null パスワードの使用は便利ですが、安全性は極めて低くなります。これは、いかなる第三者でも、セキュアでないユーザー名を使用して最初にシステムにログインし、アクセスできるためです。可能な場合は、null パスワードは使用しないでください。null パスワードを使用する必要がある場合は、null パスワードでアカウントのロック解除を行う前に、ユーザーがログインできる状態にあることを常に確かめてください。
パスワードを直ちに強制的に失効させるには、root として以下のコマンドを実行します。
```
chage -d 0 username
```
このコマンドは、パスワードが最後に変更された日付の値を 1970 年 1 月 1 日に設定します。パスワードエージングのポリシーが設定されていても、この値はパスワードを直ちに強制的に期限切れにします。

これで、ユーザーは初回ログイン時に新規パスワードを入力するよう要求されます。

4.1.2. アカウントのロック

Red Hat Enterprise Linux 7 では、pam_faillock PAM モジュールを使うとシステム管理者は特定回数のログイン失敗の後にユーザーアカウントをロックアウトすることができます。ユーザーログインの試行回数を制限する主な目的はセキュリティー措置であり、ユーザーアカウントのパスワード獲得を目的とする総当たり攻撃を防ぐためのものです。

pam_faillock モジュールを使うと、ログイン失敗はユーザーごとに /var/run/faillock ディレクトリー内の個別ファイルに保存されます。

注記

ログイン失敗のログファイルにおける行の順番は重要なものです。even_deny_root オプションが使用されている場合、この順番が変更されると root アカウントを含むすべてのユーザーアカウントがロックされます。

アカウントのロックを設定するには、以下の手順を実行します。

root 以外のユーザーがログインに 3 回失敗した後にロックアウトし、その 10 分後にこのユーザーのロックアウトを解除するようにするには、2 つの行を /etc/pam.d/system-auth および /etc/pam.d/password-auth の各ファイルの auth セクションに追加します。編集後に、両方のファイルの auth セクション全体は以下のようになります。
```
1 auth        required      pam_env.so
2 auth        required      pam_faillock.so preauth silent audit deny=3 unlock_time=600
3 auth        sufficient    pam_unix.so nullok try_first_pass
4 auth        [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600
5 auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
6 auth        required      pam_deny.so
```
行番号 2 および 4 が追加されました。
以下の行を上記の手順の両ファイルの account セクションに追加します。
```
account     required      pam_faillock.so
```

アカウントのロックアウトを root ユーザーにも適用するには、/etc/pam.d/system-auth および /etc/pam.d/password-auth の各ファイルの pam_faillock エントリーに even_deny_root オプションを追加します。

auth        required      pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=600
auth        sufficient    pam_unix.so nullok try_first_pass
auth        [default=die] pam_faillock.so authfail audit deny=3 even_deny_root unlock_time=600

account     required      pam_faillock.so

ユーザー john がログインに 3 回失敗した後に再度ログインしようとすると、このユーザーのアカウントはこの 4 回目のログイン試行でロックされます。

~]$ su - john
Account locked due to 3 failed logins
su: incorrect password

複数回のログイン失敗後でもユーザーがロックアウトされないようにするには、以下の行を /etc/pam.d/system-auth および /etc/pam.d/password-auth の各ファイルで pam_faillock が最初に呼び出される行のすぐ上に追加します。また、user1、user2、および user3 を実際のユーザー名で置き換えます。

auth [success=1 default=ignore] pam_succeed_if.so user in user1:user2:user3

ユーザーあたりの実際の失敗回数を表示するには、root で以下のコマンドを実行します。

~]$ faillock
john:
When                Type  Source                                           Valid
2013-03-05 11:44:14 TTY   pts/0                                                V

ユーザーのアカウントをロック解除するには、root で以下のコマンドを実行します。

faillock --user <username> --reset

重要

cron ジョブを実行すると、cron ジョブを実行しているそのユーザーの pam_faillock の失敗カウンターがリセットされます。したがって、cron に pam_faillock を設定しないでください。詳細は「Running cronjobs resets the faillock for the user that is running the cronjob」を参照してください。

authconfig でのカスタム設定の保持

authconfig ユーティリティーを使って認証設定を修正すると、system-auth および password-auth の各ファイルは authconfig ユーティリティーからの設定で上書きされます。これを避けるには、設定ファイルの代わりにシンボリックリンクを作成します。このリンクを authconfig が認識し、上書きが避けられます。設定ファイル内のカスタム設定と authconfig を同時に使うには、以下の手順でアカウントロックを設定します。

system-auth および password-auth ファイルがすでに system-auth-ac および password-auth-ac を参照しているシンボリックリンクであるかどうかを確認します (これはシステムデフォルト)。
```
~]# ls -l /etc/pam.d/{password,system}-auth
```
出力が以下のような内容である場合、シンボリックリンクは問題なく設定されているため、手順 3 に進むことができます。
```
lrwxrwxrwx. 1 root root 16 24. Feb 09.29 /etc/pam.d/password-auth -> password-auth-ac
lrwxrwxrwx. 1 root root 28 24. Feb 09.29 /etc/pam.d/system-auth -> system-auth-ac
```
system-auth および password-auth ファイルがシンボリックリンクでない場合は、次の手順に進んでください。

設定ファイルの名前を変更します。

~]# mv /etc/pam.d/system-auth /etc/pam.d/system-auth-ac
~]# mv /etc/pam.d/password-auth /etc/pam.d/password-auth-ac

カスタマー設定を含む設定ファイルを作成します。

~]# vi /etc/pam.d/system-auth-local

/etc/pam.d/system-auth-local ファイルに以下の行を記載します。

auth        required       pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth        include        system-auth-ac
auth        [default=die]  pam_faillock.so authfail silent audit deny=3 unlock_time=600

account     required       pam_faillock.so
account     include        system-auth-ac

password    include        system-auth-ac

session     include        system-auth-ac

~]# vi /etc/pam.d/password-auth-local

/etc/pam.d/password-auth-local ファイルに以下の行を記載します。

auth        required       pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth        include        password-auth-ac
auth        [default=die]  pam_faillock.so authfail silent audit deny=3 unlock_time=600

account     required       pam_faillock.so
account     include        password-auth-ac

password    include        password-auth-ac

session     include        password-auth-ac

以下のシンボリックリンクを作成します。

~]# ln -sf /etc/pam.d/system-auth-local /etc/pam.d/system-auth
~]# ln -sf /etc/pam.d/password-auth-local /etc/pam.d/password-auth

pam_faillock 設定オプションの情報は、man ページの pam_faillock(8) を参照してください。

`nullok` オプションの削除

nullok オプションは、/etc/shadow ファイルのパスワードフィールドが空の場合に、パスワードを空にしてログインできるようにするもので、デフォルトで有効になっています。nullok オプションを無効にするには、/etc/pam.d/ ディレクトリーの設定ファイル (/etc/pam.d/system-auth、/etc/pam.d/password-auth など) から、文字列 nullok を削除します。

詳細は、ナレッジベースソリューションの「Will nullok option allow users to login without entering a password?」を参照してください。

4.1.3. セッションのロック

日常の業務中にユーザーがワークステーションから離れなければならない時もあります。こういう場合は、特に十分な物理的セキュリティー対策がとられていない環境 (「物理的コントロール」を参照) では、攻撃者にマシンに物理的にアクセスする機会を与えてしまいます。ノートパソコンの場合は特に、持ち運びが便利なので物理的な安全性が脅かされます。このリスクは、正しいパスワードが入力されないとシステムにアクセスできないようにするセッションロッキング機能を使うことで緩和できます。

注記

画面のロックがログアウトよりも優れている点は、ロックの場合は (ファイル転送といった) ユーザーのプロセスを続行できるという点です。ログアウトしてしまうと、このようなプロセスは中断してしまいます。

4.1.3.1. vlock を使った仮想コンソールのロック

仮想コンソールをロックする必要がある場合は、vlock というユーティリティーを使って実行できます。このユーティリティーをインストールするには、以下のコマンドを root で実行します。

~]# yum install vlock

インストール後は、新たなパラメーターなしで vlock コマンドを使えば、コンソールセッションはすべてロックできます。このコマンドでは、アクティブな仮想コンソールをロックしますが、他のセッションへのアクセスは可能です。ワークステーション上のすべての仮想コンソールへのアクセスを防止するには、以下のコマンドを実行します。

vlock -a

この場合、vlock がアクティブなコンソールをロックし、-a オプションが他の仮想コンソールへのスイッチを防ぎます。

詳細は vlock(1) man ページを参照してください。

4.1.4. リムーバブルメディアの読み取り専用マウントの強制

リムーバブルメディア (USB フラッシュディスクなど) の読み取り専用マウントを強制するために、管理者は udev ルールを使用してリムーバブルメディアを検出し、blockdev ユーティリティーを使用してリムーバブルメディアを読み取り専用でマウントするよう設定できます。物理メディアの読み取り専用マウントの強制に必要な作業はこれだけです。

blockdev を使用したリムーバブルメディアの読み取り専用マウントの強制

すべてのリムーバブルメディアを読み取り専用でマウントするには、/etc/udev/rules.d/ ディレクトリー内に新しい udev 設定ファイル (80-readonly-removables.rules など) を以下の内容で作成します。

SUBSYSTEM=="block",ATTRS{removable}=="1",RUN{program}="/sbin/blockdev --setro %N"

上記の udev ルールにより、blockdev ユーティリティーを使用して、新しく接続されたすべてのリムーバブルブロック (ストレージ) デバイスが自動的に読み取り専用で設定されます。

新しい udev 設定の適用

これらの設定を有効にするには、新しい udev ルールを適用する必要があります。udev サービスは設定ファイルの変更を自動的に検出しますが、新しい設定は既存のデバイスに適用されません。新しく接続されたデバイスのみが新しい設定の影響を受けます。したがって、新しい設定をリムーバブルディスクに適用するには、接続されたすべてのリムーバブルメディアをアンマウントし、取り外す必要があります。

すべてのルールを既存のデバイスに強制的に再適用するよう udev を設定するには、root で以下のコマンドを実行します。

~# udevadm trigger

上記のコマンドを使用して udev によってすべてのルールを強制的に再適用しても、すでにマウントされているストレージデバイスは影響を受けません。

udev によってすべてのルールを強制的にリロードするには (何らかの理由で新しいルールが自動的に検出されない場合)、以下のコマンドを使用します。

~# udevadm control --reload

4.2. Root アクセスの制御

ホームとなるマシンを管理する際に、ユーザーは root ユーザーとして、または sudo や su などの setuid プログラムで有効な root 権限を取得して一部のタスクを実行する必要があります。setuid プログラムは、プログラムを実行しているユーザーではなく、プログラムの所有者のユーザー ID (UID) で実行されるプログラムです。これらのプログラムは、以下の例のように、ロング形式のリストの所有者セクションにある s で示されます。

~]$ ls -l /bin/su
-rwsr-xr-x. 1 root root 34904 Mar 10  2011 /bin/su

注記

s は大文字または小文字の場合があります。大文字の場合は、基になるパーミッションビットが設定されていないことを示します。

しかし、組織のシステム管理者は、組織のユーザーが自身のマシンにどの程度の管理アクセスを持つかを決定しなくてはなりません。pam_console.so と呼ばれる PAM モジュールを使うと、再起動やリムーバブルメディアのマウントなど通常は root ユーザーにのみ許可されているアクティビティーを、物理コンソールに最初にログインしたユーザーが実行できるようになります。しかし、ネットワーク設定の変更、新たなマウスの設定、ネットワークデバイスのマウントといったシステム管理者の他の重要なタスクは、管理者権限なしでは実行できません。したがって、システム管理者はネットワーク上のユーザーにどの程度のアクセスを許可するかを判断する必要があります。

4.2.1. Root アクセスの拒否

上記またはその他の理由でユーザーが root でログインすることに管理者が不安を感じる場合、root パスワードは秘密にし、ランレベル 1 へのアクセスやシングルユーザーモードへのアクセスをブートローダーパスワード保護で拒否してください (このトピックに関する詳細については「ブートローダーのセキュア化」を参照)。

管理者は、以下の 4 つの方法で root ログインを拒否できます。

Root シェルの変更

ユーザーが直接 root としてログインしないように、システム管理者は /etc/passwd ファイルで root アカウントのシェルを /sbin/nologin に設定できます。

表4.2 Root シェルの無効化

影響あり	影響なし
`root` シェルへのアクセスを阻止し、そのようなアクセス試行をログに記録します。以下のプログラムは `root` アカウントにアクセスできません。 `login` `gdm` `kdm` `xdm` `su` `ssh` `scp` `sftp`	FTP クライアント、メールクライアント、多くの setuid プログラムなどのシェルを必要としないプログラム。以下のプログラムは `root` アカウントにアクセスできません。 `sudo` FTP クライアント Email クライアント

どのコンソールデバイス (tty) からの root アクセスも無効にする

root アカウントへのアクセスをさらに制限するために、管理者は /etc/securetty ファイルを編集して、コンソールでの root ログインを無効にできます。このファイルには、root ユーザーがログイン可能なすべてのデバイスが一覧表示されます。このファイル自体がない場合、root ユーザーはシステム上のどんな通信デバイス (コンソールか raw ネットワークインターフェースかに関係なく) からでもログインできます。この状態は危険です。ユーザーは Telnet 経由で root としてマシンにログインでき、プレーンテキストのパスワードがネットワーク上で送信されてしまうからです。

デフォルトでは、Red Hat Enterprise Linux 7 の /etc/securetty ファイルでは、root ユーザが物理的に接続されたコンソールからログインすることだけを許可しています。root ユーザーによるログインを防ぐには、root でシェルプロンプトから以下のコマンドを入力して、このファイルの内容を削除します。

echo > /etc/securetty

KDM、GDM、XDM のログインマネージャーでの securetty サポートを有効にするには、以下の行を追加します。

auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so

追加対象のファイルは以下のとおりです。

/etc/pam.d/gdm
/etc/pam.d/gdm-autologin
/etc/pam.d/gdm-fingerprint
/etc/pam.d/gdm-password
/etc/pam.d/gdm-smartcard
/etc/pam.d/kdm
/etc/pam.d/kdm-np
/etc/pam.d/xdm

警告

/etc/securetty ファイルを空白にしても、root ユーザーがリモートでツールの OpenSSH スイートを使用してログインすることは止められません。これは、認証が終わるまでコンソールが開かれないためです。

表4.3 Root ログインの無効化

影響あり	影響なし
コンソールまたはネットワーク経由での `root` アカウントへのアクセスを阻止します。以下のプログラムは `root` アカウントにアクセスできません。 `login` `gdm` `kdm` `xdm` tty を開くその他のネットワークサービス	`root` としてログインしないが、setuid または別のメカニズムで管理タスクを実行するプログラム。以下のプログラムは `root` アカウントにアクセスできません。 `su` `sudo` `ssh` `scp` `sftp`

Root SSH ログインを無効にする

SSH プロトコル経由での root ログインを防ぐには、SSH デーモンの設定ファイルである /etc/ssh/sshd_config を編集し、

#PermitRootLogin yes

の行を以下のように変更します。

PermitRootLogin no

表4.4 Root SSH ログインの無効化

影響あり	影響なし
ツールの OpenSSH スイート経由での `root` アクセスを防ぎます。以下のプログラムは `root` アカウントにアクセスできません。 `ssh` `scp` `sftp`	ツールの OpenSSH スイートの一部ではないプログラム

PAM を使用してサービスへの root アクセスを制限する

PAM (/lib/security/pam_listfile.so モジュール経由) を使用すると、特定アカウントを柔軟に拒否できます。管理者はこのモジュールを使用してログインが許可されないユーザーリストを参照できます。システムサービスへの root アクセスを制限するには、/etc/pam.d/ ディレクトリー内の対象サービスのファイルを編集し、認証に pam_listfile.so モジュールが必要となるようにします。

以下の例では、/etc/pam.d/vsftpd PAM 設定ファイルの vsftpd FTP サーバーにこのモジュールを使用しています (一行目の末にある \ の文字は、ディレクティブが一行の場合は必要ありません)。

auth   required   /lib/security/pam_listfile.so   item=user \
sense=deny file=/etc/vsftpd.ftpusers onerr=succeed

これにより、PAM が/etc/vsftpd.ftpusers ファイルを見て、リストに載っているユーザーにサービスへのアクセスを拒否するように指示します。管理者はこのファイル名を変更し、各サービスごとに別個のリストを維持したり、複数サービスへのアクセスを拒否する集中リストを使用したりすることができます。

管理者が複数サービスへのアクセスを拒否したい場合、メールクライアントでは /etc/pam.d/pop や /etc/pam.d/imap ファイルに、SSH クライアントでは /etc/pam.d/ssh ファイルのような PAM 設定ファイルに同様の行を追加することができます。

PAM についての詳細情報は、『The Linux-PAM System Administrator's Guide』を参照してください。/usr/share/doc/pam-<version>/html/ ディレクトリーにあります。

表4.5 PAM を使った root の無効化

影響あり	影響なし
PAM 対応のネットワークサービスへの `root` アクセスを防ぎます。以下のサービスは `root` アカウントにアクセスできません。 `login` `gdm` `kdm` `xdm` `ssh` `scp` `sftp` FTP クライアント Email クライアントすべての PAM 対応サービス	PAM 非対応のプログラムおよびサービス

4.2.2. Root アクセスの許可

組織内のユーザーが信頼できコンピューターの知識を持っていれば、root アクセスを許可することは問題ではありません。ユーザーに root アクセスを許可すれば、デバイスの追加やネットワークインターフェースの設定などの重要性の低いアクティビティーを個別のユーザーが行うことができるので、システム管理者はネットワークセキュリティーや他の重要な問題に専念できます。

一方で、個別のユーザーに root アクセスを許可すると、以下のような問題が発生することがあります。

マシンの誤った設定 — root アクセスを持つユーザーは自身のマシンを間違って設定する可能性があり、この問題を解決するには助けを必要とします。ひどい場合には、知らないうちにセキュリティーホールを開いてしまう可能性もあります。
安全でないサービスの実行 — root アクセスを持つユーザーは、FTP や Telnet といった安全でないサービスを自身のマシン上で実行して、ユーザー名やパスワードを危険にさらす可能性があります。これらのサービスは、ユーザー名やパスワードをプレーンテキストでネットワーク上で送信します。
Email の添付ファイルを root として実行 — 滅多にないことですが、Linux に影響を及ぼす Email ウイルスも存在します。悪意のあるプログラムは、root ユーザーとして実行された場合に脅威となります。
監査証跡がそのままになる — 多くの場合、root アカウントは複数のユーザーが共有し、複数のシステム管理者がシステムのメインテナンスをできるようになっているため、ある時点でこのうちのどのユーザーが root だったかを見分けることは不可能です。別のログインを使用すると、ユーザーがログインしたアカウントとセッション追跡目的の一意の番号がタスク構造に組み込まれ、ユーザーが開始する各プロセスによって継承されます。同時ログインを使用すると、一意の番号は特定ログインのアクションの追跡に使用できます。アクションが監査イベントを生成する際には、ログインアカウントとその一意の番号に関連付けられているセッションとともに記録されます。これらのログインとセッションを表示するには、aulast コマンドを使用します。aulast コマンドの --proof オプションを使うと、特定のセッションで生成された監査可能なイベントを切り離す特定の ausearch クエリーの提示が可能になります。監査システムの詳細については、6章システム監査を参照してください。

4.2.3. Root アクセスの制限

管理者が、root ユーザーへのアクセスを完全に拒否するのではなく、su や sudo となどの setuid プログラム経由でのアクセスのみを許可したい場合もあります。su および sudo の詳細は、Red Hat Enterprise Linux 7 システム管理者のガイドの章権限の取得と、man ページの su(1) および sudo(8) を参照してください。

4.2.4. 自動ログアウトの有効化

root としてログインしている場合に、このセッションを無人状態にしておくと、重大なセキュリティーリスクをもたらす恐れがあります。このリスクを軽減するために、一定期間が経過してからアイドル状態のユーザーを自動的にログアウトするようにシステムを設定することができます。

root として /etc/profile ファイルの先頭に以下の行を追加して、このファイルの処理が中断されないようにします。
```
trap "" 1 2 3 15
```
root として、/etc/profile ファイルに以下の行を挿入して、120 秒後に自動的にログアウトされるようにします。
```
export TMOUT=120
readonly TMOUT
```
TMOUT 変数は、指定した期間 (秒) に活動がない場合にはシェルを中断します (上記の例では 120)。特定のインストールのニーズに応じて時間制限を変更してください。

4.2.5. ブートローダーのセキュア化

Linux ブートローダーをパスワードで保護する主要な理由は以下のとおりです。

シングルユーザーモードへのアクセスを防ぐ — 攻撃者がシングルユーザーモードでシステムを起動できると、攻撃者は root パスワードを求められずに自動的に root としてログインします。
警告
/etc/sysconfig/init ファイルで SINGLE パラメーターを編集してシングルユーザーモードへのアクセスを保護する方法は推奨されません。攻撃者は、GRUB 2 のカーネルコマンドライン上で (init= を使用して) カスタム初期コマンドを特定することでパスワードを迂回できます。Red Hat Enterprise Linux 7 システム管理者のガイドのパスワードによる GRUB 2 の保護の章にあるように、GRUB 2 ブートローダーをパスワードで保護することが推奨されます。
GRUB 2 コンソールへのアクセスを防ぐ — マシンがブートローダーに GRUB 2 を使用している場合、攻撃者は GRUB 2 エディターインターフェースを使って設定を変更したり、cat コマンドを使用して情報収集ができるようになります。
安全でないオペレーティングシステムへのアクセスを防ぐ — デュアルブートシステムの場合、攻撃者はアクセス制御やファイルパーミッションを無視する (例えば、DOS などの) OS を起動時に選択できます。

Intel 64 および AMD64 プラットホームの Red Hat Enterprise Linux 7 には、GRUB 2 ブートローダーが同梱されています。GRUB 2 の詳細は『Red Hat Enterprise Linux 7 システム管理者のガイド』の GRUB 2 ブートローダーの操作の章を参照してください。

4.2.5.1. インタラクティブスタートアップの無効化

起動順序の最初に I キーを押すと、インタラクティブな方法でシステムを起動できます。この方法では、システムがユーザーにサービスを 1 つずつ開始するように求めます。しかし、システムに物理的なアクセスがある攻撃者の場合は、この方法だとセキュリティー関連のサービスを無効にし、システムへのアクセスを許すことになってしまいます。

ユーザーがシステムを対話的に起動しないようにするには、root として /etc/sysconfig/init ファイルの PROMPT パラメーターを以下のように無効にします。

PROMPT=no

4.2.6. ハードリンクおよびシンボリックリンクの保護

保護されていないハードリンクおよびシンボリックリンクにより引き起こされた脆弱性を悪意のあるユーザーが利用しないようにするために、Red Hat Enterprise Linux 7 には、特定の条件を満たす場合のみリンクの作成または実行を許可する機能が含まれます。

ハードリンクの場合は、以下のいずれかに該当する必要があります。

ユーザーがリンク先のファイルを所有します。
ユーザーがリンク先のファイルへの読み取りアクセスおよび書き込みアクセスをすでに持っています。

シンボリックリンクの場合、プロセスは、スティッキービットが設定された誰でも書き込みが可能なディレクトリーの外にいるとき、または以下のいずれかの条件を満たすときにのみリンクを実行することが許可されます。

シンボリックリンクを実行するプロセスはシンボリックリンクの所有者です。
ディレクトリーの所有者はシンボリックリンクの所有者と同じです。

この保護はデフォルトで有効になり、/usr/lib/sysctl.d/50-default.conf ファイルの以下のオプションで制御されます。

fs.protected_hardlinks = 1
fs.protected_symlinks = 1

デフォルトの設定を上書きし、保護を無効にするには、51-no-protect-links.conf などの名前の新しい設定ファイルを以下の内容で /etc/sysctl.d/ ディレクトリーに作成します。

fs.protected_hardlinks = 0
fs.protected_symlinks = 0

注記

デフォルトのシステム設定を上書きするには、新しい設定ファイルの拡張子を .conf にし、デフォルトのシステムファイルの後にその設定ファイルを読み取る必要があります (ファイルは辞書の順序で読み取られるため、ファイル名の最初の番号が大きいファイルに含まれる設定が優先されます)。

sysctl メカニズムを使用した起動時のカーネルパラメーターの設定に関する詳細は、man ページの sysctl.d(5) を参照してください。

4.3. サービスのセキュア化

組織内のシステム管理者にとっては管理機能へのユーザーアクセスは重要な問題ですが、どのネットワークサービスがアクティブかを監視することは、Linux システムのすべての管理、運営担当者にとっての最重要事項です。

Red Hat Enterprise Linux 7 における多くのサービスは、ネットワークサーバーとして動作します。マシン上でネットワークサービスが稼働中であれば、(デーモン と呼ばれる) サーバーアプリケーションが 1 つ以上のネットワークポート上での接続をリッスンします。これらの各サーバーは、潜在的な攻撃の接近手段として扱われる必要があります。

4.3.1. サービスへのリスク

ネットワークサービスは Linux システムに多くのリスクを与える可能性があります。主な問題を以下に挙げます。

サービス拒否攻撃 (DoS) — サービス拒否攻撃は、サービスに対して要求を大量に送信することでシステムがすべての要求をログ記録・応答しようとし、使用不可能になります。
分散型サービス拒否攻撃 (DDoS) — これは DoS 攻撃の一種で、複数の脆弱なマシンを使用し (通常、数千以上)、サービスに対して一斉攻撃を仕掛けます。大量の要求が送信され、サービスを使用不可能にしてしまいます。
スクリプトの脆弱性への攻撃 — Web サーバーが通常行うように、サーバー全体のアクションにサーバーがスクリプトを使用している場合、攻撃者は誤って書かれたスクリプトを狙うことができます。このスクリプトの脆弱性に対する攻撃により、バッファがオーバーフロー状態になるか、攻撃者がシステム上のファイルを変更できる可能性があります。
バッファーオーバーフロー攻撃 — ポート 1〜1023 でリッスンするサービスを起動するには、管理権限を使用するか、CAP_NET_BIND_SERVICE 機能を設定する必要があります。プロセスがポートにバインドされ、そのポートでリッスンしている場合は、権限または機能が破棄されることがよくあります。権限または機能が破棄されず、アプリケーションに利用可能なバッファーオーバーフローがある場合、攻撃者はデーモンを実行中のユーザーとしてシステムにアクセスすることができます。利用可能なバッファーオーバーフローが存在するため、クラッカーは自動ツールを使って脆弱性のあるシステムを特定でき、アクセスを確保した後に自動ルートキットを使ってシステムへのアクセスを維持します。

注記

Red Hat Enterprise Linux 7 では、ExecShield と呼ばれる x86 互換のシングルおよびマルチプロセッサーのカーネルがサポートする実行可能メモリのセグメント化および保護技術により、バッファオーバーフローの脆弱性における脅威は緩和されています。ExecShield は仮想メモリを実行可能なセグメントと非実行可能セグメントに分けることでバッファオーバーフローのリスクを下げます。(バッファオーバーフローエクスプロイトから注入された悪意のあるコードなど) 実行可能セグメント外で実行を試みるすべてのプログラムコードは、セグメント化の失敗を発生させ、終了します。

Execshield には AMD64 プラットフォーム上の No eXecute (NX) と Intel® 64 システムのサポートが含まれます。これらのテクノロジーが ExecShield と組み合わさることで、4 KB の実行可能コードという粒度で仮想メモリの実行可能な部分での悪意のあるコードの実行を防ぎます。これで、バッファオーバーフローエクスプロイトからの攻撃リスクを減らします。

重要

ネットワーク上での攻撃への露出を限定するために、使用していないサービスはすべてオフにすることが推奨されます。

4.3.2. サービスの特定および設定

セキュリティーを強化するために、Red Hat Enterprise Linux 7 でインストールされているネットワークサービスのほとんどはデフォルトでオフとなっています。ただし、以下のものは例外となります。

cups — Red Hat Enterprise Linux 7 のデフォルトのプリントサーバー
cups-lpd — 代替プリントサーバー
xinetd — gssftp や telnet などの下位サーバーへの接続を管理するスーパーサーバー
sshd — Telnet の安全な代替となる OpenSSH サーバー

これらサービスの稼働を継続しておくかどうかを判断する際は、常識にしたがってリスクを避けるのが最善策です。例えば、プリンターが利用できない場合は cups を無効にします。同じことは portreserve についても言えます。NFSv3 ボリュームをマウントしていなかったり、NIS (ypbind サービス) を使用しないのであれば、rpcbind を無効にすべきです。ブート時にどのネットワークサービスが開始可能になっているかを確認するだけでは、十分ではありません。どのポートがオープンでリッスンしているかを確認することが推奨されます。詳細情報は、「リッスンしているポートの確認」を参照してください。

4.3.3. 安全でないサービス

潜在的にはどのネットワークサービスも安全ではありません。未使用のサービスをオフにすることが重要なのは、このためです。サービスのエクスプロイトは定期的に発見され修正プログラムが提供されているので、ネットワークサービスはどんなものでも関連するパッケージを定期的に更新することが非常に重要です。詳細は 3章システムを最新の状態に保つ を参照してください。

ネットワークプロトコルの中には、もともと他のものよりも安全性が低いものがあります。以下の動作を実行するサービスがそれに当たります。

暗号化されていないネットワークでユーザー名やパスワードを送信する — Telnet や FTP など多くの古いプロトコルは認証セッションを暗号化しないので、できるだけ避けてください。
暗号化されていないネットワークで機密性の高いデータを送信する — Telnet や FTP、HTTP、SMTP など多くのプロトコルでは暗号化されていないネットワークでデータを送信します。また、NFS や SMB などの多くのネットワークファイルシステムでも暗号化されていないネットワークで情報を送信します。これらのプロトコルを使用する際に送信するデータの種類を制限することは、ユーザーの責任になります。

もともと安全性が低いサービスには、rlogin、rsh、telnet、vsftpd などがあります。

リモートログインおよびシェルプログラム (rlogin、rsh、telnet) はすべて避けて、SSH を使用するようにしてください。sshd に関する詳細については、「SSH のセキュア化」を参照してください。

FTP は、システムのセキュリティーにとってリモートシェルほど危険ではありませんが、問題を回避するには FTP サーバーを慎重に設定し、監視する必要があります。FTP サーバーのセキュア化に関する詳細については、「FTP のセキュア化」を参照してください。

実装時に注意が必要で、ファイアウォールの背後に配置する必要があるサービスは以下のものです。

auth
nfs-server
smb および nbm (Samba)
yppasswdd
ypserv
ypxfrd

ネットワークサービスの安全性を高めるための詳細情報は、「ネットワークアクセスのセキュア化」を参照してください。

4.3.4. rpcbind のセキュア化

rpcbind サービスは、NIS やNFS などの RPC サービス用の動的なポート割り当てデーモンです。この認証メカニズムは脆弱なもので、制御対象のサービスに幅広いポートを割り当てる機能があります。このため、セキュア化は困難になります。

注記

NFSv4 は rpcbind を必要としなくなったので、portmap のセキュア化が影響するのは NFSv2 と NFSv3 のみです。NFSv2 もしくは NFSv3 サーバーの導入を計画する場合は、rpcbind が必要となり、以下のセクションが適用されます。

RPC サービスを実行している場合は、以下の基本的なルールにしたがってください。

4.3.4.1. TCP Wrapper による rpcbind の保護

rpcbind にはビルトインの認証がないので、TCP Wrapper を使用して rpcbind サービスにアクセスするネットワークやホストを制限することが重要です。

さらに、サービスへのアクセスを制限する際には、IP アドレスのみを使用してください。ホスト名は DNS ポイズニングやその他の方法で偽造される恐れがあるため、使用しないでください。

4.3.4.2. firewalld による rpcbind の保護

rpcbind サービスへのアクセスをさらに制限するには、サーバーに firewalld ルールを追加し、特定ネットワークへのアクセスを制限するとよいでしょう。

以下は、 firewalld リッチ言語コマンドの 2 つの例です。最初のコマンドは 192.168.0.0/24 ネットワークからポート 111 (rpcbind サービスが使用) への TCP 接続を許可します。2 つ目のコマンドは、ローカルホストからの同一ポートへの接続を許可します。他のパケットはすべて遮断されます。

~]# firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop'
~]# firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept'

UDP トラフィックを同様に制限するには、以下のコマンドを使用します。

~]# firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop'

注記

設定を永続的にするには、--permanent を firewalld リッチ言語コマンドに追加します。ファイアウォールの実装に関する詳細情報は、5章ファイアウォールの使用 を参照してください。

4.3.5. rpc.mountd のセキュア化

rpc.mountd デーモンは、NFS バージョン 2 (『RFC 1904』) と NFS バージョン 3 (『RFC 1813』) で使用されているプロトコルである NFS MOUNT プロトコルのサーバーサイドを実装します。

RPC サービスを実行している場合は、以下の基本的なルールにしたがってください。

4.3.5.1. TCP Wrappers による rpc.mountd の保護

rpc.mountd には認証が組み込まれていないため、TCP Wrapper を使用して rpc.mountd サービスにアクセスするネットワークやホストを制限することが重要です。

さらに、サービスへのアクセスを制限する際には、IP アドレスのみを使用してください。ホスト名は DNS ポイズニングやその他の方法で改ざんできるため、使用しないでください。

4.3.5.2. firewalld による rpc.mountd の保護

rpc.mountd サービスへのアクセスをさらに制限するには、サーバーに firewalld リッチ言語ルールを追加し、特定のネットワークへのアクセスを制限します。

以下は、 firewalld リッチ言語コマンドの 2 つの例です。最初のコマンドでは、192.168.0.0/24 ネットワークからの mountd 接続を許可します。2 つ目のコマンドでは、ローカルホストからの mountd 接続を許可します。他のパケットはすべて遮断されます。

~]# firewall-cmd --add-rich-rule 'rule family="ipv4" source NOT address="192.168.0.0/24" service name="mountd" drop'
~]# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="127.0.0.1" service name="mountd" accept'

注記

4.3.6. NIS のセキュア化

ネットワーク情報サービス (NIS) は ypserv と呼ばれる RPC サービスの一つで、rpcbind および他の関連サービスと一緒に使用することで、ドメイン内にあると主張するすべてのコンピューターに、ユーザー名、パスワード、その他の機密性のある情報のマップを配布します。

NIS サーバーは、以下のものを含むいくつかのアプリケーションで構成されています。

/usr/sbin/rpc.yppasswdd — yppasswdd サービスとも呼ばれます。このデーモンを使用することで、ユーザーは NIS パスワードを変更できます。
/usr/sbin/rpc.ypxfrd — ypxfrd サービスとも呼ばれます。このデーモンは、ネットワーク上での NIS マップ転送を担当します。
/usr/sbin/ypserv — これは NIS サーバーデーモンです。

NIS は今日の基準ではあまり安全なものではありません。ホスト認証メカニズムがなく、パスワードハッシュを含むすべての情報をネットワーク上で暗号化せずに送信します。このため、NIS を使用するネットワークの設定時には、非常に注意深い作業が必要になります。さらに、NIS のデフォルト設定がもともと安全でないことで複雑性が増してしまいます。

NIS サーバーの実装を予定している場合は、「rpcbind のセキュア化」に概説があるようにまず rpcbind サービスのセキュア化を図ることが推奨されます。その後に、以下のようなネットワークプラニングの問題などに対処してください。

4.3.6.1. ネットワークの注意深いプラニング

NIS は機密性の高い情報を暗号化せずにネットワーク上で送信するので、ファイアウォールの背後で、またセグメント化された安全なネットワーク上で実行することが重要です。NIS 情報が安全でないネットワーク上で送信される際は、常に傍受される危険があります。ネットワークを注意深く設計することで、重大なセキュリティー侵害の防止に役立ちます。

4.3.6.2. パスワードのような NIS ドメイン名およびホスト名を使用する

ユーザーが NIS サーバーの DNS ホスト名と NIS ドメイン名を知っていれば、NIS ドメイン内のマシンはどれもコマンドを使用して認証なしにサーバーから情報を引き出すことができます。

例えば、だれかがノートパソコンをネットワークに接続するか、外部からネットワークに侵入すると (そして内部 IP アドレスにスプーフィングできたとすると)、以下のコマンドが /etc/passwd マップを公開します。

ypcat -d <NIS_domain> -h <DNS_hostname> passwd

この攻撃者が root ユーザーであった場合、以下のコマンドを入力して /etc/shadow ファイルを入手することが可能です。

ypcat -d <NIS_domain> -h <DNS_hostname> shadow

注記

Kerberos を使用していれば、/etc/shadow ファイルは NIS マップ内に保存されません。

攻撃者による NIS マップへのアクセスをより困難にするには、DNS ホスト名にランダムの文字列 (o7hfawtgmhwg.domain.com) にします。同様に、異なる ランダムな NIS ドメイン名を作成します。これにより、攻撃者は NIS サーバーへのアクセスが非常に困難になります。

4.3.6.3. `/var/yp/securenets` ファイルを編集する

/var/yp/securenets ファイルが空白もしくは存在しない場合 (デフォルトインストールの後の場合のように)、NIS はすべてのネットワークをリッスンします。最初にすることのひとつは、ネットマスクとネットワークのペアをファイルに置くことで、これにより ypserv は適正なネットワークからの要求のみに応答するようになります。

以下は /var/yp/securenets ファイルからのエントリのサンプルです。

255.255.255.0     192.168.0.0

警告

/var/yp/securenets ファイルを作成せずに NIS サーバーを初回起動することは、絶対にしないでください。

このテクニックは IP スプーフィングからの保護は提供しませんが、少なくとも NIS サーバーが対応するネットワークに対して制限をかけます。

4.3.6.4. 静的ポートの割り当てとリッチ言語ルールの使用

NIS に関連付けられているサーバーは、rpc.yppasswdd を除いて特定のポートの割り当てが可能です。このデーモンを使うと、ユーザーは自身のログインパスワードを変更できるようになります。rpc.ypxfrd と ypserv の 2 つの NIS サーバーデーモンにポートを割り当てると、NIS サーバーデーモンをさらに侵入者から保護するためのファイアウォールルールが作成できます。

これを実行するには、以下の行を /etc/sysconfig/network に追加します。

YPSERV_ARGS="-p 834"
YPXFRD_ARGS="-p 835"

以下のリッチ言語の firewalld ルールを使用して、これらのポートでサーバーがリッスンするネットワークを強制できます。

~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" invert="True" port port="834-835" protocol="tcp" drop'
~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" invert="True" port port="834-835" protocol="udp" drop'

つまり、192.168.0.0/24 ネットワークからの要求であれば、サーバーはポート 834 および 835 への接続のみを許可することになります。最初のルールは TCP のもので、2 つ目は UDP になります。

注記

iptables コマンドによるファイアウォール実装についての詳細情報は、5章ファイアウォールの使用 を参照してください。

4.3.6.5. Kerberos 認証を使用する

認証に NIS を使用する際に考慮すべきことの一つは、ユーザーがマシンにログインする際は常に、/etc/shadow マップからのパスワードハッシュがネットワーク上で送信されるということです。侵入者が NIS ドメインへアクセスしてネットワークトラフィックを傍受した場合、ユーザー名とパスワードハッシュを取得できることになります。さらに時間があれば、攻撃者はパスワードクラッキングプログラムで脆弱なパスワードを推測し、ネットワーク上の有効なアカウントへのアクセスを取得できるようになります。

Kerberos は秘密鍵の暗号作成方法を使用するため、パスワードハッシュがネットワーク上で送信されることはなく、システムを大幅に安全なものとします。Kerberos の詳細は『Linux ドメイン ID、認証、およびポリシーガイド』の「Kerberos を使用した IdM へのログイン」のセクションを参照してください。

4.3.7. NFS のセキュア化

重要

NFS トラフィックは全バージョンで TCP を使用して送信することが可能で、UDP ではなく NFSv3 を使って送信してください。また、NFSv4 を使用する場合は必須となります。NFS のバージョンはすべて、RPCSEC_GSS カーネルモジュールの一部として Kerberos ユーザーおよびグループ認証をサポートしています。Red Hat Enterprise Linux 7 では rpcbind を使用する NFSv3 がサポートされているので、rpcbind に関する情報も引き続き含まれています。

4.3.7.1. ネットワークの注意深いプラニング

NFSv2 と NFSv3 ではこれまで、データの受け渡しは安全に行われていませんでした。今では NFS の全バージョンで Kerberos を使用した通常のファイルシステム操作の認証 (およびオプションで暗号化) ができます。NFSv4 では、すべての操作で Kerberos の使用が可能です。NFSv2 または NFSv3 では、ファイルロックとマウントに Kerberos が使用されていません。NFSv4.0 の使用時は、クライアントが NAT もしくはファイアウォールの背後にあるのであれば、委任はオフにすることができます。NFSv4.1 を使用して NAT およびファイアウォールを通じた委任による操作を可能にする方法は『Red Hat Enterprise Linux 7 ストレージ管理ガイド』の「pNFS」のセクションを参照してください。

4.3.7.2. NFS マウントオプションのセキュア化

/etc/fstab ファイル内での mount コマンド使用については、Red Hat Enterprise Linux 7 ストレージ管理ガイドの mount コマンドの使い方の章で説明されています。セクション管理の観点からは、NFS マウントオプションは /etc/nfsmount.conf でも指定可能であることは注目に値します。これを使うと、カスタムのデフォルトオプションを設定することが可能です。

4.3.7.2.1. NFS サーバーのレビュー

警告

ファイルシステムをエクスポートする際は、全体のエクスポートのみを行なってください。ファイルシステムのサブディレクトリーをエクスポートすると、セキュリティー問題につながる可能性があります。場合によってはクライアントがファイルシステムのエクスポートされた部分から抜け出し、エクスポートされていない部分に至ることもあります (exports(5) man ページのサブツリーチェックのセクションを参照)。

マウント済みファイルシステムへの書き込み可能なユーザー数を減らすためには、可能な場合は常に ro オプションを使用してファイルシステムを読み取り専用としてエクスポートしてください。rw オプションの使用は、明確に必要な場合のみとしてください。詳細は exports(5) man ページを参照してください。書き込みアクセスを許可すると、シンボリックリンク攻撃などのリスクが高まります。これには、/tmp や /usr/tmp などの一時ディレクトリーが含まれます。

ディレクトリーを rw オプションでマウントする必要がある場合は、リスク低減のためにできる限り全ユーザー書き込み可能としないようにします。アプリケーションのなかにはパスワードをクリアテキストで保存したり暗号化が弱いものもあるので、ホームディレクトリーのエクスポートもリスクとみなされます。このリスクは、アプリケーションコードがレビューされ、改善されることで軽減されてきています。SSH キーにパスワードを設定しないユーザーもいるので、ホームディレクトリーがリスクをもたらすことになります。パスワードや Kerberos の使用を強制することで、このリスクは緩和されます。

エクスポートはアクセスを必要とするクライアントのみとしてください。NFS サーバーで showmount -e コマンドを使用して、サーバーが何をエクスポートしているかを確認します。特に必要でないものはエクスポートしないでください。

no_root_squash オプションは使用しないでください。また、既存のインストールのレビューを行い、これが使用されていないことを確認してください。詳細は「no_root_squash オプションは使用しないでください」を参照してください。

secure オプションはサーバー側のエクスポートオプションで、「予約済み」ポートへのエクスポートを制限する際に使用します。デフォルトでは、サーバーは「予約済み」ポート (ポート番号 1024 未満のもの) からのクライアント通信のみを許可します。これは、クライアントが通常これらのポートの使用を許可するのは「信頼できる」コード (カーネル内の NFS クライアントなど) のみだったためです。しかし、多くのネットワークではクライアント上で root になるのは難しいことではないので、予約済みポートからの通信が権限を伴うものであると仮定するのは安全ではありません。このため、予約済みポートへの制限は限定的な価値しかありません。Kerberos やファイアウォール、エクスポートを特定のクライアントに制限するという方法を信頼する方がより安全です。

ほとんどのクライアントは、未だに予約済みポートを使用しています (可能な場合)。ただし、予約済みポートは限定的なリソースなので、クライアント (特に NFS マウント数が多いもの) はより大きい番号のポートを使う選択をする場合もあります。Linux クライアントは、「noresvport」マウントオプションを使用してこれを行うことができます。エクスポートでこれを許可したい場合は、「insecure」エクスポートオプションで行うことができます。

ユーザーがサーバーにログインできないようにしておくのは、よい方法です。上記の NFS サーバー設定を確認する間に、誰および何がサーバーにアクセス可能かを確認してください。

4.3.7.2.2. NFS クライアントのレビュー

setuid プログラムを使用できないようにするには、nosuid オプションを使用します。nosuid オプションは set-user-identifier または set-group-identifier ビットを無効にします。これにより、リモートユーザーが setuid プログラムを実行してより高い権限を取得することを防ぎます。このオプションは、クライアントおよびサーバー側で使用してください。

noexec オプションはクライアント上のすべての実行可能ファイルを無効にします。共有しているファイルシステムにあるファイルをユーザーが不注意で実行しないようにこのオプションを使用します。nosuid および noexec オプションは、ほとんどのファイルシステムの標準オプションです。

nodev オプションを使うと、クライアントが「device-files」をハードウェアデバイスとして処理することを防ぎます。

resvport オプションはクライアント側のマウントオプションで、secure はこれに対応するサーバー側のエクスポートオプションです (上記の説明を参照)。これは「予約済みポート」への通信を制限します。予約済みまたは「よく知られた」ポートは、root ユーザーなどの権限のあるユーザーやプロセス用に確保されています。このオプションを設定すると、クライアントが予約済みソースのポートを使ってサーバーと通信するようになります。

NFS の全バージョンですでに Kerberos 認証に対応しています。これを有効にするマウントオプションは、次の通りです。sec=krb5

NFSv4 は、整合性には krb5i を、プライバシー保護には krb5p を使用して Kerberos によるマウントをサポートします。これらは sec=krb5 でのマウント時に使用されますが、NFS サーバー上での設定が必要です。詳細はエクスポートに関する man ページ (man 5 exports) を参照してください。

NFS man ページ (man 5 nfs) には「SECURITY CONSIDERATIONS」セクションがあり、ここでは NFSv4 のセキュリティー強化の説明と NFS の特定のマウントオプションすべてが含まれています。

重要

krb5-libs パッケージが提供する MIT Kerberos ライブラリーは、新しいデプロイメントで Data Encryption Standard (DES) アルゴリズムに対応しなくなりました。セキュリティーと、特定の互換性の理由から、DES は非推奨になり、Kerberos ライブラリーではデフォルトで無効になっています。お使いの環境が新しいアルゴリズムに対応していない場合は、互換性の理由から、DES を使用してください。

4.3.7.3. 構文エラーに注意

NFS サーバーは /etc/exports ファイルを参照して、エクスポートするファイルシステムとこれらのディレクトリーをエクスポートするホストを決定します。このファイルを編集する際は、無関係な領域を追加しないように注意してください。

例えば、/etc/exports ファイル内の以下の行は読み取り/書き込みパーミッションでディレクトリー /tmp/nfs/ をホスト bob.example.com と共有します。

/tmp/nfs/     bob.example.com(rw)

一方、/etc/exports ファイルは同じディレクトリーを読み取り専用パーミッションでホスト bob.example.com と共有し、ホスト名の後ろに一文字分の空白があるため、読み取り/書き込みパーミッションで外部と共有します。

/tmp/nfs/     bob.example.com (rw)

showmount コマンドを使って何が共有されているかを検証するのは、設定済み NFS 共有をチェックするよい方法です。

showmount -e <hostname>

4.3.7.4. no_root_squash オプションは使用しないでください

デフォルトで NFS 共有は、root ユーザーを権限のないユーザーアカウントである nfsnobody ユーザーに変更します。これにより、root で作成された全ファイルの所有者は nfsnobody に変更されます。この変更で setuid ビットが設定されたプログラムのアップロードが防止されます。

no_root_squash を使用すると、リモートの root ユーザーは共有ファイルシステム上のどのファイルも変更できるようになり、トロイの木馬に感染したアプリケーションを他のユーザーが間違って実行できる状態にしてしまいます。

4.3.7.5. NFS ファイアウォールの設定

Red Hat Enterprise Linux 7 のデフォルトの NFS は NFSv4 で、この場合は TCP でポート 2049 が開いていれば問題ありません。NFSv3 を使用していると、以下の説明にあるように、さらに 4 つのポートが必要になります。

NFSv3 用のポート設定

NFS に使用されるポートは rpcbind サービスが動的に割り当てますが、ファイアウォールルールの作成時に問題を起こす恐れがあります。このプロセスを簡素化するには、/etc/sysconfig/nfs ファイルで、使用するポートを特定します。

MOUNTD_PORT - mountd (rpc.mountd) 用の TCP ポートおよび UDP ポート
STATD_PORT - status (rpc.statd) 用の TCP ポートおよび UDP ポート

Red Hat Enterprise Linux 7 では、/etc/modprobe.d/lockd.conf ファイルの NFS ロックマネージャー (nlockmgr) に対して TCP ポートおよび UDP ポートを設定します。

nlm_tcpport - nlockmgr (rpc.lockd) の TCP ポート
nlm_udpport - nlockmgr (rpc.lockd) の UDP ポート

指定したポート番号は、その他のサービスでは使用できません。指定したポート番号と、TCP および UDP のポート 2049 (NFS) を許可するようにファイアウォールを設定してください。カスタマイズできる NFS ロックマネージャーパラメーターの説明は /etc/modprobe.d/lockd.conf を参照してください。

NFS サーバーで rpcinfo -p コマンドを実行し、どのポートと RPC プログラムが使用されているかを確認します。

4.3.7.6. Red Hat identity Management でのセキュアな NFS

Red Hat Enterprise Linux に含まれる Red Hat Identity Management を使用する環境では、Kerberos 対応の NFS 設定は大幅に簡素化できます。

『Red Hat Enterprise Linux 7 Linux ドメイン ID、認証、およびポリシーガイド』を参照してください。特に Kerberos 対応の NFS サーバーの設定で、Red Hat Identity Management を使用して Kerberos で NFS のセキュリティを確保する方法を確認してください。

4.3.8. HTTP サーバーのセキュリティー保護

4.3.8.1. Apache HTTP サーバーのセキュリティー保護

Apache HTTP サーバーは Red Hat Enterprise Linux 7 に同梱されているサービスのなかで最も安定性があり安全なものの一つです。Apache HTTP サーバーを安全にするには多くのオプションとテクニックがあり、ここでそのすべてを詳述することはできません。以下のセクションでは、Apache HTTP サーバーの稼働時に実行できる優れた方法を簡単に説明します。

スクリプトを実稼働環境で実行する前に、常にそのシステムがシステム上で意図したとおりに稼働していることを確認してください。また、スクリプトもしくは CGI を含むディレクトリーに書き込みパーミッションを持っているのは root ユーザーのみであることを確認してください。これを行うには、root ユーザーで以下のコマンドを実行します。

chown root <directory_name>

chmod 755 <directory_name>

以下の設定オプションを (/etc/httpd/conf/httpd.conf 内の設定で) 使用する際は、システム管理者は注意してください。

FollowSymLinks

このディレクティブはデフォルトで有効となっているので、Web サーバーのドキュメントルートへのシンボリックリンク作成時には注意してください。例えば、/ へのシンボリックリンクを提供することはよい方法ではありません。

Indexes

このディレクティブはデフォルトで有効となっていますが、これが最適ではない可能性があります。ビジターがサーバー上のファイル閲覧をできないようにするには、このディレクティブを削除します。

UserDir

UserDir はシステム上でのユーザーアカウントの有無を確認できるので、デフォルトでは無効となっています。サーバー上のユーザーディレクトリーのブラウジングを有効にするには、以下のディレクティブを使用します。

UserDir enabled
	        UserDir disabled root

これらのディレクティブは、/root/ 以外のすべてのユーザーディレクトリーのブラウジングを有効にします。無効アカウントリストにユーザーを追加するには、UserDir disabled 行に空白で区切ったユーザーのリストを追加します。

サーバートークン

サーバートークン ディレクティブは、クライアントに返信されるサーバー応答ヘッダーフィールドを制御します。これには、以下のパラメーターを使用してカスタマイズできる種々の情報が含まれます。

ServerTokens Full (デフォルトのオプション) — (OS の種類や使用されるモジュールなど) 利用可能なすべての情報を提供します。例えば、
```
Apache/2.0.41 (Unix) PHP/4.2.2 MyMod/1.2
```
ServerTokens Prod または ServerTokens ProductOnly — 以下の情報を提供します。
```
Apache
```
ServerTokens Major — 以下の情報を提供します。
```
Apache/2
```
ServerTokens Minor — 以下の情報を提供します。
```
Apache/2.0
```
ServerTokens Min または ServerTokens Minimal — 以下の情報を提供します。
```
Apache/2.0.41
```
ServerTokens OS — 以下の情報を提供します。
```
Apache/2.0.41 (Unix)
```

潜在的な攻撃者がユーザーのシステムについて価値ある情報を取得できないないようにするには、ServerTokens Prod の使用が推奨されます。

重要

IncludesNoExec ディレクティブは削除しないでください。デフォルトでは、Server-Side Includes (SSI) モジュールはコマンドの実行ができません。絶対に必要な場合以外は、この設定を変更しないことが推奨されます。変更すると、攻撃者がシステム上でコマンドを実行できるようになる可能性があります。

httpd モジュールの削除

特定のシナリオでは、HTTP サーバーの機能を制限するために特定の httpd モジュールを削除することが有益です。これを行うには、/etc/httpd/conf.modules.d ディレクトリーで設定ファイルを変更します。たとえば、プロキシーモジュールを削除するためには、以下のコマンドを実行します。

echo '# All proxy modules disabled' > /etc/httpd/conf.modules.d/00-proxy.conf

/etc/httpd/conf.d/ ディレクトリーにもモジュールの読み込みに使われる設定ファイルが含まれていることに注意してください。

httpd および SELinux

詳細情報は、Red Hat Enterprise Linux 7 SELinux User's and Administrator's Guide の The Apache HTTP Server and SELinux の章を参照してください。

4.3.8.2. NGINX のセキュリティー保護

NGINX は、高性能の HTTP およびプロキシーサーバーです。本セクションでは、NGINX 設定を強化する追加手順を簡単に説明します。以下の設定変更は、すべて NGINX 設定ファイルの server セクションで行います。

バージョン文字列の無効化

サーバーでどのバージョンの NGINX が実行しているかを攻撃者に知られないようにするには、以下の設定オプションを使用します。

server_tokens        off;

これにより、NGINX が提供するすべての要求からバージョン番号が削除され、文字列 nginx だけが報告されます。

$ curl -sI http://localhost | grep Server
Server: nginx

追加のセキュリティー関連ヘッダーの追加

NGINX が提供する各要求には、特定の既知の web アプリケーションの脆弱性を緩和する HTTP ヘッダーを追加できます。

add_header X-Frame-Options SAMEORIGIN; - このオプションは、クリックジャック攻撃を効果的に軽減する、NGINX が処理するコンテンツを構成するドメイン外のページを拒否します。
add_header X-Content-Type-Options nosniff; - このオプションは、特定の古いブラウザーでの MIME タイプのスニッフィングを防ぎます。
add_header X-XSS-Protection "1; mode=block"; - このオプションは、XSS (Cross-Site Scripting) フィルタリングを有効にします。これにより、NGINX の応答に潜在的に悪意のあるコンテンツをブラウザーが表示しないようにします。

潜在的に有害なHTTPメソッドの無効化

有効にすると、HTTP メソッドの中には、Web アプリケーションをテストする開発者向けに設計された Web サーバー上のアクションを攻撃者が実行することを可能にするものもあります。たとえば、TRACE メソッドは、XST (Cross-Site Tracing) を許可することが知られています。

NGINX サーバーは、このような害のある HTTP メソッドを拒否し、任意のメソッドは、以下のようにホワイトリストに登録することで許可できます。

# Allow GET, PUT, POST; return "405 Method Not Allowed" for all others.
if ( $request_method !~ ^(GET|PUT|POST)$ ) {
    return 405;
}

SSL の設定

NGINX web サーバーが提供するデータを保護するには、HTTPS だけを使用することを検討してください。NGINX サーバーで SSL を有効にするために、安全な設定プロファイルを生成するには、Mozilla SSL Configuration Generator を参照してください。生成された設定は、既知の脆弱なプロトコル(SSLv2、SSLv3 など)、暗号、ハッシュアルゴリズム (3DES、MD5 など) が無効であることを保証します。

また、SSL サーバーテストを使用して、設定した内容が最新のセキュリティー要件を満たしていることを確認します。

4.3.9. FTP のセキュア化

File Transfer Protocol (FTP) は旧式の TCP プロトコルで、ネットワーク上でファイル転送するために設計されています。ユーザー認証を含むサーバーとのトランザクションがすべて暗号化されないので、安全でないプロトコルとみなされ、慎重に設定する必要があります。

Red Hat Enterprise Linux 7 は以下の 2 つの FTP サーバーを提供します。

Red Hat Content Accelerator (tux) — FTP 機能のあるカーネル空間の Web サーバーです。
vsftpd — スタンドアロンでセキュリティー重視の FTP サービス実装です。

以下のセキュリティーガイドラインは vsftpd FTP サービス設定のためのものです。

4.3.9.1. FTP グリーティングバナー

ユーザー名とパスワードの送信前に、すべてのユーザーにグリーティングバナーが示されます。デフォルトでは、このバナーにはシステムの脆弱性を特定しようとしているクラッカーに有益なバージョン情報が含まれています。

vsftpd のグリーティングバナーを変更するには、以下のディレクティブを /etc/vsftpd/vsftpd.conf ファイルに追加します。

ftpd_banner=<insert_greeting_here>

上記のディレクティブの <insert_greeting_here> をグリーティングメッセージのテキストで置き換えます。

複数行のバナーの場合、バナーファイルの使用が最善の方法となります。複数のバナーの管理を簡素化するには、/etc/banners/ という新規ディレクトリーにすべてのバナーを格納します。この例では、FTP 接続のバナーファイルは、/etc/banners/ftp.msg となります。以下はこのファイルのサンプルになります。

######### Hello, all activity on ftp.example.com is logged. #########

注記

「TCP Wrapperおよび xinetd によるサービスのセキュア化」にあるように、各行を 220 で始める必要はありません。

vsftpd でこのバナーを参照するようにするには、以下のディレクティブを /etc/vsftpd/vsftpd.conf ファイルに追加します。

banner_file=/etc/banners/ftp.msg

「TCP Wrapper と接続バナー」にあるように、 TCP Wrapper を使って着信接続に新たなバナーを送信することも可能です。

4.3.9.2. 匿名のアクセス

/var/ftp/ ディレクトリーが存在すると、匿名アカウントがアクティベートされます。

このディレクトリーを作成する最も簡単な方法は、vsftpd パッケージをインストールすることです。このパッケージは、匿名ユーザー向けのディレクトリーツリーを確立し、匿名ユーザーによる読み取り専用のパーミッションをディレクトリーに設定します。

デフォルトでは、匿名ユーザーはどのディレクトリーにも書き込みできません。

警告

FTP サーバーへの匿名アクセスを有効にする場合は、機密性の高いデータの保存場所に注意してください。

4.3.9.2.1. 匿名のアップロード

匿名ユーザーによるファイルのアップロードを許可する場合は、/var/ftp/pub/ 内に書き込み専用のディレクトリーを作成することが推奨されます。これを行うには、以下のコマンドを root で実行します。

~]# mkdir /var/ftp/pub/upload

次に、パーミッションを変更して、匿名ユーザーがディレクトリーのコンテンツを閲覧できないようにします。

~]# chmod 730 /var/ftp/pub/upload

ディレクトリーのロング形式での一覧は以下のようなります。

~]# ls -ld /var/ftp/pub/upload
drwx-wx---. 2 root ftp 4096 Nov 14 22:57 /var/ftp/pub/upload

管理者が匿名ユーザーによるディレクトリー内での書き込みや読み取りを許可すると、そのサーバーが盗難ソフトウェアのレポジトリになってしまう場合が多くあります。

vsftpd で、以下の行を /etc/vsftpd/vsftpd.conf ファイルに追加します。

anon_upload_enable=YES

4.3.9.3. ユーザーアカウント

FTP は安全でないネットワーク上で認証用のユーザー名とパスワードを暗号化せずに送信するので、ユーザーアカウントからサーバーへのシステムユーザーアクセスを拒否することが推奨されます。

vsftpd のすべてのユーザーアカウントを無効にするには、以下のディレクティブを /etc/vsftpd/vsftpd.conf に追加します。

local_enable=NO

4.3.9.3.1. ユーザーアカウントの制限

root ユーザーや sudo 権限を持つユーザーなど、特定のアカウントや特定のアカウントグループの FTP アクセスを無効にする最も簡単な方法は、「Root アクセスの拒否」にあるように PAM リストファイルを使用することです。vsftpd の PAM 設定ファイルは、/etc/pam.d/vsftpd です。

また、各サービス内で直接ユーザーアカウントを無効にすることもできます。

vsftpd で特定のユーザーアカウントを無効にするには、ユーザー名を /etc/vsftpd/ftpusers に追加します。

4.3.9.4. TCP Wrapper を使用してアクセスを制御する

FTP デーモンへのアクセスを制御するには、「TCP Wrapperおよび xinetd によるサービスのセキュア化」にあるように TCP Wrapper を使用します。

4.3.10. Postfix のセキュア化

Postfix はメール転送エージェント (MTA) で、他の MTA や Email クライアント、配信エージェント間で電子メッセージを配信するために Simple Mail Transfer Protocol (SMTP) を使用します。多くの MTA には MTA 間のトラフィックを暗号化する機能がありますが、ほとんど使用されていないので、公開ネットワーク上での Email 送信はもともと安全でない通信方法とみなされています。Postfix は Red Hat Enterprise Linux 7 のデフォルトの MTA として Sendmail に代わるものです。

Postfix サーバーの実装を計画している場合は、以下の問題に対処することが推奨されます。

4.3.10.1. サービス拒否攻撃を制限する

Email の性質上、攻撃者が本気になるとサーバーに大量のメールを送信し、サービス拒否を発生させることが簡単にできます。/etc/postfix/main.cf ファイル内のディレクティブに制限を設定すると、このような攻撃の有効性が制限されます。既存のディレクティブの値を変更するか、以下の形式で希望する値の必要なディレクティブを追加することもできます。

<directive> = <value>

サービス拒否攻撃の制限に使用できるディレクティブを以下に示します。

smtpd_client_connection_rate_limit — 一定の時間単位内 (下記を参照) にクライアントが当該サーバーに接続を試みることができる最大回数。デフォルト値は 0 で、この場合クライアントは Postfix が受付可能な回数内で時間単位当たり何回でも接続を試みることができます。デフォルトでは、信頼できるネットワーク内のクライアントは除外されます。
anvil_rate_time_unit — この時間単位は割合制限の計算に使用されます。デフォルト値は 60 秒です。
smtpd_client_event_limit_exceptions — 接続および割合制限のコマンドから除外されるクライアントです。デフォルトでは、信頼できるネットワーク内のクライアントは除外されます。
smtpd_client_message_rate_limit — 時間単位内でクライアントが要求可能な最大メッセージ配信数です (Postfix が実際にこの数のメッセージを受け付けるかどうかは別問題です)。
default_process_limit — あるサービスを提供する Postfix の子プロセスの最大デフォルト数です。この制限は、master.cf ファイル内の特定サービスによって無効にされる場合があります。デフォルト値は 100 です。
queue_minfree — メール受信に必要なキューファイルシステム内での空き領域の最低バイト数です。これは現在、Postfix SMTP サーバーがメールを受信するかどうかを判断するために使用しています。デフォルトでは、Postfix SMTP サーバーは、空き領域が message_size_limit の 1.5 倍未満であれば MAIL FROM コマンドを拒否します。空き領域の最低限度をより大きくするように指定するには、queue_minfree の値が少なくとも message_size_limit の 1.5 倍になるように指定します。デフォルトの queue_minfree 値は 0 です。
header_size_limit — メッセージヘッダー保存に使用するメモリの最大バイト数です。ヘッダーサイズがこの制限を超える場合は、超過分が廃棄されます。デフォルト値は 102400 です。
message_size_limit — メッセージの最大バイト数で、これにはエンベロープ情報も含まれます。デフォルト値は 10240000 です。

4.3.10.2. NFS と Postfix

メールスプールディレクトリー /var/spool/postfix/ を NFS 共有ボリュームに配置しないでください。NFSv2 と NFSv3 ではユーザー ID とグループ ID の制御を維持しないので、2 人以上のユーザーが同一 UID を持つ可能性があり、それぞれがお互いのメールを受信、閲覧してしまう可能性があります。

注記

Kerberos を使用する NFSv4 ではこういうことはありません。これは SECRPC_GSS カーネルモジュールが UID ベースの認証を使用しないためです。ただし、それでも NFS 共有ボリュームにメールスプールディレクトリーを 置かない 方がよいと考えられます。

4.3.10.3. メール専用ユーザー

ローカルユーザーによる Postfix サーバーの悪用を避けるには、メールユーザーが Email プログラムを使用して Postfix サーバーにアクセスするだけにするのが最善の方法です。メールサーバー上のシェルアカウントを許可せず、/etc/passwd ファイル内のすべてのユーザーシェルを /sbin/nologin に設定します (root ユーザーは例外とする場合もある)。

4.3.10.4. Postfix ネットワークリスニングの無効化

デフォルトでは、Postfix はローカルのループバックアドレスのみをリッスンするように設定されています。これは、/etc/postfix/main.cf ファイルを表示すると確認できます。

/etc/postfix/main.cf ファイルを閲覧して、以下の inet_interfaces 行のみが表示されることを確認してください。

inet_interfaces = localhost

これにより、Postfix はネットワークからではなく、(cron ジョブレポートなどの) ローカルシステムからのメールメッセージのみを受信することが確認できます。これがデフォルト設定で、Postfix をネットワーク攻撃から守ります。

ローカルホストの制限を取り除き、Postfix がすべてのインターフェースをリッスンできるようにするには、inet_interfaces = all と設定します。

4.3.10.5. Postfix が SASL を使用する設定

Postfix の Red Hat Enterprise Linux 7 バージョンは、SMTP 認証 (または SMTP AUTH) に Dovecot もしくは Cyrus SASL 実装を使用できます。SMTP 認証は、Simple Mail Transfer Protocol の拡張機能です。これを有効にすると、SMTP クライアントはサーバーとクライアントとの両方でサポートされ、受け入れられている認証方法を使って SMTP サーバーを認証しなくてはなりません。本セクションでは、Dovecot SASL 実装を利用するように Postfix を設定する方法を説明します。

Dovecot POP/IMAP サーバーをインストールして、Dovecot SASL 実装を使用するシステム上で利用可能とするには、root で以下のコマンドを実行します。

~]# yum install dovecot

Postfix SMTP サーバーは、UNIX ドメインソケット か TCP ソケット のいずれかを使って Dovecot SASL 実装と通信します。後者の方法は、Postfix と Dovecot アプリケーションが別個のマシンで実行中の場合にのみ、必要となります。UNIX ドメインソケットの方がよりすぐれたプライバシーを提供するので、本ガイドではこちらを推奨しています。

Postfix が Dovecot SASL 実装を使用するように指示するには、両方のアプリケーションで多くの設定変更が必要になります。以下の手順にしたがってください。

Dovecot のセットアップ

Dovecot のメインの設定ファイルである /etc/dovecot/conf.d/10-master.conf に以下の行を含めます (デフォルトの設定ファイルには、ほとんどの関連セクションがすでに記載されており、これらの行はコメント解除するだけです)。
```
service auth {
  unix_listener /var/spool/postfix/private/auth {
    mode = 0660
    user = postfix
    group = postfix
  }
}
```
上記の例では、Postfix と Dovecot の通信に UNIX ドメインソケットを使用することを仮定しています。また、Postfix SMTP サーバーの設定はデフォルトとしています。この設定では、メールキューが /var/spool/postfix/ ディレクトリーに配置され、アプリケーションは postfix のユーザーおよびグループで実行されることになります。この方法では、読み取りおよび書き込み許可は、postfix ユーザーおよびグループに限定されます。
別の方法では、以下の設定を使用すると Dovecot は TCP 経由で Postfix 認証要求をリッスンするようになります。
```
service auth {
  inet_listener {
    port = 12345
  }
}
```
上記の例では、12345 を、実際に使用するポート番号に置き換えます。
/etc/dovecot/conf.d/10-auth.conf 設定ファイルを編集して、Dovecot が Postfix SMTP サーバーに plain および login の認証メカニズムを提供するようにします。
```
auth_mechanisms = plain login
```

Postfix のセットアップ

Postfix の場合、メインの設定ファイルである /etc/postfix/main.cf を修正するだけです。以下の設定ディレクティブを追加もしくは編集します。

Postfix SMTP サーバーの SMTP 認証を有効にします。
```
smtpd_sasl_auth_enable = yes
```
Postfix が SMTP 認証に Dovecot SASL 実装を使用するように指示します。
```
smtpd_sasl_type = dovecot
```
Postfix キューディレクトリーの認証相対パスを提供します (相対パスを使用することで、Postfix サーバーが chroot で稼働しているかどうかにかかわらず、この設定が確実に機能するようになります)。
```
smtpd_sasl_path = private/auth
```
この手順では、Postfix と Dovecot 間の通信に UNIX ドメインソケットを使用することを前提します。通信に TCP ソケットを使用する場合で、Postfix が別のマシンにある Dovecot を探すように設定するには、以下のような設定値を使用します。
```
smtpd_sasl_path = inet:127.0.0.1:12345
```
上記の例では、127.0.0.1 を Dovecot マシンの IP アドレスに、12345 を Dovecot の /etc/dovecot/conf.d/10-master.conf 設定ファイルで指定されているポート番号に置き換えます。
Postfix SMTP サーバーがクライアントに対して利用可能とする SASL メカニズムを指定します。暗号化セッションと非暗号化セッションでは、異なるメカニズムを設定できることに注意してください。
```
smtpd_sasl_security_options = noanonymous, noplaintext
smtpd_sasl_tls_security_options = noanonymous
```
上記の例では、非暗号化セッション中は匿名認証が許可されず、暗号化されていないユーザー名やパスワードを送信するメカニズムも許可されません。(TLS を使用した) 暗号化セッションでは、匿名でない認証メカニズムのみが許可されます。
許可される SASL メカニズムを制限する対応ポリシー全一覧は、http://www.postfix.org/SASL_README.html#smtpd_sasl_security_options を参照してください。

その他のリソース

以下のオンラインのリソースでは、SASL による Postfix SMTP 認証の設定に便利な追加情報が提供されています。

http://wiki2.dovecot.org/HowTo/PostfixAndDovecotSASL — SMTP 認証に Dovecot SASL 実装を使用するための Postfix の設定方法が説明されています。
http://www.postfix.org/SASL_README.html#server_sasl — SMTP 認証に Dovecot または Cyrus SASL 実装を使用するための Postfix の設定方法が説明されています。

4.3.11. SSH のセキュア化

Secure Shell (SSH) は、セキュアなチャネル上で別のシステムと通信するために使用される強力なネットワークプロトコルです。SSH 上の送信は暗号化され、傍受から保護されます。暗号化ログインを使用して、従来のユーザー名とパスワードよりも優れた認証方法を提供することもできます。SSH プロトコルと Red Hat Enterprise Linux 7 における SSH サービスの使用方法についての一般的な情報は、Red Hat Enterprise Linux 7 システム管理者のガイドの OpenSSH の章を参照してください。

重要

本セクションでは、SSH 設定のセキュア化における最も一般的な方法にフォーカスしてきました。ただし、ここで提案された方法が網羅的または決定的であるというわけではありません。sshd デーモンの動作修正に利用可能な設定ディレクティブすべてについての説明は sshd_config(5) の man ページを、基本的な SSH の概念については ssh(1) の man ページを参照してください。

4.3.11.1. 暗号化ログイン

SSH は、コンピューターにログインするための暗号化鍵の使用をサポートしています。これはパスワードのみの使用よりもはるかに安全です。この方法を他の認証方法と組み合わせると、マルチファクター認証 (multifactor authentication) と見なすことができます。マルチ認証方法についての詳細は、「複数の認証方法」を参照してください。

認証における暗号鍵の使用を有効にするには、/etc/ssh/sshd_config ファイルの PubkeyAuthentication 設定ディレクティブを yes に設定する必要があります。これがデフォルト設定であることに注意してください。PasswordAuthentication ディレクティブを no に設定すると、ログインでのパスワード使用が無効になります。

SSH 鍵は ssh-keygen コマンドを使用して生成できます。引数なしでこれを実行すると、2048 ビットの RSA 鍵のセットが作成されます。デフォルトでは、この鍵は ~/.ssh/ ディレクトリーに保存されます。-b スイッチを使用すると、鍵のビット強度を修正できます。通常は、2048 ビット鍵で十分な強度が提供されます。鍵のペアの生成に関する詳細情報は、『Red Hat Enterprise Linux 7 システム管理者のガイド』の「OpenSSH の設定」の章を参照してください。

~/.ssh/ ディレクトリーに、2 つの鍵が見つかるはずです。ssh-keygen コマンドの実行時にデフォルトを受け入れると、生成されるファイル名は id_rsa と id_rsa.pub になり、それぞれに秘密鍵と公開鍵が含まれます。秘密鍵はファイルの所有者のみが読み取り可能として、公開されないように常に保護してください。ただし公開鍵は、ログインするシステムに送信する必要があります。ssh-copy-id コマンドを使用すると、サーバーにこの鍵を移動することができます。

~]$ ssh-copy-id -i [user@]server

このコマンドを使用すると、server 上の ~/.ssh/authorized_keys ファイルに公開鍵が自動的に追加されます。このファイルは、ユーザーがサーバーへのログインを試みる際に sshd デーモンによってチェックされます。

パスワードやその他の認証メカニズムと同様に、SSH 鍵は定期的に変更する必要があります。その際、authorized_keys ファイルから使用されていない鍵を必ず削除してください。

4.3.11.2. 複数の認証方法

マルチファクター認証とも呼ばれる複数の認証方式を使用すると、権限のないアクセスに対する保護のレベルが高まります。このため、システムのセキュリティーを強化する際には、マルチファクター認証を検討してください。マルチファクター認証を使用するシステムにログインしようとすると、ユーザーは指定されたすべての認証方式で成功しないと、アクセスが認められません。

使用する認証方式を指定するには、/etc/ssh/sshd_config ファイル内の AuthenticationMethods 設定ディレクティブを使用します。このディレクティブでは、必要となる認証方式の複数のリストを定義できることに注意してください。複数を定義する場合は、各方式を少なくとも 1 つのリストで定義する必要があります。各リストは空白で区切ります。リスト内の各認証方式の名前はコンマ区切りとします。例を示します。

AuthenticationMethods publickey,gssapi-with-mic publickey,keyboard-interactive

上記の AuthenticationMethods ディレクティブを使って設定された sshd デーモンは、ユーザーが publickey 認証の後に gssapi-with-mic または keyboard-interactive 認証でログインを完了した場合にのみ、アクセスを許可します。必要とされる認証方式はそれぞれ、/etc/ssh/sshd_config ファイル内の対応する設定ディレクティブ (PubkeyAuthentication など) で明示的に有効となっている必要があることに注意してください。利用可能な認証方式の全般的なリストは、ssh(1) man ページの『AUTHENTICATION』セクションを参照してください。

4.3.11.3. SSH の他のセキュア化

プロトコルのバージョン

Red Hat Enterprise Linux 7 で提供される SSH プロトコルは、SSH クライアントに対しては SSH-1 と SSH-2 の両バージョンを引き続ぎサポートしますが、可能な場合は常に後者のみを使用してください。SSH-2 バージョンには、旧式の SSH-1 の多くの改善点が含まれており、高度な設定オプションの多くは SSH-2 でのみ使用可能となっています。

Red Hat は、SSH プロトコルによる認証と対象となる通信の保護を最大限まで活用するために、SSH-2 を使用することを推奨します。sshd デーモンがサポートするプロトコルのバージョンは、/etc/ssh/sshd_config ファイル内で Protocol 設定ディレクティブを使用して指定できます。デフォルト設定は 2 になります。SSH-2 バージョンは、Red Hat Enterprise Linux 7 の SSH サーバーでサポートされる唯一のバージョンであることに注意してください。

鍵のタイプ

ssh-keygen コマンドはデフォルトで SSH-2 RSA 鍵のペアを生成しますが、-t オプションを使うと、DSA または ECDSA 鍵を生成するように指示することもできます。ECDSA (Elliptic Curve Digital Signature Algorithm) は、同じ対称鍵の長さでより優れたパフォーマンスを提供します。また、より短い鍵も生成します。

デフォルト以外のポート

デフォルトでは、sshd デーモンは TCP ポート 22 をリッスンします。ポートを変更すると、自動ネットワークスキャンに基づく攻撃に対するシステムの露出が減り、セキュリティーが強化されます。ポートは、/etc/ssh/sshd_config 設定ファイルの Port ディレクティブで指定できます。デフォルト以外のポート使用を可能にするには、デフォルトの SELinux ポリシーの変更も必要になることに注意してください。これは、root で以下のコマンドを実行して ssh_port_t SELinux タイプを修正することで可能になります。

~]# semanage -a -t ssh_port_t -p tcp port_number

上記のコマンドでは、port_number を Port ディレクティブで指定する新たなポート番号に置き換えます。

Root 以外のログイン

特定のユースケースで root ユーザーとしてのログインが必要ない場合は、/etc/ssh/sshd_config ファイルで PermitRootLogin 設定ディレクティブを no に設定することを検討してください。root ユーザーとしてのログインの可能性をなくすことで、どのユーザーが通常のユーザーとしてログインした後に root 権限を獲得し、権限のあるコマンドを実行したかを管理者が監査できるようになります。

⁠X セキュリティー拡張機能の使用

Red Hat Enterprise Linux 7 クライアントの X サーバーは、X セキュリティー拡張機能を提供しません。したがって、クライアントは、X11 転送を使用して、信頼されていない SSH サーバーに接続する場合に、別のセキュリティーレイヤーを要求できません。いずれにしても、多くのアプリケーションでは、この機能を有効にして実行することはできません。デフォルトでは、/etc/ssh/ssh_config ファイルの ForwardX11Trusted オプションが yes に設定されています。ssh -X remote_machine (信頼されていないホスト) コマンドおよび ssh -Y remote_machine (信頼されているホスト) コマンドには違いがありません。

警告

Red Hat は、信頼されていないホストへの接続時には X11 転送を使用しないことを推奨します。

4.3.12. PostgreSQL のセキュリティー確保

PostgreSQL は、オブジェクト関係データベース管理システム (DBMS) です。Red Hat Enterprise Linux 7 では、PostgreSQL は postgresql-server パッケージが提供します。インストールされていない場合は、以下のコマンドを root ユーザーとして実行してインストールしてください。

~]# yum install postgresql-server

PostgreSQL の使用を開始する前に、ディスクにあるデータベースのストレージ領域を初期化する必要があります。これは、データベースのクラスターと呼ばれます。データベースのクラスターを初期化するには、PostgreSQL と合わせてインストールされる initdb のコマンドを使用します。データベースクラスターの希望のファイルシステムの場所は、-D オプションで指定することができます。以下に例を示します。

~]$ initdb -D /home/postgresql/db1

initdb コマンドでは、ディレクトリーが存在しない場合にはそのディレクトリーの作成が試行されます。今回の例では、/home/postgresql/db1 という名前を使用します。/home/postgresql/db1 ディレクトリーには、データベースに保存するデータすべてと、クライアント認証の設定ファイルが含まれます。

~]$ cat pg_hba.conf
# PostgreSQL Client Authentication Configuration File
# This file controls: which hosts are allowed to connect, how clients
# are authenticated, which PostgreSQL user names they can use, which
# databases they can access.  Records take one of these forms:
#
# local      DATABASE  USER  METHOD  [OPTIONS]
# host       DATABASE  USER  ADDRESS  METHOD  [OPTIONS]
# hostssl    DATABASE  USER  ADDRESS  METHOD  [OPTIONS]
# hostnossl  DATABASE  USER  ADDRESS  METHOD  [OPTIONS]

pg_hba.conf ファイルに以下の行を追加すると、認証済みのローカルユーザーが自分のユーザー名を使用してどのデータベースにもアクセスできるようになります。

local   all             all                                     trust

データベースユーザーを作成して、ローカルユーザーは作成しない階層式のアプリケーションを使用する場合には問題となる可能性があります。システム上のユーザー名をすべて明示的に制御しない場合には、pg_hba.conf ファイルからこの行を削除してください。

4.3.13. Docker のセキュリティー確保

Docker は Linux のコンテナー内のアプリケーションのデプロイメントを自動化して、ランタイムの依存関係とアプリケーションをコンテナーにパッケージ化する機能を提供するオープンソースのプロジェクトです。Docker のワークフローのセキュリティーを強化する方法は、『Red Hat Enterprise Linux Atomic Host 7 コンテナーセキュリティーガイド』を参照してください。

4.3.14. DDoS 攻撃に対する memcached の保護

Memcached は、オープンソースの高性能な分散メモリーオブジェクトキャッシングシステムです。本来は包括的なものですが、主にデータベースの負荷を下げることで、動的な Web アプリケーションのパフォーマンスを向上させるために使用されます。

Memcached は、データベース呼び出し、API 呼び出し、またはページレンダリングの結果から得られる、文字列やオブジェクトなどの小さい任意のデータに使用されるメモリー内 Key-Value ストアです。Memcached を使用すると、アプリケーションは必要とされる以上の容量があるシステムからメモリーを取得し、アプリケーションが足りない領域にアクセスできるようになります。

memcached の脆弱性

2018 年、公衆インターネットに公開されている memcached サーバーを悪用する DDoS アンプ攻撃の脆弱性が見つかりました。この攻撃は、トランスポートに UDP プロトコルを使用した memcached 通信を利用します。この攻撃は増幅率が高く、数百バイトのサイズの要求で、数メガバイト、または数百メガバイトの応答を生成する可能性があります。この問題には CVE-2018-1000115 が割り当てられています。

ほとんどの場合は、memcached サービスを、公衆インターネットに公開する必要はありません。このような公開には特有のセキュリティ問題があり、memcached に保存されている情報をリモートの攻撃者が漏洩または変更できるようになります。

memcached の強化

セキュリティーのリスクを軽減するには、次の中から、お使いの構成に応じてできるだけ多くの手順を実行します。

LAN にファイアウォールを設定してください。memcached サーバーへのアクセスをローカルネットワークに制限する必要がある場合は、memcached で使用されるポートへの外部トラフィックを許可しないでください。たとえば、デフォルトで memcached が使用するポート 11211 を、許可ポートのリストから削除します。
```
~]# firewall-cmd --remove-port=11211/udp
~]# firewall-cmd --runtime-to-permanent
```
firewalld コマンドを使用して、特性の IP 範囲でポート 11211 を使用できるようにする方法は「ゾーンを使用し、ソースに従って着信トラフィックの管理」を参照してください。
クライアントで実際にこのプロトコルが必要な場合を除いて、/etc/sysconfig/memcached ファイルの OPTIONS 変数に -U 0 -p 11211 を追加して UDP を無効にします。
```
OPTIONS="-U 0 -p 11211"
```
アプリケーションと同じマシン上で memcached サーバーを 1 台のみ使用している場合は、localhost トラフィックのみをリッスンするように memcached を設定してください。/etc/sysconfig/memcached の OPTIONS に -l 127.0.0.1,::1 を追加します。
```
OPTIONS="-l 127.0.0.1,::1"
```
認証を変更することが可能な場合は、SASL (Simple Authentication and Security Layer) 認証を有効にします。
1. /etc/sasl2/memcached.conf ファイルで、以下のように修正または追加します。
  sasldb_path: /path.to/memcached.sasldb
2. SASL データベースにアカウントを追加します。
  ~]# saslpasswd2 -a memcached -c cacheuser -f /path.to/memcached.sasldb
3. データベースが memcached ユーザーおよびグループからアクセス可能であることを確認してください。
  ~]# chown memcached:memcached /path.to/memcached.sasldb
4. /etc/sysconfig/memcached の OPTIONS に -S を追加して、memcached で SASL サポートを有効にします。
  OPTIONS="-S"
5. memcached サーバーを再起動して、変更を適用します。
6. SASL データベースに作成したユーザー名とパスワードを、アプリケーションの memcached クライアント構成に追加します。
memcached のクライアントとサーバーとの間の通信を stunnel で暗号化します。memcached は TLS をサポートしていないため、回避策として、memcached プロトコル上で TLS を提供する、stunnel などのプロキシーを使用します。
stunnel を、PSK (Pre Shared Keys) を使用するように設定することも、ユーザー証明書を使用するように設定することもできます。証明書を使用すると、認証されたユーザーだけが memcached サーバーにアクセスでき、トラフィックは暗号化されます。
重要
トンネルを使用して memcached にアクセスする場合は、サービスが localhost のみをリッスンしているか、ファイアウォールによってネットワークから memcached ポートへのアクセスが妨げられていることを確認してください。
詳細は「stunnel の使用」を参照してください。

4.4. ネットワークアクセスのセキュア化

4.4.1. TCP Wrapperおよび xinetd によるサービスのセキュア化

TCP Wrapper では、単にサービスへのアクセスを拒否する以上のことができます。このセクションでは、TCP Wrapper を使用して接続バナーを送信し、特定ホストからの攻撃に対して警告し、ロギング機能を強化する方法を説明します。TCP Wrapper の機能および制御言語は、man ページの hosts_options(5) を参照してください。サービスに適用可能なオプションとして機能する利用可能なフラグは、man ページの xinetd.conf(5) を参照してください。

4.4.1.1. TCP Wrapper と接続バナー

システム管理者が警戒していることを潜在的な攻撃者に知らせるには、ユーザーがサービスに接続する際に適切なバナーを表示させるのがよい方法です。また、ユーザーに対してシステムのどの情報を表示させるかを制御することもできます。サービスに TCP Wrapper のバナーを実装するには、banner オプションを使用します。

以下の例では、vsftpd にバナーを導入します。最初にバナーファイルを作成します。これはシステム上のどこでも構いませんが、デーモンと同じ名前にする必要があります。たとえば、ファイル名 /etc/banners/vsftpd には以下の行が含まれます。

220-Hello, %c
220-All activity on ftp.example.com is logged.
220-Inappropriate use will result in your access privileges being removed.

%c トークンは、ユーザー名およびホスト名、またはユーザー名および IP アドレスなどの幅広いクライアント情報を提供し、接続をより脅威的なものにします。

このバナーを受信接続に表示させるには、以下の行を /etc/hosts.allow ファイルに追加します。

vsftpd : ALL : banners /etc/banners/

4.4.1.2. TCP Wrapper と攻撃警告

特定のホストまたはネットワークによるサーバーへの攻撃が検出された場合、TCP Wrapper は spawn ディレクティブを使ってそのホストまたはネットワークからのその後の攻撃について管理者に警告することができます。

以下の例では、206.182.68.0/24 ネットワークからのクラッカーがサーバーに攻撃を仕掛けようとしていることが検出されたとします。/etc/hosts.deny ファイルに以下の行を挿入すると、そのネットワークからの接続の試みが拒否され、特別ファイルにログ記録されます。

ALL : 206.182.68.0 : spawn /bin/echo `date` %c %d >> /var/log/intruder_alert

%d トークンは、攻撃者がアクセスを試みるサービス名を提供します。

接続とログインを許可するには、 spawn ディレクティブを /etc/hosts.allow ファイル内に置きます。

注記

spawn ディレクティブはどんなシェルコマンドも実行するので、特定のクライアントがサーバーに接続しようとする際に、管理者に通知したり一連のコマンドを実行したりする特別スクリプトを作成するとよいでしょう。

4.4.1.3. TCP Wrapper とロギングの強化

特定の種類の接続が他のものよりも懸念される場合は、severity オプションを使うと該当サービスに対するログレベルを高めることができます。

以下の例では、FTP サーバーのポート 23 (Telnet ポート) への接続はクラッカーによるものとします。これを示すために、デフォルトのフラグである info の代わりに emerg フラグをログファイルに置いて接続を拒否します。

これを実行するには、以下の行を /etc/hosts.deny に挿入します。

in.telnetd : ALL : severity emerg

これはデフォルトの authpriv ロギング機能を使用しますが、優先順位をデフォルト値の info から emerg に引き上げ、ログメッセージを直接コンソールに投稿します。

4.4.2. リッスンしているポートの確認

攻撃の可能性を回避するために、未使用のポートを閉じることが重要です。リッスンしている状態における予期しないポートについて、侵入の可能性を調査する必要があります。

開いているポートスキャンに対する netstat 使用

root で以下のコマンドを実行し、ネットワークから接続をリッスンするポートを確認します。

~]# netstat -pan -A inet,inet6 | grep -v ESTABLISHED
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address       Foreign Address    State     PID/Program name
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      1/systemd
tcp        0      0 192.168.124.1:53        0.0.0.0:*               LISTEN      1829/dnsmasq
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1176/sshd
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1177/cupsd
tcp6       0      0 :::111                  :::*                    LISTEN      1/systemd
tcp6       0      0 ::1:25                  :::*                    LISTEN      1664/master
sctp              0.0.0.0:2500                                      LISTEN   20985/sctp_darn
udp        0      0 192.168.124.1:53        0.0.0.0:*                           1829/dnsmasq
udp        0      0 0.0.0.0:67              0.0.0.0:*                           977/dhclient
...

netstat コマンドの -l オプションを使用して、リッスンしているサーバーのみを表示します。

~]# netstat -tlnw
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN
tcp        0      0 192.168.124.1:53        0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN
tcp6       0      0 :::111                  :::*                    LISTEN
tcp6       0      0 :::22                   :::*                    LISTEN
tcp6       0      0 ::1:631                 :::*                    LISTEN
tcp6       0      0 ::1:25                  :::*                    LISTEN
raw6       0      0 :::58                   :::*                    7

開いているポートスキャンに対する ss の使用

もしくは、ss ユーティリティーを使用して、リッスンしている状態で開いているポートの一覧を表示します。netstat を使用するよりも、TCP およびステータス情報の量が多くなります。

~]# ss -tlw
etid State      Recv-Q Send-Q     Local Address:Port                      Peer Address:Port
udp   UNCONN     0      0                     :::ipv6-icmp                           :::*
tcp   LISTEN     0      128                    *:sunrpc                               *:*
tcp   LISTEN     0      5          192.168.124.1:domain                               *:*
tcp   LISTEN     0      128                    *:ssh                                  *:*
tcp   LISTEN     0      128            127.0.0.1:ipp                                  *:*
tcp   LISTEN     0      100            127.0.0.1:smtp                                 *:*
tcp   LISTEN     0      128                   :::sunrpc                              :::*
tcp   LISTEN     0      128                   :::ssh                                 :::*
tcp   LISTEN     0      128                  ::1:ipp                                 :::*
tcp   LISTEN     0      100                  ::1:smtp                                :::*

~]# ss -plno -A tcp,udp,sctp
Netid State      Recv-Q Send-Q       Local Address:Port                      Peer Address:Port
udp   UNCONN     0      0            192.168.124.1:53                                   *:*                   users:(("dnsmasq",pid=1829,fd=5))
udp   UNCONN     0      0                 *%virbr0:67                                   *:*                   users:(("dnsmasq",pid=1829,fd=3))
udp   UNCONN     0      0                        *:68                                   *:*                   users:(("dhclient",pid=977,fd=6))
...
tcp   LISTEN     0      5            192.168.124.1:53                                   *:*                   users:(("dnsmasq",pid=1829,fd=6))
tcp   LISTEN     0      128                      *:22                                   *:*                   users:(("sshd",pid=1176,fd=3))
tcp   LISTEN     0      128              127.0.0.1:631                                  *:*                   users:(("cupsd",pid=1177,fd=12))
tcp   LISTEN     0      100              127.0.0.1:25                                   *:*                   users:(("master",pid=1664,fd=13))
...
sctp  LISTEN     0      5                        *:2500                                 *:*                   users:(("sctp_darn",pid=20985,fd=3))

UNCONN は、UDP をリッスンしているモードでポートを表示します。

外部システムから (localhost 127.0.0.0 または ::1 範囲外で) ss 出力における各 IP アドレスに対してスキャンします。IPv6 アドレスをスキャンする -6 オプションを使用します。

次に、ネットワーク経由で最初のシステムに接続した別のリモートマシンから nmap ツールを使用して外部チェックを行います。これは、firewalld でのルールを確認するために使用できます。以下は、TCP 接続にどのポートをリッスンしているかを確認する例です。

~]# nmap -sT -O 192.168.122.65
    Starting Nmap 6.40 ( http://nmap.org ) at 2017-03-27 09:30 CEST
    Nmap scan report for 192.168.122.65
    Host is up (0.00032s latency).
    Not shown: 998 closed ports
    PORT    STATE SERVICE
    22/tcp  open  ssh
    111/tcp open  rpcbind
    Device type: general purpose
    Running: Linux 3.X
    OS CPE: cpe:/o:linux:linux_kernel:3
    OS details: Linux 3.7 - 3.9
    Network Distance: 0 hops

    OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
    Nmap done: 1 IP address (1 host up) scanned in 1.79 seconds

TCP SYN スキャン (-sS) がオプションでない場合に、TCP SYN スキャン (-sT) はデフォルトの TCP スキャンのタイプとなります。-O オプションは、ホストのオペレーティングシステムを検出します。

netstat および ss を使用して、SCTP のオープンポートに対してスキャン

netstat ユーティリティーは、Linux ネットワーキングサブシステムの情報を出力します。SCTP (Stream Control Transmission Protocol) のオープンポートでプロトコルの統計を表示するために、root で以下のコマンドを実行します。

~]# netstat -plnS
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address   Foreign Address  State    PID/Program name
sctp                127.0.0.1:250                    LISTEN   4125/sctp_darn
sctp       0      0 127.0.0.1:260   127.0.0.1:250    CLOSE    4250/sctp_darn
sctp       0      0 127.0.0.1:250   127.0.0.1:260    LISTEN   4125/sctp_darn

~]# netstat -nl -A inet,inet6 | grep 2500
sctp                0.0.0.0:2500                                    LISTEN

ss ユーティリティーは、SCTP のオープンポートを表示できます。

~]# ss -an | grep 2500
sctp   LISTEN     0      5         *:2500                  *:*

詳細は、man ページの ss(8)、netstat(8)、nmap(1)、services(5) を参照してください。

4.4.3. ソースルーティングの無効化

ソースルーティングはインターネットプロトコルメカニズムで、IP パケットがアドレス一覧の情報を持ち運べるようにします。このアドレスは、パケットが通過する必要のあるパスをルーターに知らせるものです。ルートを移動する際にホップを記録するオプションもあります。「ルート記録」と呼ばれるホップの記録は、宛先にソースまでの帰りのパスを提供します。これによりソースは (つまり送信ホスト)、すべてもしくは一部のルーターのルーティングテーブルを無視して、ルートを厳密もしくは緩やかに特定することができます。これによりユーザーは、不正目的でネットワークトラフィックをリダイレクトすることが可能になります。このため、ソースベースのルーティングは無効にする必要があります。

accept_source_route オプションを使用すると、ネットワークインターフェースが 厳密なソースルーティング (SSR) もしくは 緩やかなソースルーティング (LSR) オプションセットのあるパケットを受け付けるようになります。ソースルーティングパケットの許可は sysctl 設定で制御します。以下のコマンドを root で実行し、SSR または LSR オプションセットのあるパケットを遮断します。

~]# /sbin/sysctl -w net.ipv4.conf.all.accept_source_route=0

パケット転送の無効化は、可能な場合は上記のコマンドと合わせて行うべきです (転送の無効化は仮想化に影響する場合があります)。以下のコマンドを root で発行します。

このコマンドは、すべてのインターフェースで IPv4 パケットおよび IPv6 パケットの転送を無効にします。

~]# /sbin/sysctl -w net.ipv4.conf.all.forwarding=0

~]# /sbin/sysctl -w net.ipv6.conf.all.forwarding=0

このコマンドは、すべてのインターフェースで全マルチキャストパケットの転送を無効にします。

~]# /sbin/sysctl -w net.ipv4.conf.all.mc_forwarding=0

~]# /sbin/sysctl -w net.ipv6.conf.all.mc_forwarding=0

ICMP リダイレクトの受信が正当に使用される場合はほとんどありません。ICMP リダイレクトパケットは特に必要でなければ、その受信と送信を無効にしてください。

以下のコマンドは、すべてのインターフェースですべての ICMP リダイレクトパケットの受信を無効にします。

~]# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects=0

~]# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects=0

以下のコマンドは、すべてのインターフェースでセキュアな ICMP リダイレクトパケットの受信を無効にします。

~]# /sbin/sysctl -w net.ipv4.conf.all.secure_redirects=0

以下のコマンドは、すべてのインターフェースですべての IPv4 ICMP リダイレクトパケットの受信を無効にします。

~]# /sbin/sysctl -w net.ipv4.conf.all.send_redirects=0

重要

net.ipv4.conf.all.send_redirects オプションまたは net.ipv4.conf.interface.send_redirects オプションのいずれかまたは両方を有効に設定すると、ICMP リダイレクトの送信が有効のままになります。各 インターフェース で、net.ipv4.conf.interface.send_redirects オプションを 0 に設定します。新しいインターフェースを追加するたびに、ICMP リクエストの送信を自動的に無効にするには、以下のコマンドを実行します。

~]# /sbin/sysctl -w net.ipv4.conf.default.send_redirects=0

ディレクティブだけが、IPv4 リダイレクトパケットの送信を無効にできます。IPv4 と IPv6 の差異を生み出している「IPv6 Node Requirements」の説明は、RFC4294 を参照してください。

注記

このような設定が再起動後も持続するようにするには、/etc/sysctl.conf ファイルを修正します。たとえば、すべてのインターフェースで IPv4 ICMP リダイレクトパケットの許可を無効にするには、root 権限でエディターを実行して /etc/sysctl.conf ファイルを開きます。追加する行は

net.ipv4.conf.all.send_redirects=0

のようになります。

詳細は sysctl の man ページ sysctl(8) を参照してください。ソースベースのルーティングおよびそのバリエーションに関連するインターネットオプションの説明については、RFC791 を参照してください。

警告

イーサネットネットワークは、ARP や MAC アドレススプーフィング、権限のない DHCP サーバー、IPv6 ルーターまたは近隣アドバタイズメントといったトラフィックをリダイレクトする新たな方法を提供します。さらに、ユニキャストトラフィックはブロードキャストの場合もたまにあり、情報の漏洩を引き起こします。これらの脆弱性は、ネットワークオペレーター導入する特定の対策によってのみ、対処可能になります。ホストベースの対応策の有効性は、完全なものではありません。

4.4.3.1. 逆方向パス転送

逆方向パス転送は、あるインターフェースから着信したパケットが異なるインターフェース経由で去ってしまうことを防ぐために使用されます。送信ルートと着信ルートが異なる場合は、非対称ルーティング と呼ばれる場合もあります。ルーターがパケットをこの方法でルート設定することはよくありますが、ほとんどのホストはこのようなことをする必要はないはずです。例外として挙げられるのは、トラフィックをあるリンクで送信し、異なるサービスプロバイダーから別のリンクでトラフィックを受け取るアプリケーションです。たとえば、xDSL との組み合わせで専用回線を使っている場合や、3G モデムを使ったサテライトリンクなどの場合です。このようなシナリオが該当する場合は、着信インターフェースで逆方向パス転送をオフにすることが必要になります。つまり、これが必要だと分かっている場合を除いて、有効にしておくのが最善の方法です。これは、ローカルサブネットからユーザーが IP アドレスをスプーフィングすることを防ぎ、DDoS 攻撃の機会を減らすためです。

注記

Red Hat Enterprise Linux 7 はデフォルトで 厳密な逆方向パス転送 (RPF: Reverse Path Forwarding) を使用します。これは、RFC 3704, Ingress Filtering for Multihomed Networks の厳密な逆方向パスに関する推奨事項に準拠します。

警告

転送が有効になっていれば、(iptables ルールなど) ソースアドレス確認に他の方法がある場合にのみ、逆方向パス転送を無効にしてください。

rp_filter

逆方向パス転送は rp_filter ディレクティブで有効にします。sysctl ユーティリティーを使用すると、稼働中のシステムに変更を加えることができます。永続的な変更は、/etc/sysctl.conf ファイルに行を追加して行えます。rp_filter オプションは、カーネルが 3 つのいずれかのモードから選択することを指示するために使用されます。

一時的なグローバル変更を行うには、root で以下のコマンドを入力します。

sysctl -w  net.ipv4.conf.default.rp_filter=integer
sysctl -w net.ipv4.conf.all.rp_filter=integer

ここで、integer は、以下のいずれかになります。

0 — ソース確認なし
1 — RFC 3704 で定義された厳密なモード。
2 — RFC 3704 で定義された緩慢なモード。

この設定は、以下のように net.ipv4.conf.interface.rp_filter コマンドを使用してネットワークインターフェースごとに上書きできます。

sysctl -w net.ipv4.conf.interface.rp_filter=integer

注記

これらの設定を再起動しても保持するには、/etc/sysctl.conf ファイルを変更します。たとえば、すべてのインターフェースのモードを変更するには、 root ユーザーとして実行しているエディターで /etc/sysctl.conf ファイルを開き、以下のような行を追加します。

net.ipv4.conf.all.rp_filter=2

IPv6_rpfilter

IPv6 プロトコルの場合は、firewalld デーモンはデフォルトで逆方向パス転送が適用されます。この設定は、/etc/firewalld/firewalld.conf ファイルで確認できます。IPv6_rpfilter オプションを設定すると firewalld の動作を変更することができます。

逆方向パス転送のカスタム設定が必要な場合には、

ip6tables -t raw -I PREROUTING -m rpfilter --invert -j DROP

のように ip6tables コマンドを使用することで firewalld なしで実行できます。このルールは、すべてのトラフィックに適用されるように、特にステートフルの一致ルールの前で raw/PREROUTING チェーンの開始部分の近くに挿入する必要があります。iptables および ip6tables サービスに関する詳しい情報は「iptables を使用して IP セットの設定および制御」を参照してください。

パケット転送の有効化

別の外部ホストに転送したシステム外から到着したパケットを有効にするには、カーネルで IP 転送が有効になっている必要があります。root でログインし、/etc/sysctl.conf ファイルの net.ipv4.ip_forward = 0 を読み込む行を以下のように設定します。

net.ipv4.ip_forward = 1

/etc/sysctl.conf ファイルから変更をロードするには、以下のコマンドを実行します。

/sbin/sysctl -p

IP 転送が有効になっているのを確認するには、root で以下のコマンドを実行します。

/sbin/sysctl net.ipv4.ip_forward

このコマンドが 1 を返す場合は、IP 転送が有効になっています。0 を返す場合は、以下のコマンドを実行して手動で有効にできます。

/sbin/sysctl -w net.ipv4.ip_forward=1

4.4.3.2. その他のリソース

以下のリソースでは、逆方向パス転送について詳細な説明が提供されています。

インストール済みドキュメンテーション
/usr/share/doc/kernel-doc-version/Documentation/networking/ip-sysctl.txt - このファイルには、このディレクトリーで使用可能なファイルおよびオプションの完全な一覧が含まれています。初めてカーネルドキュメンテーションにアクセスする場合は、root で以下のコマンドを実行します。
```
~]# yum install kernel-doc
```
オンラインドキュメンテーション
Ingress Filtering for Multihomed Networks の説明については、RFC 3704 を参照してください。

4.5. DNSSEC を使った DNS トラフィックのセキュア化

4.5.1. DNSSEC の概要

DNSSEC は、Domain Name System Security Extensions (DNSSEC : ドメイン名システムセキュリティー拡張機能) のセットです。DNS クライアントが DNS ネームサーバーからの応答の整合性を認証、検査して、応答元を検証し、転送中に不正に変更されなかったかどうかを判別できるようにします。

4.5.2. DNSSEC について

今日では、インターネット接続で多くのウェブサイトが HTTPS を使った安全な接続機能を提供しています。しかし、IP アドレスを直接入力していなければ、HTTPS ウェブサーバーに接続する前に DNS ルックアップが実行される必要があります。この DNS ルックアップは安全に実行されず、認証がないことから 中間者攻撃の対象となります。つまり、ある DNS ネームサーバーから送信されたようにみえる応答が本物で、不正に変更されていないことに DNS クライアントは確信を持てません。さらに重要なのは、再帰問い合わせネームサーバーは、他のネームサーバーから得られる記録が本物かどうかを判断できません。DNS プロトコルは、クライアントが中間者攻撃の対象とならないようなメカニズムを提供していませんでした。DNSSEC は、DNS を使用したドメインネームを解決する際の認証および完全性のチェックの欠如に対処するために導入されました。DNSSEC は、機密性の問題には対処しません。

DNSSEC 情報の公開では、DNS リソース記録のデジタル署名と、DNS リゾルバーが信頼の階層チェーンを構築できる方法での公開鍵の配布が行われます。すべての DNS リソースレコードのデジタル署名は、デジタル署名のリソース記録 (RRSIG) として生成され、ゾーンに追加されます。ゾーンの公開鍵は、DNSKEY リソースレコードとして追加されます。階層チェーンを構築するために、DNSKEY のハッシュが Delegation of Signing (DS) リソースレコードとして親ゾーンに公開されます。存在しない証拠を活用するため、NextSECure (NSEC) および NSEC3 リソースレコードが使用されます。DNSSEC 署名ゾーンでは、各 リソースレコードセット (RRset) に対応する RRSIG リソースレコードがあります。子ゾーンへの委任用に使用されるレコード (NS および glue レコード) には署名されないことに注意してください。それらのレコードは子ゾーンに表示され、そこで署名されます。

DNSSEC 情報の処理は、root ゾーンの公開鍵で設定されたリゾルバーが行います。この鍵を使ってリゾルバーは root ゾーンで使用された署名を検証することができます。たとえば、root ゾーンが .com の DS レコードを署名しているとします。root ゾーンは .com ネームサーバーの NS および glue レコードも処理します。リゾルバーはこの委任を追いかけ、これらの委任されたネームサーバーを使用して .com の DNSKEY レコードを問い合わせます。獲得された DNSKEY レコードのハッシュは、root ゾーンの DS レコードとマッチするはずです。マッチする場合、リゾルバーは獲得された .com の DNSKEY を信頼します。.com ゾーンでは、RRSIG レコードは .com DNSKEY が作成します。このプロセスは、redhat.com などの .com 内の委任で同様に繰り返されます。この方法を使用することで、検証を行う DNS リゾルバーは 1 つの root 鍵での設定のみが必要で、多くの DNSKEY を通常の操作中に世界中から収集します。暗号検査が失敗すると、リゾルバーはアプリケーションに SERVFAIL を返します。

DNSSEC は、DNSSEC をサポートしていないアプリケーションには全く見えないように設計されています。DNSSEC 非対応のアプリケーションが DNSSEC 対応リゾルバーを問い合わせると、RRSIG のような新たなリソースレコードタイプのない応答を受け取ります。ただし、DNSSEC 対応リゾルバーはすべての暗号検査を実行し、悪意のある DNS 応答を検出するとアプリケーションに SERVFAIL エラーを返します。DNSSEC は、DNS サーバー間 (権威と再帰) でデータの整合性を保護しますが、アプリケーションとリゾルバー間のセキュリティーは提供しません。このため、アプリケーションにリゾルバーへの安全なトランスポートが提供されることが重要になります。一番簡単な方法は、DNSSEC 対応リゾルバーを localhost 上で稼働して /etc/resolv.conf 内の 127.0.0.1 を使用することです。代わりに、リモートの DNS サーバーに VPN 接続することもできます。

ホットスポットの問題について

Wi-Fi ホットスポットまたは VPN は「DNS 偽装」に依存: キャプティブポータルは、ユーザーを Wi-Fi サービス認証 (または支払い) する必要のあるページにリダイレクトするために、DNS を乗っ取る傾向があります。VPN に接続するユーザーは、企業ネットワークの外に存在しないリソースを見つけるために、「内部のみ」の DNS サーバーを使用することがよくあります。これには、ソフトウェアによる追加処理が必要になります。たとえば、dnssec-trigger を使って、ホットスポットが DNS クエリーを乗っ取っているかを検出し、unbound はプロキシネームサーバーとして DNSSEC クエリーを処理するように動作することが可能です。

DNSSEC 対応のリカーシブリゾルバー

DNSSEC 対応のリカーシブリゾルバーを実装するには、BIND または unbound を使用することができます。両方ともデフォルトで DNSSEC を有効にし、DNSSEC root キーで設定されています。サーバー上で DNSSEC を有効にするにはどちらでも可能ですが、ノートパソコンなどのモバイルデバイスでは、unbound が推奨されます。これは、dnssec-trigger 使用時にはホットスポット、Libreswan 使用時には VPN に必要となる DNSSEC 上書きの再構成をローカルユーザーが動的に行えるようになるためです。unbound デーモンはさらに、etc/unbound/*.d/ ディレクトリーにリスト化されている DNSSEC 例外の実装もサポートします。これは、サーバーとモバイルデバイスの両方で役立ちます。

4.5.3. Dnssec-trigger について

unbound が/etc/resolv.conf にインストールされ設定ができたら、アプリケーションからのすべての DNS クエリーは unbound によって処理されます。dnssec-trigger が unbound リゾルバーを再構成するのは、そうするようにトリガーされた場合のみです。これは主に、異なる Wi-Fi ネットワークに接続するノートパソコンのような、ローミングを行うクライアントマシンに当てはまります。プロセスは以下のようになります。

新規 DNS サーバーが DHCP 経由で獲得されると、NetworkManager が dnssec-trigger を「開始」します。
Dnssec-trigger がサーバーに対して多くのテストを実行し、サーバーが DNSSEC を適切にサポートしているかどうかを判断します。
サポートしている場合は、dnssec-trigger が unbound を再構成して、その DNS サーバーをすべてのクエリーに対するフォワーダーとして使用します。
テストが失敗した場合は、dnssec-trigger は新規 DNS サーバーを無視して利用可能なフォールバックの方法をいくつか試行します。
無制限ポート 53 (UDP および TCP) が利用可能だと判断されたら、フォワーダーを使用せずに unbound が完全なリカーシブ DNS サーバーになるように指示します。
たとえば、ポート 53 がネットワークの DNS サーバー自体以外にはファイアウォールでブロックされているなどしてこれが可能でない場合は、ポート 80 へは DNS を、ポート 443 へは TLS カプセル化された DNS の使用を試みます。ポート 80 および 443 で DNS を稼働しているサーバーは、/etc/dnssec-trigger/dnssec-trigger.conf で設定できます。デフォルトの設定ファイルでは、コメントアウトされた例が利用可能になっています。
これらのフォールバックの方法も失敗する場合は、dnssec-trigger は DNSSEC を完全に迂回してセキュアでない状態で機能するか、「cache only」モードで実行します。後者の場合、新規の DNS クエリーは試行されませんが、キャッシュにすでにあるものについてはすべて応答します。

Wi-Fi ホットスポットでは、ユーザーはインターネットへのアクセスを許可される前にサインオンページにリダイレクトされる傾向が強まっています。上記で示された調査手順の間にリダイレクトが検出されると、ユーザーはインターネットアクセスにログインが必要かどうかを尋ねるようにプロンプトが示されます。dnssec-trigger デーモンは 10 分ごとに DNSSEC リゾルバーをプローブし続けます。dnssec-trigger グラフィカルユーティリティーの使用に関する情報は、「Dnssec-trigger の使用」を参照してください。

4.5.4. VPN が提供されるドメインサーバーおよびネームサーバー

VPN 接続の中には、ドメインとネームサーバー一覧を伝達して、そのドメインを VPN トンネル設定の一部として使用できるタイプもあります。Red Hat Enterprise Linux では、NetworkManager がこれをサポートしています。つまり、unbound、dnssec-trigger、および NetworkManager の組み合わせは、VPN ソフトウェアが提供するドメインとネームサーバーを適切にサポートできるということです。VPN トンネルができれば、ローカルの unbound キャッシュは、受け取られたドメインネームのエントリーについてフラッシュされるので、そのドメインネーム内のネームに関するクエリーは VPN 経由で届いた内部ネームサーバーから新たにフェッチされます。VPN トンネルが終了すると、unbound キャッシュが再度フラッシュされ、ドメインへのクエリーが以前に獲得されたプライベート IP アドレスではなく、公開 IP アドレスを返すようにします。詳細は「接続によって提供されるドメイン用の DNSSEC 検証の設定」を参照してください。

4.5.5. 推奨される命名プラクティス

Red Hat では、静的および一時的なネームの両方が host.example.com のように DNS 内のマシンに使用されている 完全修飾ドメインネーム (FQDN) に合致することを推奨しています。

ICANN (The Internet Corporation for Assigned Names and Numbers) は、(.yourcompany などの) トップレベルの未登録ドメインを公開登録簿に追加することがあります。このため、Red Hat では、プライベートネットワーク上であっても委任されていないドメイン名を使用しないことを強く推奨しています。これは、ネットワーク設定によっては異なる解決をしてしまうドメインネームになってしまう可能性があるからです。その結果、ネットワークリソースは利用不可能になってしまいます。また、委任されていないドメイン名を使うと、DNSSEC の実装および維持がより困難になります。これは、ドメインネームが競合すると DNSSEC 検証に手動の設定が必要となるからです。この問題に関する詳細情報は、ICANN FAQ on domain name collision を参照してください。

4.5.6. トラストアンカーについて

階層暗号化システムでは、トラストアンカー は信頼できるとされる権威あるエンティティーです。たとえば、X.509 アーキテクチャーではルート証明書はトラストチェーンの元となるトラストアンカーとなっています。トラストアンカーは、パスの検証ができるように事前に信頼できる団体が所有しておく必要があります。

DNSSEC のコンテキストでは、トラストアンカーは DNS ネームとそのネームに関連づけられた公開鍵 (または公開鍵のハッシュ) で構成されます。ベース 64 のエンコード化された鍵として表示されます。これは、DNS レコードの検証と認証に使用可能な公開鍵を含む情報の交換方法という意味で、証明書と同様のものになります。RFC 4033 では、設定済みの DNSKEY RR または DNSKEY RR の DS RR ハッシュとしてトラストアンカーを定義しています。有効なセキュリティー対応のリゾルバーは、この公開鍵またはハッシュを、署名済みの DNS の応答に対して認証チェーンを構築するための開始点として使用します。一般的に、有効なリゾルバーはトラストアンカーの初期値をセキュアまたは信頼できる手段で DNS プロトコルの外部から取得する必要があります。トラストアンカーがあると、リゾルバーは、トラストアンカーが指定するゾーンは署名されているはずとの扱いをすると意味合いがあります。

4.5.7. DNSSEC のインストール

4.5.7.1. unbound のインストール

マシン上でローカルに DNSSEC を使用する DNS を検証するためには、DNS リゾルバー unbound (または bind ) をインストールする必要があります。モバイルデバイスでは、dnssec-trigger のインストールのみが必要です。サーバーには unbound で十分ですが、サーバーの場所 (LAN もしくはインターネット) によってはローカルドメイン用の転送設定が必要となる場合もあります。dnssec-trigger は現在、グローバルの公開 DNS ゾーンのみで機能します。NetworkManager、dhclient、および VPN アプリケーションは自動でドメイン一覧 (およびネームサーバー一覧も) を収集することが多くありますが、dnssec-trigger や unbound ではこれは行われません。

unbound をインストールするには、root ユーザーで以下のコマンドを実行します。

~]# yum install unbound

4.5.7.2. unbound の稼働確認

unbound デーモンが稼働しているかどうかを確認するには、以下のコマンドを実行します。

~]$ systemctl status unbound
 unbound.service - Unbound recursive Domain Name Server
	  Loaded: loaded (/usr/lib/systemd/system/unbound.service; disabled)
	  Active: active (running) since Wed 2013-03-13 01:19:30 CET; 6h ago

unbound サービスが稼働していないと systemctl status コマンドは unbound を Active: inactive (dead) とレポートします。

4.5.7.3. unbound の起動

現行セッション用に unbound デーモンを起動するには、root ユーザーで以下のコマンドを実行します。

~]# systemctl start unbound

systemctl enable コマンドを実行すると unbound がシステム起動時に毎回起動します。

~]# systemctl enable unbound

unbound デーモンは、以下のディレクトリーを使用してローカルデータの設定または上書きを可能にします。

/etc/unbound/conf.d ディレクトリーは、特定のドメインネーム用の設定追加に使用されます。ドメインネームのクエリーを特定の DNS サーバーにリダイレクトするために使用されます。企業 WAN 内にのみ存在するサブドメインに多く使用されます。
/etc/unbound/keys.d ディレクトリーは、特定のドメインネーム用のトラストアンカーの追加に使用されます。これは、内部のみのネームが DNSSEC 署名されているものの、トラストのパスを構築するための DS レコードが公開で存在しない場合に必要になります。別のユースケースは、企業 WAN 外で公開で入手可能なネームではない別の DNSKEY を使って署名された、内部バージョンのドメインの場合になります。
/etc/unbound/local.d ディレクトリーは、ローカルで優先させる特定の DNS データを追加するために使用されます。このデータを使用すると、ブラックリストを構築したり、手動で特定の DNS を優先させたりできます。このデータは unbound によってクライアントに返されますが、DNSSEC 署名としてマークされません。

一部の VPN ソフトウェアと同様に NetworkManager では設定を動的に変更することが可能です。これらの設定ディレクトリーには、コメントアウトしたサンプルエントリーが含まれています。詳細については unbound.conf(5) man ページを参照してください。

4.5.7.4. Dnssec-trigger のインストール

dnssec-trigger アプリケーションは dnssec-triggerd デーモンとして稼働します。dnssec-trigger をインストールするには、root ユーザーで以下のコマンドを実行します。

~]# yum install dnssec-trigger

4.5.7.5. Dnssec-trigger デーモンの稼働確認

dnssec-triggerd が稼働しているかどうかを確認するには、以下のコマンドを実行します。

~]$ systemctl status dnssec-triggerd
systemctl status dnssec-triggerd.service
dnssec-triggerd.service - Reconfigure local DNS(SEC) resolver on network change
	  Loaded: loaded (/usr/lib/systemd/system/dnssec-triggerd.service; enabled)
	  Active: active (running) since Wed 2013-03-13 06:10:44 CET; 1h 41min ago

systemctl status コマンドは、dnssec-triggerd デーモンが稼働していなければ Active: inactive (dead) とレポートします。dnssec-triggerd を現行セッションで起動するには、root ユーザーで以下のコマンドを実行します。

~]# systemctl start dnssec-triggerd

systemctl enable コマンドを実行すると dnssec-triggerd がシステム起動時に毎回起動します。

~]# systemctl enable dnssec-triggerd

4.5.8. Dnssec-trigger の使用

dnssec-trigger アプリケーションには、DNSSEC プローブの結果を表示し、DNSSEC プローブ要求をオンデマンドで実行するための GNOME パネルユーティリティーがあります。このユーティリティーを起動するには、Super キーを押してアクティビティ画面に入り、DNSSEC と入力して Enter を押します。船の錨に似たアイコンが画面下部のメッセージトレイに追加されます。画面右下の青く丸い通知アイコンを押してこれを表示させます。錨アイコンを右クリックすると、ポップアップメニューが表示されます。

通常の操作では、unbound はローカルでネームサーバーとして使用され、resolv.conf は 127.0.0.1 をポイントします。Hotspot Sign-On パネルの OK をクリックすると、これが変更されます。DNS サーバーが NetworkManager からクエリーを受け、resolv.conf に置かれます。これで Hotspot のサインオンページで認証が可能になります。錨アイコンは赤い大きな感嘆符を表示して、DNS クエリーが安全でない状態で行われていることを警告します。認証が行われると、dnssec-trigger は自動的にこれを検出し、セキュアモードに戻します。ただし、場合によってはこれができず、ユーザーが手動で Reprobe を選択する必要があることもあります。

Dnssec-trigger は通常、ユーザーとのやりとりを必要としません。一旦開始するとバックグラウンドで稼働し、問題が発生したらポップアップのテキストボックスでユーザーに通知します。また、resolv.conf ファイルへの変更を unbound に知らせます。

4.5.9. DNSSEC における dig の使用

DNSSEC が稼働しているかどうかを確認するには、様々なコマンドラインツールの使用が可能です。最適なのは、bind-utils パッケージからの dig コマンドです。ldns パッケージからの drill とunbound パッケージからの unbound-host も有用です。nslookup および host という古い DNS ユーティリティーは旧式なので使用しないでください。

dig を使用して DNSSEC データを要求するクエリーを送信するには、以下のように +dnssec オプションをコマンドに追加します。

~]$ dig +dnssec whitehouse.gov
; <<>> DiG 9.9.3-rl.13207.22-P2-RedHat-9.9.3-4.P2.el7 <<>> +dnssec whitehouse.gov
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21388
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;whitehouse.gov.			IN	A

;; ANSWER SECTION:
whitehouse.gov.		20	IN	A	72.246.36.110
whitehouse.gov.		20	IN	RRSIG	A 7 2 20 20130825124016 20130822114016 8399 whitehouse.gov. BB8VHWEkIaKpaLprt3hq1GkjDROvkmjYTBxiGhuki/BJn3PoIGyrftxR HH0377I0Lsybj/uZv5hL4UwWd/lw6Gn8GPikqhztAkgMxddMQ2IARP6p wbMOKbSUuV6NGUT1WWwpbi+LelFMqQcAq3Se66iyH0Jem7HtgPEUE1Zc 3oI=

;; Query time: 227 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Aug 22 22:01:52 EDT 2013
;; MSG SIZE  rcvd: 233

A レコードに加えて RRSIG レコードが返されます。これには DNSSEC 署名と署名の取得および失効時間が含まれています。unbound サーバーは、上部の flags: セクションで ad を返して、データが DNSSEC 認証されていることを示しています。

DNSSEC 検証が失敗すると、dig は SERVFAIL エラーを返します。

~]$ dig badsign-a.test.dnssec-tools.org
; <<>> DiG 9.9.3-rl.156.01-P1-RedHat-9.9.3-3.P1.el7 <<>> badsign-a.test.dnssec-tools.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 1010
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;badsign-a.test.dnssec-tools.org. IN	A

;; Query time: 1284 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Aug 22 22:04:52 EDT 2013
;; MSG SIZE  rcvd: 60]

失敗に関する詳細情報を要求するには、dig コマンドに +cd オプションを指定して DNSSEC 検査を無効にすることができます。

~]$ dig +cd +dnssec badsign-a.test.dnssec-tools.org
; <<>> DiG 9.9.3-rl.156.01-P1-RedHat-9.9.3-3.P1.el7 <<>> +cd +dnssec badsign-a.test.dnssec-tools.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26065
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;badsign-a.test.dnssec-tools.org. IN	A

;; ANSWER SECTION:
badsign-a.test.dnssec-tools.org. 49 IN	A	75.119.216.33
badsign-a.test.dnssec-tools.org. 49 IN	RRSIG	A 5 4 86400 20130919183720 20130820173720 19442 test.dnssec-tools.org. E572dLKMvYB4cgTRyAHIKKEvdOP7tockQb7hXFNZKVbfXbZJOIDREJrr zCgAfJ2hykfY0yJHAlnuQvM0s6xOnNBSvc2xLIybJdfTaN6kSR0YFdYZ n2NpPctn2kUBn5UR1BJRin3Gqy20LZlZx2KD7cZBtieMsU/IunyhCSc0 kYw=

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Aug 22 22:06:31 EDT 2013
;; MSG SIZE  rcvd: 257

DNSSEC は、間違った取得または失効時間によってマニフェスト自体を誤解することが多くあります。ただし上記の例では、www.dnssec-tools.org のユーザーはわざとこの RRSIG 署名を分割しており、この出力を見るだけでは検出できません。このエラーは systemctl status unbound の出力で表示され、unbound デーモンがこれらのエラーを syslog に以下のように記録します。

Aug 22 22:04:52 laptop unbound: [3065:0] info: validation failure badsign-a.test.dnssec-tools.org. A IN

以下は、unbound-host を使用した例です。

~]$ unbound-host -C /etc/unbound/unbound.conf -v whitehouse.gov
whitehouse.gov has address 184.25.196.110 (secure)
whitehouse.gov has IPv6 address 2600:1417:11:2:8800::fc4 (secure)
whitehouse.gov has IPv6 address 2600:1417:11:2:8000::fc4 (secure)
whitehouse.gov mail is handled by 105 mail1.eop.gov. (secure)
whitehouse.gov mail is handled by 110 mail5.eop.gov. (secure)
whitehouse.gov mail is handled by 105 mail4.eop.gov. (secure)
whitehouse.gov mail is handled by 110 mail6.eop.gov. (secure)
whitehouse.gov mail is handled by 105 mail2.eop.gov. (secure)
whitehouse.gov mail is handled by 105 mail3.eop.gov. (secure)

4.5.10. Dnssec-trigger 用のホットスポット検出インフラストラクチャーの設定

ネットワークに接続する際に、dnssec-trigger はホットスポットの検出を試みます。ホットスポットは通常、ユーザーがネットワークリソースを利用する前にウェブページとのやりとりを強制するデバイスです。この検出は既知のコンテンツがある特定の固定ウェブページのダウンロード試行で行われます。ホットスポットがある場合は、既知のコンテンツ以外のものがダウンロードされます。

dnssec-trigger によるホットスポット検出に使用可能な、既知のコンテンツがある固定ウェブページを設定するには、以下の手順にしたがいます。

インターネット上で公開されているマシン上にウェブサーバーを設定します。Red Hat Enterprise Linux 7 システム管理者のガイドの Web サーバーの章を参照してください。
サーバーが稼働したら、既知のコンテンツがある静的ページを公開します。このページは、有効な HTML ページである必要はありません。たとえば、hotspot.txt という名前のプレーンテキストファイルで OK という文字列の内容だけでも構いません。サーバーが example.com にあり、そのサーバーのサブディレクトリー document_root/static/ に hotspot.txt ファイルを公開したとすると、この静的ページのアドレスは、example.com/static/hotspot.txt になります。Red Hat Enterprise Linux 7 システム管理者のガイドの Web サーバーの章にある DocumentRoot ディレクティブを参照してください。
以下の行を /etc/dnssec-trigger/dnssec-trigger.conf ファイルに追加します。
```
url: "http://example.com/static/hotspot.txt OK"
```
このコマンドは、HTTP (ポート 80) 経由でプローブされる URL を追加します。最初の部分は解決される URL とダウンロードするページで、後の部分はダウンロードした web ページに含まれることになる文字列です。

設定オプションに関する詳細情報は、man ページ dnssec-trigger.conf(8) を参照してください。

4.5.11. 接続によって提供されるドメイン用の DNSSEC 検証の設定

デフォルトでは、適切なネームサーバーのある転送ゾーンは、Wi-Fi 以外の接続が提供するドメインすべてについて dnssec-trigger が自動的に NetworkManager で unbound に追加します。デフォルトでは、unbound に追加されるすべての転送ゾーンは DNSSEC で検証されます。

転送ゾーンの検証におけるデフォルト動作は変更可能なので、すべての転送ゾーンがデフォルトで DNSSEC 検証されるわけれは ありません。すべてを検証するようにするには、 dnssec-trigger 設定ファイルである /etc/dnssec.conf にある validate_connection_provided_zones 変数を変更します。root ユーザーでファイルを開き、以下のように行を編集します。

validate_connection_provided_zones=no

この変更は既存の転送ゾーンではなく、将来の転送ゾーンにのみ有効になります。このため、現在提供されているドメインについて DNSSEC を無効にするには、再接続が必要になります。

4.5.11.1. Wi-Fi が提供するドメイン用の DNSSEC 検証の設定

Wi-Fi が提供するゾーンへの転送ゾーンの追加を有効にすることができます。これを行うには、dnssec-trigger の設定ファイル /etc/dnssec.conf にある add_wifi_provided_zones 変数を変更します。 root ユーザーでファイルを開き、以下のように行を編集します。

add_wifi_provided_zones=yes

この変更は既存の転送ゾーンではなく、将来の転送ゾーンにのみ有効になります。このため、現在 Wi-Fi が提供するドメインについて DNSSEC を有効にするには、Wi-Fi の再接続 (再起動) が必要になります。

警告

Wi-Fi 提供ドメインを転送ゾーンとして unbound に追加することをオンにすると、セキュリティー面で以下のような影響があります。

Wi-Fi アクセスポイントは意図的に、DHCP 経由でドメインを提供することが可能です。このドメインは認証されていないもので、ユーザーの全 DNS クエリーをこのアクセスポイントの DNS サーバーにルーティングしてしまいます。
転送ゾーンの DNSSEC 検証をオフにすると、Wi-Fi 提供の DNSサーバーは、ユーザーが知らない間に提供されたドメインからドメインネームの IP アドレスのなりすましができるようになります。

4.5.12. その他のリソース

以下のリソースでは、DNSSEC について詳細な説明が提供されています。

4.5.12.1. インストールされているドキュメント

dnssec-trigger(8) man ページ — dnssec-triggerd、dnssec-trigger-control および dnssec-trigger-panel のコマンドオプションについて説明しています。
dnssec-trigger.conf(8) man ページ — dnssec-triggerd の設定オプションについて説明しています。
unbound(8) man ページ — unbound、DNS 検証リゾルバーのコマンドオプションについて説明しています。
unbound.conf(5) man ページ — unbound の設定方法に関する情報が含まれています。
resolv.conf(5) man ページ — リゾルバールーチンが読み取る情報が含まれています。

4.5.12.2. オンラインのドキュメント

http://tools.ietf.org/html/rfc4033: RFC 4033 DNS Security Introduction and Requirements.
http://www.dnssec.net/: DNSSEC リソースに関する多くのリンクがあるウェブサイトです。
http://www.dnssec-deployment.org/: 米国土安全保障省が後援する DNSSEC Deployment Initiative です。DNSSEC に関する多くの情報と DNSSEC 導入に関する問題を話し合うメーリングリストが含まれています。
http://www.internetsociety.org/deploy360/dnssec/community/: Internet Society の「Deploy 360」イニシアチブで、DNSSEC 導入の活性化と調整を図ります。世界中のコミュニティーと DNSSEC アクティビティーを探す便利なリソースになります。
http://www.unbound.net/: unbound DNS サービスに関する全般的な情報が含まれています。
http://www.nlnetlabs.nl/projects/dnssec-trigger/: dnssec-trigger に関する全般的な情報が含まれています。

4.6. Libreswan を使用した仮想プライベートネットワーク (VPN) のセキュリティー保護

Red Hat Enterprise Linux 7 では、仮想プライベートネットワーク (VPN) は、Libreswan アプリケーションがサポートしている IPsec プロトコルを使用して設定できます。Libreswan は、Openswan アプリケーションの延長で、Openswan ドキュメント内の多くの例は Libreswan と交換可能なものです。NetworkManager IPsec プラグインは、NetworkManager-libreswan と呼ばれます。GNOME Shell のユーザーは、NetworkManager-libreswan-gnome パッケージをインストールしてください。これには、依存関係として NetworkManager-libreswan が含まれています。NetworkManager-libreswan-gnome パッケージは、Optional チャンネルからのみ入手可能です。『Enabling Supplementary and Optional Repositories』を参照してください。

VPN の IPsec プロトコルは、Internet Key Exchange (IKE) プロトコルを使用して設定されます。IPsec および IKE は交換可能です。IPsec VPN は、IKE VPN、IKEv2 VPN、XAUTH VPN、Cisco VPN、または IKE/IPsec VPN とも呼ばれます。Level 2 Tunneling Protocol (L2TP) も使用する IPsec VPN のバリアントは、通常 L2TP/IPsec VPN と呼ばれます。これは、Optional チャンネルの xl2tpd アプリケーションを必要とします。

Libreswan は、Red Hat Enterprise Linux 7 で利用可能なオープンソースでユーザースペースの IKE 実装です。IKE バージョン 1 および 2 は、ユーザーレベルデーモンとして実装されます。IKE プロトコルそのものは暗号化されています。IPsec プロトコルは Linux カーネルにより実装されており、Libreswan は、VPN トンネル設定の追加または削除を行うようにカーネルを設定します。

IKE プロトコルは、UDP ポート 500 および 4500 を使用します。IPsec プロトコルは、プロトコル番号 50 の Encapsulated Security Payload (ESP) とプロトコル番号 51 の Authenticated Header (AH) の、2 つの異なるプロトコルから構成されます。AH プロトコルの使用は推奨されません。AH を使用している場合は、null 暗号化を使用して ESP に移動することが推奨されます。

IPsec プロトコルには、動作のモードが 2 つ (トンネルモード (デフォルト) および トランスポートモード) があります。カーネルを、IKE がない IPsec を持つカーネルを設定することができます。これは、Manual Keying と呼ばれます。ただし、ip xfrm コマンドは、セキュリティー上の理由から使用しないことが強く推奨されます。netlink を使用して Linux カーネルを使用する Libreswan インターフェースにおいては、パケットの暗号化および複号は Linux カーネルで発生します。

Libreswan は、ネットワークセキュリティーサービス (NSS) 暗号化ライブラリーを使用します。米連邦情報処理規格 (FIPS) 公開文書 140-2 で、libreswan および NSS の両方の使用が認証されます。

重要

Libreswan および Linux カーネルが実装する IKE/IPsec VPN は、Red Hat Enterprise Linux 7 で使用することが推奨される唯一の VPN テクノロジーです。その他の VPN テクノロジーを使用するリスクを理解せずに使用しないでください。

4.6.1. Libreswan のインストール

Libreswan をインストールするには、root で以下のコマンドを実行します。

~]# yum install libreswan

Libreswan がインストールされていることを確認するには、以下を行います。

~]$ yum info libreswan

Libreswan を新規にインストールしたあと、NSS データベースはインストールプロセスの一部として初期化する必要があります。新しいデータベースを開始する前に、以下のように古いデータベースを削除します。

~]# systemctl stop ipsec
~]# rm /etc/ipsec.d/*db

次に、新しい NSS データベースを初期化するには、root で以下のコマンドを実行します。

~]# ipsec initnss
Initializing NSS database

FIPS モードで動作する場合に限り、NSS データベースをパスワードで保護する必要があります。FIPS モードでデータベースを初期化するには、上のコマンドの代わりに、次のコマンドを使用します。

~]# certutil -N -d sql:/etc/ipsec.d
Enter a password which will be used to encrypt your keys.
The password should be at least 8 characters long,
and should contain at least one non-alphabetic character.

Enter new password: 
Re-enter password:

Libreswan が提供する ipsec デーモンを起動するには、root で以下のコマンドを実行します。

~]# systemctl start ipsec

デーモンが稼働していることを確認します。

~]$ systemctl status ipsec
* ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec
   Loaded: loaded (/usr/lib/systemd/system/ipsec.service; disabled; vendor preset: disabled)
   Active: active (running) since Sun 2018-03-18 18:44:43 EDT; 3s ago
     Docs: man:ipsec(8)
           man:pluto(8)
           man:ipsec.conf(5)
  Process: 20358 ExecStopPost=/usr/sbin/ipsec --stopnflog (code=exited, status=0/SUCCESS)
  Process: 20355 ExecStopPost=/sbin/ip xfrm state flush (code=exited, status=0/SUCCESS)
  Process: 20352 ExecStopPost=/sbin/ip xfrm policy flush (code=exited, status=0/SUCCESS)
  Process: 20347 ExecStop=/usr/libexec/ipsec/whack --shutdown (code=exited, status=0/SUCCESS)
  Process: 20634 ExecStartPre=/usr/sbin/ipsec --checknflog (code=exited, status=0/SUCCESS)
  Process: 20631 ExecStartPre=/usr/sbin/ipsec --checknss (code=exited, status=0/SUCCESS)
  Process: 20369 ExecStartPre=/usr/libexec/ipsec/_stackmanager start (code=exited, status=0/SUCCESS)
  Process: 20366 ExecStartPre=/usr/libexec/ipsec/addconn --config /etc/ipsec.conf --checkconfig (code=exited, status=0/SUCCESS)
 Main PID: 20646 (pluto)
   Status: "Startup completed."
   CGroup: /system.slice/ipsec.service
           └─20646 /usr/libexec/ipsec/pluto --leak-detective --config /etc/ipsec.conf --nofork

システム起動時に Libreswan が起動するようにするには、root で以下のコマンドを実行します。

~]# systemctl enable ipsec

中間およびホストベースのファイアウォールが ipsec サービスを許可するように設定します。ファイアウォールおよび特定サービスの通過を許可することに関する詳細情報は、5章ファイアウォールの使用 を参照してください。Libreswan の使用には、以下のパケットがファイアウォールを通過できるようにしておく必要があります。

Internet Key Exchange (IKE) プロトコルに対する UDP ポート 500 および 4500
Encapsulated Security Payload (ESP) IPsec パケット用にプロトコル 50
Authenticated Header (AH) IPsec パケット用にプロトコル 51 (一般的でない)

Libreswan を使用して IPsec VPN を設定する例を 3 つ紹介します。1 つ目は、2 つのホストを接続してセキュアな通信ができるようにします。2 つ目は、2 つのサイトを接続して 1 つのネットワークを形成します。3 つ目は、このコンテキストでは ロードウォリアー と呼ばれるリモートユーザーをサポートします。

4.6.2. Libreswan を使用して VPN 設定の作成

IKE/IPsec は、ピアツーピアプロトコルであるため、Libreswan は、「ソース」および「宛先」、または「サーバー」および「クライアント」を使用しません。代わりに、エンドポイント (ホスト) を参照するのに、「左」および「右」という用語を使用します。これにより、多くの場合、両方のエンドポイントで同じ設定を使用できます。ただし、多くの管理者は、常に、ローカルホストに「左」を使用し、リモートホストには「右」を使用するようにします。

エンドポイントの認証には、一般的に使用される方法が 4 つあります。

Pre-Shared Keys (PSK) は、最も簡単な認証メソッドです。PSK は、20 文字以上のランダムな文字からなります。FIPS モードで、PSK が、使用するインテグリティーアルゴリズムによる最低強化要件に従う必要があります。ランダムな 64 文字より短い PSK を使用しないことが推奨されます。
生 RSA 鍵は、静的なホスト間またはサブネット間で一般的に使用される IPsec 設定です。ホストは、それぞれの公開 RSA 鍵で手動で設定されます。この方法は、12 以上のホストで相互に IPsec トンネルを設定する必要がある場合には、うまく拡張できません。
X.509 証明書は、共通の IPsec ゲートウェイに接続する必要のあるホストが多数ある大型の導入案件でよく使用されます。ホストまたはユーザーの RSA 証明書の署名には、中央の 認証機関 (CA) が使用されます。この中央 CA は、個別ホストまたはユーザーの取り消しを含む信頼の中継を担当します。
NULL 認証は、認証なしでメッシュ暗号を取得するために使用されます。受動的攻撃は保護しますが、能動的攻撃は保護しません。ただし、IKEv2 は、非対称の認証方法を許可しますが、NULL 認証をインターネット規模の日和見 IPsec に対しても使用できます。ここでは、クライアントはサーバーを認証しますが、サーバーはクライアントを認証しません。このモデルは、TLS を使用して Web サイトを保護する (https:// websites としても知られています) のに似ています。

この認証方式に加え、追加の認証は、量子コンピューターによる可能な攻撃に対して保護するために追加認証を追加できます。この追加認証方法は Postquantum Preshared Keys (PPK) と呼ばれています。個々のクライアント、またはクライアントのグループは、帯域幅を設定した事前共有鍵に対応する (PPKID) を指定することで、独自の PPK を使用できます。「量子コンピューターに対する保護の使用」を参照してください。

4.6.3. Libreswan を使用したホスト間の VPN の作成

Libreswan が「左」および「右」と呼ばれる 2 台のホスト間で IPsec VPN を作成するように設定するには、両方のホスト上 (「左」および「右」) で root として以下のコマンドを実行し、新たな生 RSA 鍵のペアを作成します。

~]# ipsec newhostkey --output /etc/ipsec.d/hostkey.secrets
Generated RSA key pair with CKAID 14936e48e756eb107fa1438e25a345b46d80433f was stored in the NSS database

これでホストの RSA 鍵のペアが生成されます。エントロピーが低い仮想マシンでは特に、RSA 鍵の生成プロセスは時間が長くかかる場合があります。

ホストの公開鍵を表示するには、「左」サイドの設定に指定できるため、「newhostkey」コマンドが返した CKAID を使用して、新しいホストキーが追加されるホストに root で以下のコマンドを実行します。

~]# ipsec showhostkey --left --ckaid 14936e48e756eb107fa1438e25a345b46d80433f
	# rsakey AQPFKElpV
	leftrsasigkey=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

以下に示すように、両方のホストで設定ファイルを追加するためにこの鍵が必要です。CKAID が分からない場合は、以下のコマンドを使用してホストキーの一覧を取得できます。

~]# ipsec showhostkey --list
< 1 >  RSA keyid: AQPFKElpV ckaid: 14936e48e756eb107fa1438e25a345b46d80433f

鍵ペアの秘密部分は、/etc/ipsec.d/*.db に置かれた「NSS database」に保存されます。

このホスト間のトンネルに対して設定ファイルを作成するには、上記の leftrsasigkey= 行および rightrsasigkey= 行を、/etc/ipsec.d/ ディレクトリーに保存されているカスタムの設定ファイルに追加されます。

root でエディターを使用して以下の形式で適切な名前のファイルを作成します。

/etc/ipsec.d/my_host-to-host.conf

以下のようにファイルを編集します。

conn mytunnel
    leftid=@west.example.com
    left=192.1.2.23
    leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==
    rightid=@east.example.com
    right=192.1.2.45
    rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==
    authby=rsasig
    # load and initiate automatically
    auto=start

また、公開鍵は、RSAID の代わりに CKAID を設定できます。この場合、「leftrsasigkey=」の代わりに「leftckaid=」を使用します。

左右両方のホストに同じ設定ファイルを使用できます。Libreswan は、指定した IP アドレスまたはホスト名に基づいて、「左」または「右」である場合は自動的に検出します。ホストのいずれかがモバイルホストであり、IP アドレスが事前に分からない場合は、モバイルクライアントで %defaultroute を IP アドレスとして使用します。これにより、自動的に動的 IP アドレスを選択します。モバイルホストから接続を受け付ける静的サーバーホストの場合は、%any をその IP アドレスに対して使用してモバイルホストを指定します。

leftrsasigkey の値は「left」ホストから、そして rightrsasigkey 値は「right」ホストから取得していることを確認します。leftckaid および rightckaid を使用する場合も同様です。

ipsec を再起動し、新しい設定を読み込んでいることを確認します。システムの起動時に設定している場合は、トンネルが確立されていることを確認するには、以下のコマンドを実行します。

~]# systemctl restart ipsec

auto=start オプションを使用している場合は、数秒以内に IPsec トンネルを確立する必要があります。root で以下のコマンドを実行して、トンネルを手動でロードおよび起動できます。

~]# ipsec auto --add mytunnel
~]# ipsec auto --up mytunnel

4.6.3.1. Libreswan を使用したホスト間の VPN の検証

IKE ネゴシエーションが、UDP ポート 500 および 4500 で行われます。IPsec パケットは、Encapsulated Security Payload (ESP) パケットとして現れます。ESP プロトコルにはポートがありません。VPN 接続が NAT ルーターを通過する必要がある場合に、ESP パケットは、ポート 4500 の UDP パケットにカプセル化されます。

パケットが VPN トンネル経由で送信されていることを確認するには、root で以下の形式のコマンドを実行します。

~]# tcpdump -n -i interface esp or udp port 500 or udp port 4500
00:32:32.632165 IP 192.1.2.45 > 192.1.2.23: ESP(spi=0x63ad7e17,seq=0x1a), length 132
00:32:32.632592 IP 192.1.2.23 > 192.1.2.45: ESP(spi=0x4841b647,seq=0x1a), length 132
00:32:32.632592 IP 192.0.2.254 > 192.0.1.254: ICMP echo reply, id 2489, seq 7, length 64
00:32:33.632221 IP 192.1.2.45 > 192.1.2.23: ESP(spi=0x63ad7e17,seq=0x1b), length 132
00:32:33.632731 IP 192.1.2.23 > 192.1.2.45: ESP(spi=0x4841b647,seq=0x1b), length 132
00:32:33.632731 IP 192.0.2.254 > 192.0.1.254: ICMP echo reply, id 2489, seq 8, length 64
00:32:34.632183 IP 192.1.2.45 > 192.1.2.23: ESP(spi=0x63ad7e17,seq=0x1c), length 132
00:32:34.632607 IP 192.1.2.23 > 192.1.2.45: ESP(spi=0x4841b647,seq=0x1c), length 132
00:32:34.632607 IP 192.0.2.254 > 192.0.1.254: ICMP echo reply, id 2489, seq 9, length 64
00:32:35.632233 IP 192.1.2.45 > 192.1.2.23: ESP(spi=0x63ad7e17,seq=0x1d), length 132
00:32:35.632685 IP 192.1.2.23 > 192.1.2.45: ESP(spi=0x4841b647,seq=0x1d), length 132
00:32:35.632685 IP 192.0.2.254 > 192.0.1.254: ICMP echo reply, id 2489, seq 10, length 64

ここでの interface は、トラフィックを監視するインターフェースになります。tcpdump での表示を終了するには、Ctrl+C を押します。

注記

tcpdump コマンドと IPsec のインタラクションはやや予想外のものになります。見えるのは暗号化された送信パケットのみで、プレーンテキストの送信パケットは見えません。受信パケットは、暗号化および暗号解読された両方を表示します。可能であれば、tcpdump コマンドはどちらかのエンドポイント上ではなく、2 台のマシン間にあるルーター上で実行してください。VTI (Virtual Tunnel Interface) を使用している場合は、物理インターフェースの tcpdump が ESP パケットを表示しますが、VTI インターフェースの tcpdump はクリアテキストトラフィックを表示します。

トンネルがアップしているかどうか、そのトラフィックがどのぐらいトンネルを通過したかを確認するには、以下のコマンドを root で実行します。

~]# ipsec whack --trafficstatus
006 #2: "mytunnel", type=ESP, add_time=1234567890, inBytes=336, out Bytes=336, id='@east'

4.6.4. Libreswan を使用したサイト間の VPN の設定

Libreswan が 2 つのネットワークを結合させるサイト間の IPsec VPN を作成するようにするには、エンドポイントとなる 2 つのホスト間に IPsec トンネルを作成します。これらのホストは、1 つ以上のサブネットからのトラフィック通過を許可するよう設定します。このため、これらはネットワークのリモート部分にはゲートウェイのように見えます。サイト間 VPN とホスト間 VPN の唯一の違いは、前者では 1 つ以上のネットワークまたはサブネットを設定ファイルで指定する必要があるという点です。

サイト間の IPsec VPN を作成するように Libreswan を設定するには、まず「Libreswan を使用したホスト間の VPN の作成」にあるようにホスト間の IPsec VPN を設定し、その設定ファイルを /etc/ipsec.d/my_site-to-site.conf などの適切なファイル名にコピーまたは移動します。root 権限でエディターを使用して、カスタム設定ファイルである /etc/ipsec.d/my_site-to-site.conf を以下のように編集します。

conn mysubnet
    also=mytunnel
    leftsubnet=192.0.1.0/24
    rightsubnet=192.0.2.0/24
    auto=start

conn mysubnet6
    also=mytunnel
    connaddrfamily=ipv6
    leftsubnet=2001:db8:0:1::/64
    rightsubnet=2001:db8:0:2::/64
    auto=start

conn mytunnel
    leftid=@west.example.com
    left=192.1.2.23
    leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==
    rightid=@east.example.com
    right=192.1.2.45
    rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==
    authby=rsasig

トンネルを表示するには、Libreswan を再起動するか、root で以下のコマンドを実行して手動ですべての接続を読み込み、開始します。

~]# ipsec auto --add mysubnet

~]# ipsec auto --add mysubnet6

~]# ipsec auto --up mysubnet
104 "mysubnet" #1: STATE_MAIN_I1: initiate
003 "mysubnet" #1: received Vendor ID payload [Dead Peer Detection]
003 "mytunnel" #1: received Vendor ID payload [FRAGMENTATION]
106 "mysubnet" #1: STATE_MAIN_I2: sent MI2, expecting MR2
108 "mysubnet" #1: STATE_MAIN_I3: sent MI3, expecting MR3
003 "mysubnet" #1: received Vendor ID payload [CAN-IKEv2]
004 "mysubnet" #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_RSA_SIG cipher=aes_128 prf=oakley_sha group=modp2048}
117 "mysubnet" #2: STATE_QUICK_I1: initiate
004 "mysubnet" #2: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel mode {ESP=>0x9414a615 <0x1a8eb4ef xfrm=AES_128-HMAC_SHA1 NATOA=none NATD=none DPD=none}

~]# ipsec auto --up mysubnet6
003 "mytunnel" #1: received Vendor ID payload [FRAGMENTATION]
117 "mysubnet" #2: STATE_QUICK_I1: initiate
004 "mysubnet" #2: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel mode {ESP=>0x06fe2099 <0x75eaa862 xfrm=AES_128-HMAC_SHA1 NATOA=none NATD=none DPD=none}

4.6.4.1. Libreswan を使用するサイト間の VPN の検証

VPN トンネル経由でパケットが送られたことを検証する手順は、「Libreswan を使用したホスト間の VPN の検証」と同じです。

4.6.5. Libreswan を使用するサイト間のシングルトンネル VPN の設定

サイト間のトンネルを構築する際に、ゲートウェイは公開 IP アドレスではなく、内部の IP アドレスを使用して相互に通信する必要が多くあります。これは、1 つのトンネルを使用することで実行できます。ホスト名が west の左のホストの内部 IP アドレスが 192.0.1.254 で、ホスト名が east の右のホストの IP アドレスが 192.0.2.254 の場合、1 つのトンネルを使用した以下の設定が使用できます。

conn mysubnet
    leftid=@west.example.com
    leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==
    left=192.1.2.23
    leftsourceip=192.0.1.254
    leftsubnet=192.0.1.0/24
    rightid=@east.example.com
    rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==
    right=192.1.2.45
    rightsourceip=192.0.2.254
    rightsubnet=192.0.2.0/24
    auto=start
    authby=rsasig

4.6.6. Libreswan を使用したサブネット押し出しの設定

IPsec は、ハブおよびスポークのアーキテクチャーにデプロイされることがよくあります。各リーフノードは、広い範囲の一部である IP 範囲があります。ハブを通して互いに通信します。これは サブネットの押出 と呼ばれます。

例4.2 サブネット押出の簡易設定

以下の例では、本社に 10.0.0.0/8 を設定し、より小さい /24 サブネットを使用する支店を 2 つ設定します。

本社では以下のようになります。

conn branch1
    left=1.2.3.4
    leftid=@headoffice
    leftsubnet=0.0.0.0/0
    leftrsasigkey=0sA[...]
    #
    right=5.6.7.8
    rightid=@branch1
    rightsubnet=10.0.1.0/24
    rightrsasigkey=0sAXXXX[...]
    #
    auto=start
    authby=rsasig

conn branch2
    left=1.2.3.4
    leftid=@headoffice
    leftsubnet=0.0.0.0/0
    leftrsasigkey=0sA[...]
    #
    right=10.11.12.13
    rightid=@branch2
    rightsubnet=10.0.2.0/24
    rightrsasigkey=0sAYYYY[...]
    #
    auto=start
    authby=rsasig

「branch1」オフィスでは、同一の接続を使用します。さらに、パススルー (pass-through) 接続を使用して、ローカル LAN トラフィックをトンネル経由の送信から除外します。

conn branch1
    left=1.2.3.4
    leftid=@headoffice
    leftsubnet=0.0.0.0/0
    leftrsasigkey=0sA[...]
    #
    right=10.11.12.13
    rightid=@branch2
    rightsubnet=10.0.1.0/24
    rightrsasigkey=0sAYYYY[...]
    #
    auto=start
    authby=rsasig

conn passthrough
    left=1.2.3.4
    right=0.0.0.0
    leftsubnet=10.0.1.0/24
    rightsubnet=10.0.1.0/24
    authby=never
    type=passthrough
    auto=route

4.6.7. IKEv2 リモートアクセスの VPN Libreswan の設定

ロードウォーリアーとは、ノート PC など、IP アドレスを動的に割り当てられるモバイルクライアントを持ち運ぶユーザーのことで、認証は、証明書を使用して行います。以前の IKEv1 XAUTH プロトコルを使用する必要がないように、以下の例では IKEv2 が使用されています。

サーバー上では以下の設定になります。

conn roadwarriors
    ikev2=insist
    # Support (roaming) MOBIKE clients (RFC 4555)
    mobike=yes
    fragmentation=yes
    left=1.2.3.4
    # if access to the LAN is given, enable this, otherwise use 0.0.0.0/0
    # leftsubnet=10.10.0.0/16
    leftsubnet=0.0.0.0/0
    leftcert=gw.example.com
    leftid=%fromcert
    leftxauthserver=yes
    leftmodecfgserver=yes
    right=%any
    # trust our own Certificate Agency
    rightca=%same
    # pick an IP address pool to assign to remote users
    # 100.64.0.0/16 prevents RFC1918 clashes when remote users are behind NAT
    rightaddresspool=100.64.13.100-100.64.13.254
    # if you want remote clients to use some local DNS zones and servers
    modecfgdns="1.2.3.4, 5.6.7.8"
    modecfgdomains="internal.company.com, corp"
    rightxauthclient=yes
    rightmodecfgclient=yes
    authby=rsasig
    # optionally, run the client X.509 ID through pam to allow/deny client
    # pam-authorize=yes
    # load connection, don't initiate
    auto=add
    # kill vanished roadwarriors
    dpddelay=1m
    dpdtimeout=5m
    dpdaction=%clear

ロードウォーリアーのデバイスであるモバイルクライアントでは、上記の設定に多少変更を加えて使用します。

conn to-vpn-server
    ikev2=insist
    # pick up our dynamic IP
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=myname.example.com
    leftid=%fromcert
    leftmodecfgclient=yes
    # right can also be a DNS hostname
    right=1.2.3.4
    # if access to the remote LAN is required, enable this, otherwise use 0.0.0.0/0
    # rightsubnet=10.10.0.0/16
    rightsubnet=0.0.0.0/0
    # trust our own Certificate Agency
    rightca=%same
    authby=rsasig
    # allow narrowing to the server’s suggested assigned IP and remote subnet
    narrowing=yes
    # Support (roaming) MOBIKE clients (RFC 4555)
    mobike=yes
    # Initiate connection
    auto=start

4.6.8. X.509 を使用した IKEv1 リモートアクセスの VPN Libreswan および XAUTH の設定

Libreswan は、接続確立の際に XAUTH IPsec 拡張機能を使用して、ローミング VPN クライアントに対してネイティブに IP アドレスと DNS 情報を割り当てる方法を提供します。XAUTH は、PSK または X.509 証明書を使用してデプロイできます。X.509 を使用してデプロイの方がより安全です。クライアントの証明書は、証明書失効リストまたは Online Certificate Status Protocol (OCSP) で失効させることができます。X.509 証明書を使用すると、個別のクライアントはサーバーを偽装することができません。グループパスワードとも呼ばれる PSK を使用すると、これは理論上は可能になります。

XAUTH は、それ自体とユーザー名およびパスワードを新たに確認するために、VPN クライアントを必要とします。Google 認証システムや RSA SecureID トークンなどのワンタイムパスワード (OTP) では、ユーザーパスワードにワンタイムトークンが付けられます。

XAUTH に可能なバックエンドは 3 つあります。

xauthby=pam

これは、/etc/pam.d/pluto にある設定を使用してユーザーを認証します。Pam は、それ自体で様々なバックエンドを使用するように設定できます。システムアカウントのユーザーパスワードスキーム、LDAP ディレクトリー、RADIUS サーバー、カスタムパスワード認証モジュールなどが使用可能です。

xauthby=file

これは、設定ファイル /etc/ipsec.d/passwd (/etc/ipsec.d/nsspassword と混同しないこと) を使用します。このファイルの形式は Apache .htpasswd ファイルと同様のもので、Apache htpasswd コマンドはこのファイルのエントリー作成に使用できます。ただし、ユーザー名とパスワードの後に、使用する IPsec 接続の接続名が 3 番目のコラムに必要になります。たとえば、conn remoteusers を使用してリモートユーザーに VPN を提供する場合、パスワードファイルのエントリーは以下のようになります。

user1:$apr1$MIwQ3DHb$1I69LzTnZhnCT2DPQmAOK.:remoteusers

注記

htpasswd コマンドを使用している場合に、各行で user:password 部分の後に手動で追加する必要があります。

xauthby=alwaysok

サーバーは常に、XAUTH ユーザーとパスワードの組み合わせが適切であるように装います。サーバーはユーザー名とパスワードを無視しますが、クライアントはこれらを指定する必要があります。これは、ユーザーが X.509 証明書で既に特定されている場合、もしくは XAUTH バックエンドが不要な VPN をテストしている場合にのみ使用します。

X.509 証明書を使用した設定例を以下に示します。

conn xauth-rsa
    ikev2=never
    auto=add
    authby=rsasig
    pfs=no
    rekey=no
    left=ServerIP
    leftcert=vpn.example.com
    #leftid=%fromcert
    leftid=vpn.example.com
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    rightaddresspool=10.234.123.2-10.234.123.254
    right=%any
    rightrsasigkey=%cert
    modecfgdns1=1.2.3.4
    modecfgdns2=8.8.8.8
    modecfgdomain=example.com
    modecfgbanner="Authorized Access is allowed"
    leftxauthserver=yes
    rightxauthclient=yes
    leftmodecfgserver=yes
    rightmodecfgclient=yes
    modecfgpull=yes
    xauthby=pam
    dpddelay=30
    dpdtimeout=120
    dpdaction=clear
    ike_frag=yes
    # for walled-garden on xauth failure
    # xauthfail=soft
    # leftupdown=/custom/_updown

xauthfail を hard ではなく soft に設定すると認証失敗は無視され、VPN はユーザーが適切に認証したかのように設定されます。カスタムのアップダウンスクリプトを使用すると、環境変数 XAUTH_FAILED をチェックできます。このようなユーザーは、たとえば iptables DNAT を使用して「walled garden」にリダイレクトすることが可能です。リダイレクト先では管理者への問い合わせ、サービスの有料サブスクリプションの更新などができます。

VPN クライアントは、modecfgdomain 値および DNS エントリーを使用して、指定したネームサーバーに指定したドメインに対するクエリーをリダイレクトします。これにより、ローミングユーザーが、内部 DNS 名を使用し内部のみのリソースにアクセスできます。IKEv2 は、modecfgdomains および modecfgdns を使用してドメイン名およびネームサーバー IP アドレスのコンマ区切りリストをサポートしますが、IKEv1 プロトコルは 1 つのドメイン名だけをサポートし、libreswan はネームサーバーの IP アドレスを 2 つまでしかサポートしません。

leftsubnet が 0.0.0.0/0 でない場合は、分割トンネリング設定要求が自動的にクライアントに送信されます。たとえば、leftsubnet=10.0.0.0/8 を使用すると、VPN クライアントは 10.0.0.0/8 のトラフィックのみを VPN 経由で送信します。

4.6.9. 量子コンピューターに対する保護の使用

事前共有鍵を持つ IKEv1 を使用すると、量子攻撃者に対する保護が可能になります。IKEv2 の再設計により、この保護はネイティブに提供されなくなりました。Libreswan は、Postquantum Preshared Keys (PPK) を使用して、量子攻撃に対する IKEv2 接続を保護します。

任意の PPK サポートを有効にするには、接続定義に ppk=yes を追加します。PPK を要求するには、ppk=insist を追加します。次に、各クライアントには、帯域幅 (および望ましくは量子安全) に通信する秘密値を持つ PPK ID が付与されます。PPK はランダム性で非常に強く、辞書の用語は選択されません。PPK ID および PPK データそのものは、以下のように ipsec.secrets に保存されています。

@west @east : PPKS "user1" "thestringismeanttobearandomstr"

PPKS オプションは、静的 PPK を参照します。動的 PPK に基づいてワンタイムパットを使用する実験的機能です。各接続で、ワンタイムパッドの新しい部分を PPK として使用します。これを使用すると、ファイル内の動的 PPK では、再利用しないようにゼロで上書きされます。ワンタイムパットマテリアルが残っていないと、接続に失敗します。詳細は man ページの ipsec.secrets(5) を参照してください。

警告

動的 PPK の実装はテクノロジープレビューとして提供されており、この機能は注意して使用する必要があります。詳細は『Red Hat Enterprise Linux 7.5 リリースノート』を参照してください。

4.6.10. その他のリソース

以下のドキュメントは、Libreswan および ipsec デーモンに関する追加リソースを提供します。

4.6.10.1. インストールされているドキュメント

ipsec(8) の man ページ - ipsec のコマンドオプションを説明しています。
ipsec.conf(5) の man ページ - ipsec の設定情報が含まれています。
ipsec.secrets(5) の man ページ - ipsec.secrets ファイルの形式を説明しています。
ipsec_auto(8) の man ページ - 鍵の自動交換を使用して確立された Libreswan IPsec 接続を操作する auto コマンドラインクライアントの使用方法を説明しています。
ipsec_rsasigkey(8) man ページ - RSA 署名鍵の生成に使用するツールを説明しています。
/usr/share/doc/libreswan-version/

4.6.10.2. オンラインのドキュメント

https://libreswan.org: アップストリームプロジェクトの Web サイトです。
https://libreswan.org/wiki: Libreswan プロジェクトの Wiki です。
https://libreswan.org/man/: Libreswan に関する全 man ページ

4.7. OpenSSL の使用

OpenSSL は、アプリケーションに暗号化プロトコルを提供するライブラリーです。openssl コマンドラインユーティリティーを使うと、シェルから暗号化機能が使えるようになります。これには、インタラクティブモードが含まれています。

openssl コマンドラインユーティリティーには多くの擬似コマンドがあり、システムにインストールされた openssl のバージョンが対応しているコマンドに関する情報を提供します。擬似コマンド list-standard-commands、list-message-digest-commands、および list-cipher-commands はそれぞれ、すべての標準コマンド一覧、メッセージダイジェストコマンド一覧、暗号コマンド一覧を出力します。これは、現行の openssl ユーティリティーで利用可能なものです。

擬似コマンド list-cipher-algorithms および list-message-digest-algorithms は、すべての暗号およびメッセージダイジェストネームを一覧表示します。擬似コマンド list-public-key-algorithms は、対応するすべての公開鍵アルゴリズムを一覧表示します。たとえば、対応するすべての公開鍵アルゴリズムを一覧表示するには、以下のコマンドを実行します。

~]$ openssl list-public-key-algorithms

擬似コマンド no-command-name は、指定された名前の command-name が利用可能かどうかをテストします。シェルスクリプトでの使用を目的としています。詳細は、man ページの openssl(1) を参照してください。

4.7.1. 暗号鍵の作成および管理

OpenSSL では、公開鍵は対応する秘密鍵から生成されます。このため、アルゴリズムを決定した後に最初に行うことは、秘密鍵の生成になります。以下の例では、秘密鍵を privkey.pem とします。たとえば、デフォルトのパラメーターを使用して RSA 秘密鍵を作成するには、以下のコマンドを実行します。

~]$ openssl genpkey -algorithm RSA -out privkey.pem

RSA アルゴリズムは以下のオプションに対応しています。

rsa_keygen_bits:numbits — 生成される鍵のビット数です。指定されない場合は、1024 が使われます。
rsa_keygen_pubexp:value — RSA 公開指数の値です。これは大きな十進数か、0x で始まる場合は十六進数にすることができます。デフォルト値は 65537 です。

たとえば、公開指数として 3 を使用して 2048 ビットの RSA 秘密鍵を作成するには、以下のコマンドを実行します。

~]$ openssl genpkey -algorithm RSA -out privkey.pem -pkeyopt rsa_keygen_bits:2048 \ -pkeyopt rsa_keygen_pubexp:3

128 ビットの AES とパスフレーズ「hello」を使用してこの秘密鍵を出力する際に暗号化するには、以下のコマンドを実行します。

~]$ openssl genpkey -algorithm RSA -out privkey.pem -aes-128-cbc -pass pass:hello

秘密鍵の生成に関する詳細は、man ページの genpkey(1) を参照してください。

4.7.2. 証明書の生成

OpenSSL を使って証明書を生成するには、秘密鍵が利用可能である必要があります。以下の例では、秘密鍵を privkey.pem とします。秘密鍵をまだ生成していない場合は、「暗号鍵の作成および管理」を参照してください。

証明書に 認証局 (CA) による署名を受けるには、証明書を生成して認証局に送信する必要があります。これは、証明書署名要求と呼ばれます。詳細情報は、「証明書署名要求の作成」を参照してください。別の方法では、自己署名の証明書を作成します。詳細情報は、「自己署名証明書の作成」を参照してください。

4.7.2.1. 証明書署名要求の作成

CA に提出する証明書を作成するには、コマンドを以下の形式で実行します。

~]$ openssl req -new -key privkey.pem -out cert.csr

これで、デフォルトの privacy-enhanced electronic mail (PEM) 形式でエンコードされた cert.csr と呼ばれる X.509 証明書が作成されます。PEM という名前は、「Privacy Enhancement for Internet Electronic Mail」に由来し、RFC 1424 で説明されています。別の DER 形式で証明書ファイルを生成するには、-outform DER コマンドオプションを使用します。

上記のコマンドを発行すると、証明書の識別名 (DN) を作成するために、ユーザー自身と組織の情報が求められます。以下の情報が必要になります。

2 文字の国コード
州または県の名前
市または自治体
組織の名前
組織内の部署名
ユーザー名もしくはシステムのホスト名
Email アドレス

man ページの req(1) では、PKCS# 10 証明書要求と生成ユーティリティーを説明しています。証明書作成プロセスで使用されるデフォルト設定は、/etc/pki/tls/openssl.cnf ファイル内にあります。詳細は、man ページの openssl.cnf(5) を参照してください。

4.7.2.2. 自己署名証明書の作成

366 日間有効の自己署名証明書を生成するには、以下の形式でコマンドを実行します。

~]$ openssl req -new -x509 -key privkey.pem -out selfcert.pem -days 366

4.7.2.3. Makefile を使った証明書の作成

/etc/pki/tls/certs ディレクトリーには Makefile が格納されており、これに make コマンドを使用すると証明書が作成できます。使用方法を確認するには、以下のコマンドを実行します。

~]$ make -f /etc/pki/tls/certs/Makefile

または、ディレクトリーに移動して以下のように make コマンドを実行することもできます。

~]$ cd /etc/pki/tls/certs/
~]$ make

詳細は、man ページの make(1) を参照してください。

4.7.3. 証明書の検証

CA 署名がされている証明書は、信頼できる証明書と呼ばれます。このため、自己署名証明書は、信頼されない証明書になります。検証ユーティリティーは、OpenSSL が通常の工程で使用するものと同じ SSL および S/MIME 機能を使用します。エラーが見つかると報告され、他のエラーを見つけるためにテストを継続する試みがなされます。

PEM 形式の複数の X.509 証明書を検証するには、以下の形式のコマンドを実行します。

~]$ openssl verify cert1.pem cert2.pem

証明書チェーンを検証するには、リーフ証明書が cert.pem にあり、信頼していない中間証明書が untrusted.pem 内で直接連結している必要があります。信頼できるルート CA 証明書は、/etc/pki/tls/certs/ca-bundle.crt または cacert.pem ファイルでリスト表示されているデフォルトの CA 内にある必要があります。この状態でチェーンを検証するには、以下の形式のコマンドを実行します。

~]$ openssl verify -untrusted untrusted.pem -CAfile cacert.pem cert.pem

詳細は、man ページの verify(1) を参照してください。

重要

MD5 ハッシュアルゴリズムを使用した署名の検証は、このアルゴリズムの強度が十分でないために Red Hat Enterprise Linux 7 で無効になっています。SHA 256 などの強度の高いアルゴリズムを常に使用するようにしてください。

4.7.4. ファイルの暗号化および暗号化解除

OpenSSL でファイルを暗号化 (および復号化) する場合は、pkeyutl または enc 組み込みコマンドを使用できます。pkeyutl では、暗号化および復号化を実行するために RSA 鍵が使用されますが、enc では、シンメトリックアルゴリズムが使用されます。

RSA 鍵の使用

ファイル plaintext を暗号化するには、以下のコマンドを実行します。

~]$ openssl pkeyutl -in plaintext -out cyphertext -inkey privkey.pem

鍵および証明書のデフォルトの形式は PEM です。必要に応じて -keyform DER オプションを使用して、DER 鍵形式を指定します。

暗号化エンジンを指定するには、-engine オプションを以下のように使用します。

~]$ openssl pkeyutl -in plaintext -out cyphertext -inkey privkey.pem -engine id

ここで、id は、暗号化エンジンの ID です。エンジンが利用可能かどうかを確認するには、以下のコマンドを実行します。

~]$ openssl engine -t

plaintext という名前のデータファイルに署名するには、以下のコマンドを実行します。

~]$ openssl pkeyutl -sign -in plaintext -out sigtext -inkey privkey.pem

署名されたデータファイルを検証し、データを抽出するには、以下のコマンドを実行します。

~]$ openssl pkeyutl -verifyrecover -in sig -inkey key.pem

DSA 鍵などを使用した署名を検証するには、以下のコマンドを実行します。

~]$ openssl pkeyutl -verify -in file -sigfile sig -inkey key.pem

man ページの pkeyutl(1) では、公開鍵アルゴリズムユーティリティーを説明しています。

シンメトリックアルゴリズムの使用

利用可能なシンメトリック暗号化アルゴリズムをリスト表示するには、-l などの未サポートのオプションを使用して enc コマンドを実行します。

~]$ openssl enc -l

アルゴリズムを指定するには、その名前をオプションとして使用します。たとえば、aes-128-cbc アルゴリズムを使用するには、以下の構文を使用します。

openssl enc -aes-128-cbc

aes-128-cbc アルゴリズムを使用して plaintext という名前のファイルを暗号化するには、以下のコマンドを実行します。

~]$ openssl enc -aes-128-cbc -in plaintext -out plaintext.aes-128-cbc

前の例で取得したファイルを復号化するには、以下のように -d オプションを使用します。

~]$ openssl enc -aes-128-cbc -d -in plaintext.aes-128-cbc -out plaintext

重要

enc コマンドは AEAD 暗号を適切にサポートしないため、ecb モードは安全と見なされません。最良の結果を得るために、cbc、cfb、ofb、または ctr 以外のモードを使用しないでください。

4.7.5. メッセージダイジェストの生成

dgst コマンドは、十六進数形式で提供されたファイルのメッセージダイジェストを作成します。このコマンドは、デジタル署名および検証にも使用できます。メッセージダイジェストコマンドの形式は以下のとおりです。

openssl dgst algorithm -out filename -sign private-key

ここで、algorithm は、md5|md4|md2|sha1|sha|mdc2|ripemd160|dss1 のいずれかになります。本書執筆時点では、SHA1 アルゴリズムが推奨されます。DSA を使用した署名もしくは検証が必要な場合は、-rand オプションで指定したランダムなデータを含むファイルとともに dss1 オプションを使用する必要があります。

sha1 アルゴリズムを使用してデフォルトの Hex 形式でメッセージダイジェストを作成するには、以下のコマンドを実行します。

~]$ openssl dgst sha1 -out digest-file

秘密鍵 privekey.pem を使用してダイジェストにデジタル署名するには、以下のコマンドを実行します。

~]$ openssl dgst sha1 -out digest-file -sign privkey.pem

詳細は、man ページの dgst(1) を参照してください。

4.7.6. パスワードハッシュの生成

passwd コマンドは、パスワードのハッシュを計算します。コマンドラインでパスワードのハッシュを計算するには、以下のコマンドを実行します。

~]$ openssl passwd password

デフォルトでは、-crypt アルゴリズムが使用されます。

BSD アルゴリズム 1 に基づく MD5 を使用して、標準入力からパスワードのハッシュを計算するには、以下のコマンドを実行します。

~]$ openssl passwd -1 password

-apr1 オプションが BSD アルゴリズムの Apache バリアントを指定します。

salt xx を使用してファイルに保存されているパスワードのハッシュを計算するには、以下のコマンドを実行します。

~]$ openssl passwd -salt xx -in password-file

パスワードは標準出力に送信され、出力ファイルを指定する -out オプションはありません。-table は、パスワードハッシュの表とそれに対応するクリアテキストのパスワードを生成します。

詳細およびその他の例は、man ページの sslpasswd(1) を参照してください。

4.7.7. ランダムデータの生成

シードファイルを使用してランダムなデータを含むファイルを生成するには、以下のコマンドを実行します。

~]$ openssl rand -out rand-file -rand seed-file

ランダムデータプロセスをシードするための複数ファイルは、コロン : 区切りのリストを使用して指定できます。

詳細は、man ページの rand(1) を参照してください。

4.7.8. システムのベンチマーキング

あるアルゴリズムにおけるシステムの演算速度をテストするには、以下のコマンドを実行します。

~]$ openssl speed algorithm

ここでの algorithm は、使用する予定の対応アルゴリズムのいずれかになります。利用可能なアルゴリズムを一覧表示するには、openssl speed と入力してタブを押します。

4.7.9. OpenSSL の設定

OpenSSL にはマスター設定ファイルと呼ばれる設定ファイル /etc/pki/tls/openssl.cnf があり、OpenSSL ライブラリーがこれを読み込みます。各アプリケーション用の個別の設定ファイルを用いることもできます。設定ファイルには、[ section_name ] のようにセクション名が付いた多くのセクションが含まれています。最初の [ section_name ] までの部分は、デフォルトセクションと呼ばれることに注意してください。OpenSSL が設定ファイル内で名前を検索する際には、最初に名前の付いたセクションが検索されます。別の設定ファイルがコマンド内のオプションで指定されていなければ、OpenSSL コマンドはすべて、マスター OpenSSL 設定ファイルを使用します。設定ファイルの詳細は、config(5) man ページで説明されています。

以下の 2 つの RFC は、証明書ファイルのコンテンツについて説明しています。

4.8. stunnel の使用

stunnel プログラムは、クライアントとサーバー間の暗号化ラッパーです。設定ファイルで指定されたポートをリッスンし、クライアントとの通信を暗号化し、通常のポートでリッスンしているオリジナルのデーモンにデータを転送します。こうすることで、それ自体で暗号化をサポートしていないサービスをセキュアにすることができます。また、SSL バージョン 2 や 3 など、POODLE SSL 脆弱性 (CVE-2014-3566) の影響を受け、安全上の理由から使用を避けたい暗号化サービスのセキュリティーを改善することもできます。詳細は、https://access.redhat.com/solutions/1234773 を参照してください。CUPS は、自身の設定で SSL を無効にする方法がないコンポーネントの例です。

4.8.1. stunnel のインストール

stunnel パッケージをインストールするには、root で以下のコマンドを実行します。

~]# yum install stunnel

4.8.2. stunnel の TLS ラッパーとしての設定

stunnel の設定は、以下の手順にしたがいます。

stunnel とどのサービスを使うにしても、有効な証明書が必要になります。適切な証明書がない場合は、認証機関 に申し込むか、自己署名の証明書を自身で作成することもできます。
警告
実稼働環境で稼働しているサーバーには、常に認証機関で署名された証明書を使用してください。自己署名証明書は、テスト目的またはプライベートネットワークのみで使用することをお勧めします
認証局が提供する証明書についての詳細情報は、「証明書署名要求の作成」を参照してください。stunnel 用に自己署名証明書を作成するには、root で /etc/pki/tls/certs/ ディレクトリーに移動し、以下のコマンドを実行します。
```
certs]# make stunnel.pem
```
すべての質問に回答して、プロセスを完了します。
証明書ができたら、stunnel 用の設定ファイルを作成します。これはテキストファイルで、各行でオプションまたはサービス定義の開始を指定します。また、コメントや空の行使って、読みやすくすることもできます。コメントはセミコロンで開始します。
stunnel RPM パッケージには /etc/stunnel/ ディレクトリーが含まれ、設定ファイルはここで保存します。stunnel ではファイル名で特定の形式や拡張子は必要ありませんが、/etc/stunnel/stunnel.conf としてください。以下のコンテンツでは、stunnel を TLS ラッパーとして設定します。
```
cert = /etc/pki/tls/certs/stunnel.pem
; Allow only TLS, thus avoiding SSL
sslVersion = TLSv1
chroot = /var/run/stunnel
setuid = nobody
setgid = nobody
pid = /stunnel.pid
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1

[service_name]
accept = port
connect = port
TIMEOUTclose = 0
```
別の方法では、sslVersion = TLSv1 の行を以下の行で置き換えると SSL を避けられます。
```
options = NO_SSLv2
options = NO_SSLv3
```
オプションの目的は、以下のとおりです。
- cert — 証明書へのパスです。
- sslVersion — SSL のバージョンです。SSL と TLS は別個の暗号化プロトコルですが、ここでは TLS が使えることに注意してください。
- chroot — 変更後の root ディレクトリーです。ここでは、stunnel プロセスがより安全に実行できます。
- setuid, setgid — stunnel プロセスを実行するユーザーおよびグループ。nobody は制限されたシステムアカウントになります。
- pid — stunnel がプロセス ID を保存するファイルで、chroot に相対的になります。
- socket — ローカルおよびリモートのソケットオプション。このケースでは、ネーグルのアルゴリズムを無効にして、ネットワーク遅延を改善します。
- [service_name] — サービ定義の開始点。この下に続く行で使用されるオプションは、該当サービスのみに適用されます。この上にあるオプションは、 stunnel でグローバルに適用されます。
- accept — リッスンするポートです。
- connect — 接続先のポートです。このポートは、セキュアにしているサービスが使用するものである必要があります。
- TIMEOUTclose — クライアントから close_notify 警告が出されるまでの待ち時間です。これが 0 の場合は、stunnel はまったく待機しません。
- options — OpenSSL ライブラリーのオプション。
例4.3 CUPS のセキュア化
CUPS 用に stunnel を TLS ラッパーとして設定するには、以下の値を使用します。
```
[cups]
accept = 632
connect = 631
```
632 の代わりに使用されていないポートを使うこともできます。631 は CUPS が通常使用するポートです。
chroot ディレクトリーを作成し、setuid オプションで指定されているユーザーにこのディレクトリーへの書き込みアクセスを与えます。これを行うには、root で以下のコマンドを実行します。
```
~]# mkdir /var/run/stunnel
~]# chown nobody:nobody /var/run/stunnel
```
これで、stunnel が PID ファイルを作成できるようになります。
使用中のシステムでファイアウォールが新たなポートへのアクセスを許可しない設定となっている場合は、この設定を許可するように変更します。詳細は、「GUI を使用してポートを開く」を参照してください。
設定ファイルと chroot ディレクトリーを作成し、指定されたポートがアクセス可能なことを確認したら、stunnel を開始することができます。

4.8.3. stunnel の起動、停止、再起動

stunnel を起動するには、root で以下のコマンドを実行します。

~]# stunnel /etc/stunnel/stunnel.conf

デフォルトでは、stunnel は出力のログに /var/log/secure を使用します。

stunnel を停止するには、root で以下のコマンドを実行してプロセスを強制終了させます。

~]# kill `cat /var/run/stunnel/stunnel.pid`

stunnel の実行中に設定ファイルを編集した場合は、stunnel を停止して再起動すると、変更が反映されます。

4.9. 暗号化

4.9.1. LUKS のディスク暗号化の使用

Linux Unified Key Setup-on-disk-format (または LUKS) を使うと、Linux コンピューター上のパーティションを暗号化できます。これは特に、モバイルコンピューターやリムーバブルメディアを使う際に重要です。LUKS を使うと、複数のユーザーキーを使って、パーティションのバルク暗号化に使用されるマスターキーの暗号化解除ができるようになります。

LUKS の概要

LUKS の機能

LUKS はブロックデバイス全体を暗号化するため、脱着可能なストレージメディアやノート PC のディスクドライブといった、モバイルデバイスのコンテンツ保護に適しています。
暗号化されたブロックデバイスにあるのは任意のコンテンツです。これは、スワップデバイスの暗号化に役立ちます。また、とりわけデータストレージ用にフォーマットしたブロックデバイスを使用する特定のデータベースに関しても有用です。
LUKS は既存のデバイスマッパーカーネルサブシステムを使用します。
LUKS はパラフレーズの強化を提供し、辞書攻撃から保護します。
LUKS デバイスには複数のキースロットが含まれ、ユーザーはこれを使ってバックアップキーやパスフレーズを追加できます。

LUKS でできないこと:

LUKS は、多くのユーザー (9 人以上) が同一デバイスに対して個別のアクセスキーを持つことが必要となるシナリオには適していません。
LUKS は、ファイルレベルの暗号化を必要とするアプリケーションには適していません。

重要

LUKS のようなディスク暗号化ソリューションは、システムがオフのときのみデータを保護します。システムの電源がオンになり、LUKS がディスクを復号すると、そのディスクのファイルは通常そのファイルにアクセスできるすべてのユーザーが使用できます。コンピューターの電源がオンのときにファイルを保護するには、ファイルベースの暗号化などの別のソリューションと組み合わせてディスク暗号化を使用します。

4.9.1.1. Red Hat Enterprise Linux における LUKS の実装

Red Hat Enterprise Linux 7 は、LUKS を使ってファイルシステムを暗号化します。デフォルトではインストール時に、ファイルシステムを暗号化するオプションのチェックが外されています。ハードディスクを暗号化するオプションを選択すると、コンピューターを起動するたびにパスフレーズを尋ねられます。このパスフレーズは、パーティションの暗号化解読に用いられるバルク暗号化鍵を「ロック解除」します。デフォルトのパーティションテーブルの変更を選択すると、暗号化するパーティションを選択できます。この設定は、パーティションテーブル設定で行われます。

LUKS に使用されるデフォルトの暗号 (cryptsetup --help を参照) は aes-cbc-essiv:sha256 (ESSIV - Encrypted Salt-Sector Initialization Vector) です。インストールプログラムの Anaconda は、デフォルトでは XTS モード (aes-xts-plain64) を使用することに注意してください。LUKS のデフォルトの鍵のサイズは 256 ビットです。Anaconda (XTS モード) と併用する場合の LUKS のデフォルトの鍵のサイズは 512 ビットです。利用可能な暗号は以下の通りです。

AES - Advanced Encryption Standard - FIPS PUB 197
Twofish (128 ビットブロック暗号)
Serpent
cast5 - RFC 2144
cast6 - RFC 2612

4.9.1.2. 手動でのディレクトリーの暗号化

警告

以下の手順を実行すると、暗号化しているパーティションの既存データがすべて削除されます。すべての情報が失われてしまうので、この手順を開始する前に、外部ソースへのデータのバックアップを必ず行なってください。

root としてシェルプロンプトに以下を入力し、ランレベル 1 に入ります。
```
telinit 1
```
既存の /home のマウントを解除します。
```
umount /home
```
直前の手順のコマンドが失敗した場合は、fuser を使用し、/home を独占しているプロセスを見つけてこれらを止めます。
```
fuser -mvk /home
```
/home がもはやマウントされていないことを確認します。
```
grep home /proc/mounts
```
パーティションをランダムなデータで埋めます。
```
shred -v --iterations=1 /dev/VG00/LV_home
```
このコマンドは、デバイスの連続書き込み速度で実行され、完了までに時間がかかる場合があります。使用デバイスに暗号化されていないデータが残っていないことを確認した上で、デバイスの暗号化されたデータを含む部分を難読化するのは重要なステップです。

パーティションを初期化します。

cryptsetup --verbose --verify-passphrase luksFormat /dev/VG00/LV_home

新たに暗号化したデバイスを開きます。
```
cryptsetup luksOpen /dev/VG00/LV_home home
```
デバイスがあることを確認します。
```
ls -l /dev/mapper | grep home
```
ファイルシステムを作成します。
```
mkfs.ext3 /dev/mapper/home
```
ファイルシステムをマウントします。
```
mount /dev/mapper/home /home
```
ファイルシステムが表示されていることを確認します。
```
df -h | grep home
```
以下を /etc/crypttab ファイルに追加します。
```
home /dev/VG00/LV_home none
```
/etc/fstab ファイルを編集して、/home の古いエントリを削除し、以下の行を追加します。
```
/dev/mapper/home /home ext3 defaults 1 2
```
デフォルトの SELinux セキュリティーコンテンツを復元します。
```
/sbin/restorecon -v -R /home
```
マシンを再起動します。
```
shutdown -r now
```
/etc/crypttab にあるエントリにより、コンピューターのブート時に luks パスフレーズが尋ねられます。
root としてログインし、バックアップを復元します。

これですべてのデータ用に暗号化されたパーティションを設定できたので、コンピューターをオフにしている間もデータを安全に保管できます。

4.9.1.3. 既存デバイスへの新規パスフレーズの追加

既存デバイスに新規パスフレーズを追加するには、以下のコマンドを使用します。

cryptsetup luksAddKey device

認証のために既存のパスフレーズが尋ねられた後に、新規パスフレーズの入力を求めるプロンプトが出されます。

4.9.1.4. 既存のデバイスからのパスフレーズ削除

既存のデバイスからパスフレーズを削除するには、以下のコマンドを使用します。

cryptsetup luksRemoveKey device

削除したいパスフレーズを求めるプロンプトの後に、認証に必要な残りのパスフレーズを求めるプロンプトが表示されます。

4.9.1.5. Anaconda での暗号化したブロックデバイスの作成

システムのインストール時に、暗号化されたデバイスを作成することができます。これにより、暗号化パーティションを含むシステムを簡単に設定することができます。

ブロックデバイスの暗号化を有効にするには、自動パーティション設定を選択している場合は システムの暗号化 チェックボックスに、個別パーティション、ソフトウェア RAID アレイまたは論理ボリュームを作成している場合は 暗号化 チェックボックスにチェックを入れます。パーティション設定が終了したら、暗号化のパスフレーズが尋ねられます。このパスフレーズは暗号化したデバイスへのアクセスに必要となります。LUKS デバイスが事前に存在しており、インストールプロセスの当初にそれらの正しいパスフレーズを指定している場合には、チェックボックスのあるパスフレーズ入力ダイアログが表示されます。このチェックボックスにチェックを入れると、既存の暗号化ブロックデバイスの利用可能なスロットに新規パスフレーズを追加することになります。

注記

自動パーティション設定 画面の システムの暗号化 チェックボックスにチェックを入れた後に カスタムレイアウトの作成 を選択しても、ブロックデバイスは自動的に暗号化されません。

注記

kickstart を使用すると、新たに暗号化されたブロックデバイスのパスフレーズを個別に設定することができます。

4.9.1.6. その他のリソース

Red Hat Enterprise Linux 7 における LUKS や暗号化ハードディスクについての詳細は、以下のリンクにアクセスしてください。

4.9.2. GPG 鍵の作成

GnuPG (GPG) は、ユーザーを識別し、通信 (確認できない人々との通信も含む) を認証するために使われます。GPG は、GPG 署名のある電子メールを読む人がその真正性を検証できるようにします。つまり、GPG は、あなたが署名した通信が実際にあなたからのものであることをかなりの精度で確認できるようにします。GPG は、第三者がコードを変更したり、会話を傍受したり、メッセージを改ざんしたりすることを防ぐ点で役に立ちます。

4.9.2.1. GNOME での GPG 鍵の生成

GNOME で GPG 鍵を作成するには、以下の手順にしたがいます。

Seahorse ユーティリティーをインストールします。これにより GPG 鍵の管理が容易になります。
```
~]# yum install seahorse
```
鍵を作成するには、アプリケーション → アクセサリメニューから、パスワードと暗号鍵を選択します。これでアプリケーション Seahorse が起動します。
ファイルメニューから新規を選択し、PGP 鍵を選択した後に続行をクリックします。
氏名、電子メールアドレスおよび自身についての説明のオプションのコメント (例: John C. Smith, jsmith@example.com, Software Engineer) を入力します。生成をクリックします。鍵のパスフレーズを問い合わせるダイアログが表示されます。パスフレーズは強固なだけでなく覚えやすいものを選択してください。OK をクリックすると鍵が作成されます。

警告

パスフレーズを忘れると、データの暗号解除ができなくなります。

GPG 鍵の ID を見つけるには、新規に作成された鍵の横にある 鍵の ID コラムを確認します。多くの場合、鍵の ID を求められたら、0x6789ABCD などのように鍵の ID の前に 0x を付けます。秘密鍵のバックアップを取り、安全な場所に保管してください。

4.9.2.2. KDE での GPG 鍵の作成

KDE で GPG 鍵を作成するには、以下の手順にしたがいます。

メインメニューからアプリケーション → ユーティリティ → 暗号ツールを選択して KGpg プログラムを起動します。これまで KGpg を使用したことがなければ、プログラムが独自の GPG 鍵ペアを生成するプロセスを詳しく説明します。
ダイアログボックスで、新しい鍵ペアを生成するよう求められます。名前、電子メールアドレス、およびオプションのコメントを入力します。鍵の長さ (ビット数) とアルゴリズムに加え、鍵の有効期限も選択できます。
次のダイアログでパスフレーズを入力します。この時点で、鍵が KGpg のメインウィンドウに表示されます。

警告

パスフレーズを忘れると、データの暗号解除ができなくなります。

4.9.2.3. コマンドラインを用いた GPG 鍵の生成

次のシェルコマンドを使用します。
```
~]$ gpg2 --gen-key
```
このコマンドにより、ペアとなる公開鍵と秘密鍵が生成されます。生成した公開鍵は、情報を受け取る側が認証に使用し、通信を復号します。公開鍵はできるだけ幅広く (特にメーリングリストなど、発信先のユーザーが、受信する通信が認証済みであることを希望する場合に) 配布します。
一連のプロンプトにしたがってプロセスを進めます。デフォルト値を割り当てる場合は Enter キーを押します。最初のプロンプトは、使用を希望する鍵の種類を選択するよう尋ねます。
```
Please select what kind of key you want:
(1) RSA and RSA (default)
(2) DSA and Elgamal
(3) DSA (sign only)
(4) RSA (sign only)
Your selection?
```
ほとんど多くの場合、デフォルトが適切な選択になります。RSA/RSA 鍵を選択すると、通信に署名するだけでなく、ファイルを暗号化することができます。
鍵のサイズを選択します。
```
RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048)
```
ここでも、デフォルトの 2048 はほとんどすべてのユーザーに適しており、これは極めて強いレベルのセキュリティーになります。
鍵の有効期限を選択します。デフォルトの none を使用するのではなく、失効日を選択する方がよいでしょう。例えば、鍵にある電子メールアドレスが無効になると、失効日が設定されているために、他の人々はその公開鍵を使用するのを止めるように通知されます。
```
Please specify how long the key should be valid.
0 = key does not expire
d = key expires in n days
w = key expires in n weeks
m = key expires in n months
y = key expires in n years
key is valid for? (0)
```
例えば、1y の値を入力すると、鍵の有効期間は 1 年間になります (鍵の生成後にこの失効日を変更することができます)。
gpg2 プログラムが署名情報を尋ねる前に、以下のプロンプトが表示されます。
```
Is this correct (y/N)?
```
y を入力してプロセスを終了します。
GPG 鍵用に氏名と電子メールアドレスを入力します。このプロセスは、ユーザーを個人として認証するためのものです。このため、本当の名前を入力してください。偽の電子メールアドレスを選択すると、他の人があなたの公開鍵を見つけにくくなります。これにより、通信の認証が困難になります。例えば、メーリングリストの自己紹介にこの GPG 鍵を使用する場合、そのリストで使用している電子メールアドレスを入力します。
コメントフィールドには、エイリアスやその他の情報を記載します。(一部の人は、目的別に複数の鍵を使用しており、「オフィス」または「オープンソースプロジェクト」などのコメントを付けてそれぞれの鍵を識別しています。)
すべてのエントリーが正しければ、確認プロンプトで O と入力して続行するか、または問題がある場合はそれを修正するために他のオプションを使用します。最後に、秘密鍵のパスフレーズを入力します。gpg2 プログラムは、入力エラーがないことを確認するためにパスフレーズを 2 回入力するように指示します。
最後に、 gpg2 はランダムなデータを生成して鍵を可能な限り一意なものにします。このプロセスを短縮するには、この手順の実行中にマウスを動かし、ランダムなキーを入力するか、またはシステム上で他のタスクを実行します。この手順が完了すると、鍵が完成して使用可能な状態になります。
```
pub  1024D/1B2AFA1C 2005-03-31 John Q. Doe <jqdoe@example.com>
Key fingerprint = 117C FE83 22EA B843 3E86  6486 4320 545E 1B2A FA1C
sub  1024g/CEA4B22E 2005-03-31 [expires: 2006-03-31]
```
鍵のフィンガープリントは、鍵の「署名」の短縮版です。これを使って、他の人々が実際の公開鍵を (改ざんされない状態で) 受け取ったことを確認することができます。このフィンガープリントを書き留めておく必要はありません。フィンガープリントを表示するには、以下のコマンドをあなたの電子メールアドレスに置き換えて使用します。
```
~]$ gpg2 --fingerprint jqdoe@example.com
```
「GPG 鍵の ID」は、公開鍵を識別する 16 進法の 8 文字で構成されます。上記の例では、GPG 鍵 ID は 1B2AFA1C です。多くの場合、鍵 ID を求められる際には、0x6789ABCD などのように、鍵 ID の前に 0x を付けます。

警告

パスフレーズを忘れると、鍵を使うことができなくなり、その鍵で暗号化されたすべてのデータが失われます。

4.9.2.4. 公開鍵の暗号化について

4.9.3. 公開鍵暗号化における openCryptoki の使用

openCryptoki は PKCS#11 の Linux 実装で、トークンと呼ばれる暗号化デバイスへのアプリケーションプログラミングインターフェース (API) を定義する 公開鍵暗号標準 です。トークンは、ハードウェアまたはソフトウェアに実装することが可能です。本章では、Red Hat Enterprise Linux 7 での openCryptoki システムのインストール、設定および使用についての概要を説明します。

4.9.3.1. openCryptoki のインストールとサービスの起動

システムに基本的な openCryptoki パッケージ (テスト目的でトークンのソフトウェア実装など) をインストールするには、以下のコマンドを root で実行します。

~]# yum install opencryptoki

使用するハードウェアトークンのタイプによっては、特別なユースケース用のサポートを提供する追加パッケージのインストールが必要になる場合もあります。たとえば、Trusted Platform Module (TPM) デバイス用のサポートを入手するには、opencryptoki-tpmtok パッケージをインストールする必要があります。

Yum パッケージマネジャーを使用してパッケージをインストールする情報全般に関しては、Red Hat Enterprise Linux 7 システム管理者のガイドのパッケージのインストールセクションを参照してください。

openCryptoki サービスを有効にするには、pkcsslotd デーモンを実行する必要があります。root で以下のコマンドを実行すると、現行セッションでこのデーモンが起動します。

~]# systemctl start pkcsslotd

このサービスが起動時に自動的に起動するようにするには、以下のコマンドを実行します。

~]# systemctl enable pkcsslotd

systemd ターゲットを使用したサービスの管理方法に関する詳細情報は、Red Hat Enterprise Linux 7 システム管理者のガイドの systemd によるサービス管理の章を参照してください。

4.9.3.2. openCryptoki の設定と使用

pkcsslotd デーモンは起動後に /etc/opencryptoki/opencryptoki.conf 設定ファイルを読み込みます。このファイルは、システムと機能するように設定されたトークンとそのスロットについての情報を収集するために使用されます。

このファイルは、鍵と値のペアを使用して個別のスロットを定義します。各スロットの定義には、説明、使用するトークンライブラリーの仕様、およびスロットの製造者の ID が含まれます。オプションでは、スロットのハードウェアおよびファームウェアのバージョンを定義することもできます。ファイル形式の説明、個別の鍵、およびその鍵に割り当てられる値の詳細な説明は、man ページの opencryptoki.conf(5) を参照してください。

ランタイム時の pkcsslotd デーモンの動作を修正するには、pkcsconf ユーティリティーを使用します。このツールを使うと、デーモンの状態の表示と設定に加え、現在設定されているスロットとトークンの一覧表示と修正がでいます。たとえば、トークンについての情報を表示するには、以下のコマンドを実行します。(pkcsslotd デーモンと通信する必要のある root 以外のユーザーは、pkcs11 システムグループに属している必要があることに注意してください)

~]$ pkcsconf -t

pkcsconf ツールで利用可能な引数の一覧は、man ページの pkcsconf(1) を参照してください。

警告

pkcs11 グループには、完全に信頼できるユーザーのみを割り当ててください。このグループのメンバーは、openCryptoki サービスの他のユーザーが設定済み PKCS#11 トークンへアクセスできなくすることができます。またこのグループのメンバーは、openCryptoki の他のユーザーの権限で任意のコードを実行することができます。

4.9.4. OpenSSH に認証情報を提供するスマートカードの使用

スマートカードは、USB スティック、MicroSD またはスマートカードのフォームファクター形式の軽量のハードウェアセキュリティーモジュールです。スマートカードにより、セキュアなキーストアをリモートで管理できます。Red Hat Enterprise Linux 7 では OpenSSH はスマートカードを使用した認証をサポートします。

OpenSSH でスマートカードを使用するには、カードの公開鍵を ~/.ssh/authorized_keys ファイルに保存して、クライアント上で opensc パッケージで提供される PKCS#11 ライブラリーをインストールします。PKCS#11 は Public-Key Cryptography Standard のことで、トークンと呼ばれる暗号化デバイスにアプリケーションプログラミングインターフェース (API) を定義します。root で以下のコマンドを実行してください。

~]# yum install opensc

4.9.4.1. カードからの公開鍵の取得

カードの鍵を表示するには、ssh-keygen コマンドを使用します。-D ディレクティブで共有ライブラリー (以下の例では OpenSC) を指定します。

~]$ ssh-keygen -D /usr/lib64/pkcs11/opensc-pkcs11.so
ssh-rsa AAAAB3NzaC1yc[...]+g4Mb9

4.9.4.2. サーバーへの公開鍵の保存

リモートサーバーでスマートカードを使用した認証を有効化するには、公開鍵をリモートサーバーに移動します。これには、取得した文字列 (鍵) をコピーして、リモートのシェルにペーストするか、ファイル (以下の例では smartcard.pub) にキーを保存して、ssh-copy-id コマンドを使用してください。

~]$ ssh-copy-id -f -i smartcard.pub user@hostname
user@hostname's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh user@hostname"
and check to make sure that only the key(s) you wanted were added.

公開鍵だけを保存し、秘密鍵は保存しない場合は、SSH_COPY_ID_LEGACY=1 環境変数または -f オプションを使用する必要があります。

4.9.4.3. スマートカード上の鍵を使用したサーバーの認証

OpenSSH は、スマートカードから公開鍵を読み込み、鍵自体を公開せずに秘密鍵を使用して操作を行います。つまり、秘密鍵がカードから出ることはありません。認証のためにスマートカードを使用してリモートサーバーに接続するには、以下のコマンドを実行してカードを保護する PIN を入力します。

[localhost ~]$ ssh -I /usr/lib64/pkcs11/opensc-pkcs11.so hostname
Enter PIN for 'Test (UserPIN)':
[hostname ~]$

hostname は、接続先の実際のホスト名に置き換えます。

次回、必要のない入力をしなくて済むように、~/.ssh/config ファイルに PKCS#11 ライブラリーへのパスを保存します。

Host hostname
    PKCS11Provider /usr/lib64/pkcs11/opensc-pkcs11.so

追加オプションなしに ssh コマンドを実行して接続します。

[localhost ~]$ ssh hostname
Enter PIN for 'Test (UserPIN)':
[hostname ~]$

4.9.4.4. PIN でのログインを自動化するための `ssh-agent` の使用

ssh-agent を使用するように、環境変数を設定します。通常のセッションでは ssh-agent はすでに実行されているので、多くの場合、この手順を省略できます。以下のコマンドを使用して、認証エージェントに接続できるかどうかを確認してください。

~]$ ssh-add -l
Could not open a connection to your authentication agent.
~]$ eval `ssh-agent`

この鍵で接続するたびに PIN の入力をしなくて済むように、以下のコマンドを実行してエージェントにカードを追加します。

~]$ ssh-add -s /usr/lib64/pkcs11/opensc-pkcs11.so
Enter PIN for 'Test (UserPIN)':
Card added: /usr/lib64/pkcs11/opensc-pkcs11.so

ssh-agent からカードを削除するには、以下のコマンドを実行します。

~]$ ssh-add -e /usr/lib64/pkcs11/opensc-pkcs11.so
Card removed: /usr/lib64/pkcs11/opensc-pkcs11.so

注記

FIPS 201-2 は、カードに保存されたデジタル署名鍵を使用するための条件として、PIV (Personal Identity Verification) カード所有者による明示的なユーザーアクションを必要とします。OpenSC には、この要件が正しく適用されます。

ただし、各署名に PIN を入力することをカード保有者に求めることは非現実的です。スマートカードの PIN をキャッシュに保有するには、/etc/opensc-x86_64.conf ファイルの pin_cache_ignore_user_consent = true; オプションの前に付いている # 文字を削除してください。

詳細は「Cardholder Authentication for the PIV Digital Signature Key (NISTIR 7863)」を参照してください。

4.9.4.5. その他のリソース

ハードウェアまたはソフトウェアトークンの設定は「Smart Card support in Red Hat Enterprise Linux 7」の記事に記載されています。

スマートカードと、同様の PKCS#11 セキュリティートークンを管理および使用する pkcs11-tool ユーティリティーの詳細は、man ページの pkcs11-tool(1) を参照してください。

4.9.5. 信頼できる鍵および暗号化された鍵

信頼できる鍵および暗号化された鍵 は、カーネルキーリングサービスを使用するカーネルが生成する可変長のシンメトリックキーです。この鍵はユーザースペースでは暗号解除された形式で表示されないので、その整合性が検証可能になります。このため、たとえば拡張検証モジュール (EVM) がこの鍵を使用して稼働中のシステムの整合性を検証かつ確認することができるようになります。ユーザーレベルのプログラムがアクセス可能なのは、暗号化された ブロブ の形式での鍵のみです。

信頼できる鍵は、Trusted Platform Module (TPM) チップというハードウェアが必要になります。これは、鍵の作成と暗号化 (保護) の両方に使用されます。TPM は、storage root key (SRK) と呼ばれる 2048 ビットの RSA 鍵を使ってこの鍵を保護します。

さらに、信頼できる鍵は TPM の プラットホーム構成レジスター (PCR) の特定の値のセットを使用して保護される場合があります。PCR には、BIOS を反映する整合性管理の値、ブートローダー、およびオペレーティングシステムのセットが含まれています。つまり、PCR で保護された鍵は、これが暗号化された完全に同一システムの TPM でしか復号できないことになります。ただし、PCR で保護された信頼できる鍵が読み込まれると (キーリングに追加されると)、関連付けられている PCR の値が確認されると、新たな (または将来の) PCR の値で更新可能となります。このため、たとえば、新規カーネルのブートが可能になります。また、ひとつの鍵は異なる PCR の値を持つ複数のブロブとして保存することもできます。

暗号化された鍵は、カーネル AES 暗号化を使用するので、TPM を必要とせず、信頼できる鍵よりもスピーディーになります。暗号化された鍵は、カーネル生成の任意の数を使って作成され、ユーザースペースブロブにエクスポートされる際に マスターキー で暗号化されます。このマスターキーは、信頼できる鍵かユーザーキーとすることができます。後者の場合、暗号化された鍵の安全性は、ユーザーキーによる暗号化と同等のものでしかないという欠点があります。

4.9.5.1. 鍵を使った作業

鍵を使う操作の前には、関連するカーネルモジュールの読み込みが必要になります。信頼できる鍵の場合は trusted モジュール、暗号化された鍵の場合は encrypted-keys モジュールです。root ユーザーで以下のコマンドを実行して、これらモジュールの両方を同時に読み込みます。

~]# modprobe trusted encrypted-keys

keyctl ユーティリティーを使用して信頼できる鍵と暗号化された鍵の作成、読み込み、エクスポート、更新ができます。keyctl の使用に関する詳細情報は、keyctl(1) を参照してください。

注記

TPM を使用するには (信頼できる鍵の作成および保護目的など)、これを有効かつアクティブにする必要があります。これは通常、マシンの BIOS で設定するか、ユーティリティーの tpm-tools パッケージから tpm_setactive コマンドを使用するとできます。また、TrouSers アプリケーション (trousers パッケージ) のインストールと、TrouSers スイートの一部である tcsd デーモンが稼働して TPM と通信している必要もあります。

TPM を使用して信頼できる鍵を作成するには、以下の構文で keyctl コマンドを実行します。

keyctl add trusted name "new keylength [options]" keyring

上記の構文を使用したコマンド例は以下のようになります。

~]$ keyctl add trusted kmk "new 32" @u
642500861

上記の例では、kmk と呼ばれる 32 バイト (256 ビット) の長さの信頼できる鍵が作成され、ユーザーキーリング (@u) に置かれます。この鍵は、32 から 128 バイト (256 から 1024 ビット) の長さになります。show サブコマンドを使ってカーネルキーリングの現在の構成を一覧表示します。

~]$ keyctl show
Session Keyring
       -3 --alswrv    500   500  keyring: _ses
 97833714 --alswrv    500    -1   \_ keyring: _uid.1000
642500861 --alswrv    500   500       \_ trusted: kmk

print サブコマンドは、暗号化された鍵を標準出力に出します。この鍵をユーザースペースのブロブにエクスポートするには、以下のように pipe サブコマンドを使用します。

~]$ keyctl pipe 642500861 > kmk.blob

信頼できる鍵をユーザースペースのブロブから読み込むには、add コマンドでブロブを引数として使用します。

~]$ keyctl add trusted kmk "load `cat kmk.blob`" @u
268728824

これで TPM で保護された信頼できる鍵を用いて安全な暗号化された鍵を作成することができます。暗号化された鍵の生成には、以下のコマンド構文が使用されます。

~]$ keyctl add encrypted name "new [format] key-type:master-key-name keylength" keyring

上記の構文に基づき、既存の信頼できる鍵を使って暗号化された鍵を生成するコマンドは以下のようになります。

~]$ keyctl add encrypted encr-key "new trusted:kmk 32" @u
159771175

TPM が利用できないシステムで暗号化された鍵を作成するには、任意の数の列を使ってユーザーキーを生成し、それを使って実際の暗号化された鍵を保護します。

~]$ keyctl add user kmk-user "`dd if=/dev/urandom bs=1 count=32 2>/dev/null`" @u
427069434

その後に、任意の数のユーザーキーを使って暗号化された鍵を生成します。

~]$ keyctl add encrypted encr-key "new user:kmk-user 32" @u
1012412758

list サブコマンドを使うと、指定されたカーネルキーリング内のすべての鍵を一覧表示できます。

~]$ keyctl list @u
2 keys in keyring:
427069434: --alswrv  1000  1000 user: kmk-user
1012412758: --alswrv  1000  1000 encrypted: encr-key

重要

マスターの信頼できる鍵で保護されていない暗号化された鍵の安全性は、その鍵の暗号化に使用されたユーザーマスターキー (任意の数の鍵) と同等にしかならないことに注意してください。このため、マスターユーザーキーはできるだけ安全に、可能であればブートプロセスの初期に、読み込むようにしてください。

4.9.5.2. その他のリソース

以下のオフラインおよびオンラインのリソースでは、信頼できる鍵および暗号化された鍵に関する追加情報が提供されています。

インストールされているドキュメント

keyctl(1) - keyctl ユーティリティーおよびそのサブコマンドの使用方法を説明しています。

オンラインのドキュメント

Red Hat Enterprise Linux 7 SELinux User's and Administrator's Guide — Red Hat Enterprise Linux 7 の『SELinux User's and Administrator's Guide』では、SELinux の原則と、SELinux を設定して Apache HTTP Server などのさまざまなサービスで使用する方法が詳細に説明されています。
https://www.kernel.org/doc/Documentation/security/keys-trusted-encrypted.txt — Linux カーネルの信頼できる鍵および暗号化された鍵に関する機能についての公式ドキュメントです。

4.9.6. 乱数ジェネレーターの使用

簡単に解読されない安全な暗号鍵を生成するには、乱数のソースが必要になります。一般的に、番号がよりランダムであればあるほど、一意の鍵を得られる可能性が高まります。乱数生成のエントロピー は通常、コンピューティング環境の「ノイズ」または 乱数ジェネレーター のハードウェアを使用することで獲得されます。

rng-tools パッケージの一部である rngd デーモンは、エントロピーを引き出すために環境ノイズと乱数ジェネレーターの両方が使えます。このデーモンは、乱数度のソースが提供したデータがランダムかどうかをチェックし、その後にカーネルの乱数エントロピープールに保存します。これが生成した乱数は、/dev/random および /dev/urandom の各キャラクターデバイスから利用できます。

/dev/random と /dev/urandom の違いは、前者はブロックデバイスであり、適切な乱数出力の生成にエントロピーが不十分だと判断すると、乱数の提供が停止される一方で、/dev/urandom は非ブロックソースであり、カーネルのエントロピープールを再利用して無制限の仮の乱数を提供できる、という点です。ただし、この場合のエントロピーは低くなります。このため、長期の暗号鍵の作成には、/dev/urandom は使用しないでください。

rng-tools パッケージをインストールするには、root で以下のコマンドを実行します。

~]# yum install rng-tools

rngd デーモンを起動するには、root で以下のコマンドを実行します。

~]# systemctl start rngd

デーモンのステータスを確認するには、以下のコマンドを実行します。

~]# systemctl status rngd

オプションのパラメーターを使って rngd デーモンを起動するには、直接これを実行します。たとえば、乱数入力の代替ソース (/dev/hwrandom 以外) を指定するには、以下のコマンドを実行します。

~]# rngd --rng-device=/dev/hwrng

上記のコマンドは、/dev/hwrng を乱数読み取り先のデバイスとして rngd デーモンを起動します。同様に、-o (または --random-device) オプションを使用すると、乱数の出力に (デフォルトの /dev/random ではなく) カーネルデバイスを選択します。利用可能なオプションは、man ページの rngd(8) を参照してください。

任意のシステムでどのソースのエントロピーが利用可能であるかを確認するには、以下のコマンドを root として実行します。

~]# rngd -vf
Unable to open file: /dev/tpm0
Available entropy sources:
	DRNG

注記

rngd -v コマンドを実行すると、そのプロセスはバックグラウンドで実行します。-b、--background オプション (デーモンになります) はデフォルトで適用されます。

TPM デバイスがない場合には、エントロピーのソースとして Intel Digital Random Number Generator (DRNG) のみが表示されます。CPU が RDRAND プロセッサーの命令をサポートするかを確認するには、以下のコマンドを実行します。

~]$ cat /proc/cpuinfo | grep rdrand

注記

ソフトウェアコードの例および詳しい情報は「Intel Digital Random Number Generator (DRNG) Software Implementation Guide」を参照してください。

rng-tools パッケージには rngtest ユーティリティーも含まれており、これはデータの乱数度のチェックに使用できます。/dev/random の出力の乱数度をテストするには、以下のように rngtest ツールを使用します。

~]$ cat /dev/random | rngtest -c 1000
rngtest 5
Copyright (c) 2004 by Henrique de Moraes Holschuh
This is free software; see the source for copying conditions. There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

rngtest: starting FIPS tests...
rngtest: bits received from input: 20000032
rngtest: FIPS 140-2 successes: 998
rngtest: FIPS 140-2 failures: 2
rngtest: FIPS 140-2(2001-10-10) Monobit: 0
rngtest: FIPS 140-2(2001-10-10) Poker: 0
rngtest: FIPS 140-2(2001-10-10) Runs: 0
rngtest: FIPS 140-2(2001-10-10) Long run: 2
rngtest: FIPS 140-2(2001-10-10) Continuous run: 0
rngtest: input channel speed: (min=1.171; avg=8.453; max=11.374)Mibits/s
rngtest: FIPS tests speed: (min=15.545; avg=143.126; max=157.632)Mibits/s
rngtest: Program run time: 2390520 microseconds

rngtest ツールの出力で failures の数字が大きい場合は、テストされたデータの乱数度が不十分で信頼すべきでないことを意味します。rngtest ユーティリティーで利用可能なオプションの一覧は、man ページの rngtest(1) を参照してください。

Red Hat Enterprise Linux 7 では virtio RNG (乱数ジェネレーター) デバイスが導入され、ホストマシンからエントロピーにアクセスできる KVM 仮想マシンが提供されています。推奨の設定では、hwrng はホストの Linux カーネルのエントロピープールに (/dev/random 経由で) フィードし、QEMU は、ゲストが要求したエントロピーのソースとして /dev/random を使用します。

図4.1 virtio RNG デバイス

以前は Red Hat Enterprise Linux 7.0 および Red Hat Enterprise Linux 6 のゲストは、rngd ユーザースペースデーモンを経由してホストのエントロピーを使用することができましたが、Red Hat Enterprise Linux のインストールごとに、デーモンを手動で設定する必要がありました。Red Hat Enterprise Linux 7.1 では、この手動手順がなくなり、プロセスがシームレスかつ自動化されたた、えrngd を使用する必要がなくなり、利用可能なエントロピーがしきい値を下回った場合に、ゲストのカーネルがホストからエントロピーを取得します。ゲストのカーネルは、要求が入るとすぐにアプリケーションで利用できるように、乱数を生成できるようになります。

Red Hat Enterprise Linux のインストーラー Anaconda には、インストーラーイメージに virtio-rng モジュールが含まれるようになり、Red Hat Enterprise Linux インストール時にホストのエントロピーが提供されます。

4.10. ポリシーベースの複号を使用して暗号化ボリュームの自動アンロックの設定

ポリシーベースの複号 (PBD)は、ユーザーパスワード、TPM (Trusted Platform Module) デバイス、システムに接続する PKCS#11 デバイス (たとえばスマートカード) のようなさまざま方法を使用して、もしくはネットワークサーバーを活用して、物理マシンおよび仮想マシンでハードドライブの暗号化 root ボリュームおよびセカンダリーボリュームをアンロックできる一連のテクノロジーです。

テクノロジーとして PBD を使用すると、さまざまな方法で同じボリュームのロックを解除する機能を作成するポリシーに、さまざまなアンロック方法を組み合わせることができます。Red Hat Enterprise Linux における PBD の現在の実装は、Clevis フレームワークと、ピンと呼ばれるプラグインから構成されます。各ピンは、個別のアンロック機能を提供します。現在唯一利用できる 2 つのピンは、TPM またなネットワークサーバーでボリュームをアンロックできます。

NBDE (Network Bound Disc Encryption) は、特定のネットワークサーバーに暗号化ボリュームをバインドできるようにする PBD テクノロジーのサブカテゴリーです。NBDE の現在の実装には、Tang サーバーと、Tang サーバー用の Clevis ピンが含まれます。

4.10.1. NBDE (Network-Bound Disk Encryption)

NBDE (Network-Bound Disk Encryption) を使用すると、システムを再起動する際にパスワードを手動で入力せずに、物理マシンおよび仮想マシンのハードドライブの root ボリュームを暗号化できるようになります

Red Hat Enterprise Linux 7 では、NBDE は、以下のコンポーネントおよびテクノロジーにより実装されます。

図4.2 Clevis および Tang を使用する NBDE (Network-Bound Disk Encryption)

Tang は、ネットワークのプレゼンスにデータをバインドするためのものです。セキュリティーが保護された特定のネットワークにシステムをバインドする際に利用可能なデータを含めるようにします。Tang はステートレスで、TLS または認証は必要ありません。サーバーが暗号鍵をすべて保存し、これまでに使用されている各鍵に関する知識を有しているエスクローベースのソリューションとは異なり、Tang はクライアントの鍵と相互作用することはないため、クライアントから識別情報を得ることはありません。

Clevis は、自動化された復号用のプラグイン可能なフレームワークです。NBDE では、Clevis は、LUKS ボリュームの自動アンロックを提供します。clevis パッケージは、クライアントで使用される機能を提供します。

Clevis ピン は、Clevis フレームワークへのプラグインです。このようなピンの 1 つは、NBDE サーバー (Tang) との相互作用を実装するプラグインです。

Clevis および Tang は一般的なクライアントおよびサーバーの機能で、ネットワークがバインドされた暗号化を提供します。Clevis および Tang は、Red Hat Enterprise Linux 7 で NBDE を実現するために、LUKS と組み合わせて、root および非 root のストレージボリュームの暗号化および複号に使用されています。

クライアントおよびサーバーのコンポーネントはともに José ライブラリーを使用して、暗号化および複号の操作を実行します。

NBDE のプロビジョニングを開始すると、Tang サーバーの Clevis ピンは、Tang サーバーの、アドバタイズされている非対称鍵の一覧を取得します。もしくは、鍵は非対称であるため、Tang の公開鍵の一覧を帯域外に配布して、クライアントが Tang サーバーにアクセスしなくても動作できるようにできます。このモードは オフラインプロビジョニング と呼ばれます。

Tang 用のClevis ピンは、公開鍵のいずれかを使用して、固有で、暗号論的に強力な暗号鍵を生成します。この鍵を使用してデータを暗号化すると、この鍵は破棄されます。Clevis クライアントは、使いやすい場所でこのプロビジョニング操作で生成した状態を保存する必要があります。データを暗号化するこのプロセスは プロビジョニング手順 です。NBDE のプロビジョニング状態は、luksmeta パッケージを使用する LUKS ヘッダーに保存されます。

クライアントがそのデータにアクセスする準備ができると、プロビジョニング手順で生成したメタデータをロードし、暗号鍵を戻すために応答します。このプロセスは 復元手順 です。

NBDE では、Clevis は、ピンを使用して LUKS ボリュームをバインドしているため、自動的にロックが解除されます。バインドプロセスが正常に終了すると、提供されている Dracut アンロックを使用してディスクをアンロックできます。

/tmp、/var、/usr/local/ ディレクトリーを持ち、ネットワーク接続が確立される前に開始する必要のあるファイルシステムを含むすべての LUKS 暗号化デバイスは、root ボリューム として考慮されます。また、ネットワークが起動する前にサービス実行で使用されるすべてのマウントポイント (/var/log/、var/log/audit/、/opt) も、root デバイスに切り替えた後にすぐにマウントする必要があります。root ボリュームは /etc/fstab ファイルに _netdev オプションを指定しなくても識別できます。

4.10.2. 暗号化クライアント (Clevis) のインストール

Clevis のプラグイン可能なフレームワークとピンを、暗号化したボリューム (クライアント) を使用するマシンにインストールするには、root で以下のコマンドを実行します。

~]# yum install clevis

データを複号するには、clevis decrypt コマンドを実行して、暗号文 (JWE) を提供します。

~]$ clevis decrypt < JWE > PLAINTEXT

詳細は、組み込みの CLI ヘルプを参照してください。

~]$ clevis
Usage: clevis COMMAND [OPTIONS]

  clevis decrypt      Decrypts using the policy defined at encryption time
  clevis encrypt http Encrypts using a REST HTTP escrow server policy
  clevis encrypt sss  Encrypts using a Shamir's Secret Sharing policy
  clevis encrypt tang Encrypts using a Tang binding server policy
  clevis encrypt tpm2 Encrypts using a TPM2.0 chip binding policy

~]$ clevis decrypt
Usage: clevis decrypt < JWE > PLAINTEXT

Decrypts using the policy defined at encryption time

~]$ clevis encrypt tang
Usage: clevis encrypt tang CONFIG < PLAINTEXT > JWE

Encrypts using a Tang binding server policy

This command uses the following configuration properties:

  url: <string>   The base URL of the Tang server (REQUIRED)

  thp: <string>   The thumbprint of a trusted signing key

  adv: <string>   A filename containing a trusted advertisement
  adv: <object>   A trusted advertisement (raw JSON)

Obtaining the thumbprint of a trusted signing key is easy. If you
have access to the Tang server's database directory, simply do:

    $ jose jwk thp -i $DBDIR/$SIG.jwk 

Alternatively, if you have certainty that your network connection
is not compromised (not likely), you can download the advertisement
yourself using:

    $ curl -f $URL/adv > adv.jws

4.10.3. SELinux を Enforcing モードした Tang サーバーのデプロイメント

Red Hat Enterprise Linux 7.7 以降では、tangd_port_t SELinux タイプを利用できます。Tang サーバーは、SELinux Enforcing モードで制限のあるサービスとしてデプロイできます。

前提条件

policycoreutils-python-utils パッケージおよび依存関係がインストールされている。

手順

tang パッケージおよびその依存関係をインストールするには、root で以下のコマンドを実行します。
```
~]# yum install tang
```
7500/tcp などの使用してないポートを選択し、tangd サービスがそのポートにバインドできるようにします。
```
~]# semanage port -a -t tangd_port_t -p tcp 7500
```
1 つのサービスに使用できるポートは 1 つのみです。つまり、すでに使用しているポートを使用しようとすると、ValueError: Port already defined エラーメッセージが表示されます。

ファイアウォールのポートを開きます。

~]# firewall-cmd --add-port=7500/tcp
~]# firewall-cmd --runtime-to-permanent

systemd を使用して tangd サービスを有効にします。

~]# systemctl enable tangd.socket
Created symlink from /etc/systemd/system/multi-user.target.wants/tangd.socket to /usr/lib/systemd/system/tangd.socket.

上書きファイルを作成します。
```
~]# systemctl edit tangd.socket
```
以下のエディター画面で、/etc/systemd/system/tangd.socket.d/ ディレクトリーで空の override.conf ファイルが開きます。このファイルで、Tang サーバーのデフォルトポートを 80 から、以前取得した番号に変更します。
```
[Socket]
ListenStream=
ListenStream=7500
```
ファイルを保存してエディターを終了します。
変更した設定を再読み込みして、tangd サービスを起動します。
```
~]# systemctl daemon-reload
```

設定が機能していることを確認します。

~]# systemctl show tangd.socket -p Listen
Listen=[::]:7500 (Stream)

tangd サービスを起動します。
```
~]# systemctl start tangd.socket
```

tangd は、systemd ソケットアクティベーションメカニズムを使用しているため、最初に接続するとすぐにサーバーが起動します。最初の起動時に、新しい一組の暗号鍵が自動的に生成されます。

手動による鍵生成などの暗号化操作を実行するには、jose ユーティリティーを使用します。詳細は、jose -h コマンドを実行するか、man ページの jose(1) を参照してください。

例4.4 Tang 鍵の変更

鍵を定期的に変更することが重要です。鍵を変更するのに適した間隔は、アプリケーション、鍵サイズ、および組織のポリシーによって異なります。一般的な推奨事項は「Cryptographic Key Length Recommendation」ページを参照してください。

鍵を変更するには、鍵データベースディレクトリー (通常は /var/db/tang) に新しい鍵を生成するところから始めます。たとえば、以下のコマンドを使用して、新しい署名を作成し、鍵を交換します。

~]# DB=/var/db/tang
~]# jose jwk gen -i '{"alg":"ES512"}' -o $DB/new_sig.jwk
~]# jose jwk gen -i '{"alg":"ECMR"}' -o $DB/new_exc.jwk

アドバタイズメントから見えなくなるように、古い鍵の名前の先頭に . を付けます。以下の例のファイル名は、鍵データベースディレクトリーに実在する固有のファイル名とは異なります。

~]# mv $DB/old_sig.jwk $DB/.old_sig.jwk
~]# mv $DB/old_exc.jwk $DB/.old_exc.jwk

Tang は、直ちにすべての変更を適用します。再起動は必要ありません。

この時点で、新しいクライアントバインディングは新しい鍵を選択し、以前のクライアントは古い鍵を使用し続けます。すべてのクライアントが新しい鍵を使用することを確認すると、古い鍵を削除できます。

警告

クライアントが使用している最中に古い鍵を削除すると、データが失われる場合があります。

4.10.3.1. 高可用性システムのデプロイメント

Tang は、高可用性デプロイメント構築する方法を 2 つ提供します。

クライアントの冗長性 (推奨)
クライアントは、複数の Tang サーバーにバインドする機能を使用して設定する必要があります。この手順では、各 Tang サーバーには独自の鍵があり、クライアントは、このサーバーのサブセットに接続することで複号できるようになります。Clevis では、以前からこのワークフローを sss プラグインによりサポートしています。
この設定の詳細は、以下の man ページを参照してください。
- tang(8) の高可用性 (High Availability) セクション
- clevis(1) のシャミアの秘密共有 (Shamir's Secret Sharing) セクション
- clevis-encrypt-sss(1)
Red Hat では、高可用性デプロイメントにこの方法を使用することを推奨します。
鍵共有
冗長性のために、Tang のインスタンスは複数デプロイできます。2 つ目以降のインスタンスを設定するには、tang パッケージをインストールし、SHH で rsync を使用して、重要なディレクトリーを新しいホストにコピーします。鍵を共有すると、重大な不正アクセスのリスクを増やし、別の自動化インフラストラクチャーが必要となるため、Red Hat はこの方法を推奨しません。

4.10.4. Tang を使用する NBDE システムへの暗号化クライアントのデプロイメント

前提条件

Clevis フレームワークがインストールされている。「暗号化クライアント (Clevis) のインストール」を参照してください。
Tang サーバーが利用可能である。「SELinux を Enforcing モードした Tang サーバーのデプロイメント」を参照してください。

手順

Clevis 暗号化クライアントを Tang サーバーにバインドするには、clevis encrypt tang サブコマンドを使用します。

~]$ clevis encrypt tang '{"url":"http://tang.srv"}' < PLAINTEXT > JWE
The advertisement contains the following signing keys:

_OsIk0T-E2l6qjfdDiwVmidoZjA

Do you wish to trust these keys? [ynYN] y

前の例の http://tang.srv URL を、tang がインストールされているサーバーの URL にぢます。JWE 出力ファイルには、暗号化した暗号文が含まれます。この暗号文は、PLAINTEXT 入力ファイルから読み込まれます。

データを複号するには、clevis decrypt コマンドを実行して、暗号文 (JWE) を提供します。

~]$ clevis decrypt < JWE > PLAINTEXT

詳細は、man ページの clevis-encrypt-tang(1) か、組み込みの CLI ヘルプを参照してください。

~]$ clevis
Usage: clevis COMMAND [OPTIONS]

  clevis decrypt      Decrypts using the policy defined at encryption time
  clevis encrypt http Encrypts using a REST HTTP escrow server policy
  clevis encrypt sss  Encrypts using a Shamir's Secret Sharing policy
  clevis encrypt tang Encrypts using a Tang binding server policy
  clevis encrypt tang Encrypts using a Tang binding server policy
  clevis luks bind    Binds a LUKSv1 device using the specified policy
  clevis luks unlock  Unlocks a LUKSv1 volume

~]$ clevis decrypt
Usage: clevis decrypt < JWE > PLAINTEXT

Decrypts using the policy defined at encryption time

~]$ clevis encrypt tang
Usage: clevis encrypt tang CONFIG < PLAINTEXT > JWE

Encrypts using a Tang binding server policy

This command uses the following configuration properties:

  url: <string>   The base URL of the Tang server (REQUIRED)

  thp: <string>   The thumbprint of a trusted signing key

  adv: <string>   A filename containing a trusted advertisement
  adv: <object>   A trusted advertisement (raw JSON)

Obtaining the thumbprint of a trusted signing key is easy. If you
have access to the Tang server's database directory, simply do:

    $ jose jwk thp -i $DBDIR/$SIG.jwk 

Alternatively, if you have certainty that your network connection
is not compromised (not likely), you can download the advertisement
yourself using:

    $ curl -f $URL/adv > adv.jws

4.10.5. TPM 2.0 ポリシーを使用した暗号化クライアントのデプロイメント

64 ビットの Intel または 64 ビットの AMD アーキテクチャーを使用するシステムは、Trusted Platform Module 2.0 (TPM 2.0) チップを使用して暗号化するクライアントをデプロイするために、JSON 設定オブジェクトフォーマットの引数のみが使用されている clevis encrypt tpm2 サブコマンドを使用します。

~]$ clevis encrypt tpm2 '{}' < PLAINTEXT > JWE

別の階層、ハッシュ、および鍵アルゴリズムを選択するには、以下のように、設定プロパティーを指定します。

~]$ clevis encrypt tpm2 '{"hash":"sha1","key":"rsa"}' < PLAINTEXT > JWE

データを復号するには、暗号文 (JWE) を提供します。

~]$ clevis decrypt < JWE > PLAINTEXT

ピンは、PCR (Platform Configuration Registers) 状態へのデータのシーリングもサポートします。このように、PCP ハッシュ値が、シーリング時に使用したポリシーと一致する場合にのみ、データのシーリングを解除できます。

たとえば、SHA1 バンクに対して、インデックス 0 および 1 の PCR にデータをシールするには、以下を行います。

~]$ clevis encrypt tpm2 '{"pcr_bank":"sha1","pcr_ids":"0,1"}' < PLAINTEXT > JWE

詳細と、可能な設定プロパティーの一覧は、man ページ clevis-encrypt-tpm2(1) を参照してください。

4.10.6. root ボリュームの手動登録の設定

既存の LUKS 暗号化 root ボリュームを自動的にアンロックするには、clevis-luks サブパッケージをインストールし、clevis luks bind コマンドを使用して Tang サーバーにボリュームをバインドします。

~]# yum install clevis-luks

~]# clevis luks bind -d /dev/sda tang '{"url":"http://tang.srv"}'
The advertisement contains the following signing keys:

_OsIk0T-E2l6qjfdDiwVmidoZjA

Do you wish to trust these keys? [ynYN] y
You are about to initialize a LUKS device for metadata storage.
Attempting to initialize it may result in data loss if data was
already written into the LUKS header gap in a different format.
A backup is advised before initialization is performed.

Do you wish to initialize /dev/sda? [yn] y
Enter existing LUKS password:

このコマンドは、以下の 4 つの手順を実行します。

LUKS マスター鍵と同じエントロピーを使用して、新しい鍵を作成します。
Clevis で新しい鍵を暗号化します。
LUKSMeta を使用して LUKS ヘッダーに Clevis JWE オブジェクトを保存します。
LUKS を使用するために新しい鍵を有効にします。

このディスクは、既存のパスワードと Clevis ポリシーを使用してアンロックできるようになりました。詳細は、man ページの clevis-luks-bind(1) を参照してください。

注記

バインド手順では、少なくとも 1 つの空き LUKS パスワードスロットがあることが前提となっています。clevis luks bind コマンドは、そのスロットを 1 つ取ります。

Clevis JWE オブジェクトが LUKS ヘッダーに適切に配置されていることを確認するには、luksmeta show コマンドを使用します。

~]# luksmeta show -d /dev/sda
0   active empty
1   active cb6e8904-81ff-40da-a84a-07ab9ab5715e
2 inactive empty
3 inactive empty
4 inactive empty
5 inactive empty
6 inactive empty
7 inactive empty

システムの起動プロセスの初期段階でディスクバインディングを処理するようにするには、インストール済みのシステムで以下のコマンドを実行します。

~]# yum install clevis-dracut
~]# dracut -f

重要

(DHCP を使用しない) 静的な IP 設定を持つクライアントに NBDE を使用するには、以下のように、手動でネットワーク設定を dracut ツールに渡します。

~]# dracut -f --kernel-cmdline "ip=192.0.2.10 netmask=255.255.255.0 gateway=192.0.2.1 nameserver=192.0.2.45"

もしくは、以下のように、静的ネットワーク情報を使用して /etc/dracut.conf.d/ ディレクトリーに .conf ファイルを作成します。

~]# cat /etc/dracut.conf.d/static_ip.conf
kernel_cmdline="ip= 10.0.0.103 netmask=255.255.252.0 gateway=10.0.0.1 nameserver=10.0.0.1"

初期 RAM ディスクイメージを再生成します。

~]# dracut -f

詳細は man ページの dracut.cmdline(7) を参照してください。

4.10.7. キックスタートを使用した自動登録の設定

Clevis は、登録プロセスを完全に自動化するために、キックスタートと統合できます。

root パーティションが、一時的なパスワードを使用して、LUKS 暗号化を有効にしているディスクを分割するように、キックスタートに指示します。パスワードは、登録プロセスに使用するための一時的なものです。
```
part /boot --fstype="xfs" --ondisk=vda --size=256
part / --fstype="xfs" --ondisk=vda --grow --encrypted --passphrase=temppass
```
関連する Clevis パッケージを %packages セクションに追加して、インストールします。
```
%packages
clevis-dracut
%end
```
clevis luks bind を呼び出して、%post セクションのバインディングを実行します。その後、一時パスワードを削除します。
```
%post
clevis luks bind -f -k- -d /dev/vda2 \                                          
tang '{"url":"http://tang.srv","thp":"_OsIk0T-E2l6qjfdDiwVmidoZjA"}' \ <<< "temppass"                                                              
cryptsetup luksRemoveKey /dev/vda2 <<< "temppass"
%end
```
上記の例では、Tang サーバーをバインディング設定の一部として Tang サーバーで信頼するサムプリントを指定して、バインディングを完全に非対話にできます。
Tang サーバーの代わりに TPM 2.0 ポリシーを使用する場合は、類似の手順を使用できます。

キックスタートインストールの詳細は『Red Hat Enterprise Linux 7 インストールガイド』を参照してください。Linux の LUKS (Unified Key Setup-on-disk-format) の詳細は「LUKS のディスク暗号化の使用」を参照してください。

4.10.8. リムーバブルストレージデバイスの自動アンロックの設定

USB ドライブなど、LUKS で暗号化したリムーバブルストレージデバイスを自動的にアンロックするには、clevis-udisks2 パッケージをインストールします。

~]# yum install clevis-udisks2

システムを再起動し、「root ボリュームの手動登録の設定」の説明通りに、clevis luks bind コマンドを使用したバインディング手順を実行します。以下に例を示します。

~]# clevis luks bind -d /dev/sdb1 tang '{"url":"http://tang.srv"}'

LUKS で暗号化したリムーバブルデバイスは、GNOME デスクトップセッションで自動的にアンロックできるようになりました。Clevis ポリシーにバインドするデバイスは、clevis luks unlock コマンドでアンロックできます。

~]# clevis luks unlock -d /dev/sdb1

Tang サーバーの代わりに TPM 2.0 ポリシーを使用する場合は、類似の手順を使用できます。

4.10.9. 起動時に非 root ボリュームの自動アンロックの設定

LUKS 暗号化した非 root ボリュームをアンロックするのに NBDE を使用するには、以下の手順を実行します。

clevis-systemd パッケージをインストールします。
```
~]# yum install clevis-systemd
```

Clevis のアンロックサービスを有効にします。

~]# systemctl enable clevis-luks-askpass.path
Created symlink from /etc/systemd/system/remote-fs.target.wants/clevis-luks-askpass.path to /usr/lib/systemd/system/clevis-luks-askpass.path.

「root ボリュームの手動登録の設定」の説明通りに clevis luks bind コマンドを使用してバインド手順を実行します。
システムの起動時に暗号化したブロックデバイスを設定するには、_netdev オプションに相当する行を /etc/crypttab 設定ファイルに追加します。詳細は man ページの crypttab(5) を参照してください。
/etc/fstab ファイルでアクセス可能なファイルシステムの一覧にボリュームを追加します。また、この設定ファイルで _netdev オプションを使用します。詳細は man ページの fstab(5) を参照してください。

4.10.10. NBDE ネットワークで仮想マシンのデプロイメント

clevis luks bind コマンドは、LUKS マスターキーを変更しません。これは、仮想マシンまたはクラウド環境で使用するためにLUKS で暗号化したイメージを作成する場合に、このイメージを実行するすべてのインスタンスがマスター鍵を共有することを意味します。これはセキュリティーに関して大きな問題があるため、常に回避する必要があります。

これは、Clevis の制限ではなく、LUKS の設計原理です。クラウドに暗号化された root ボリュームが必要な場合は、クラウドの Red Hat Enterprise Linux の各インスタンスに対してインストールプロセスを実行できるようにする (通常はキックスタートを使用) 必要があります。このイメージは、LUKS マスターキーを共有しなければ共有できません。

仮想化環境に自動アンロックをデプロイする場合は、キックスタートファイルを使用して lorax、virt-install などのシステムを使用すること (「キックスタートを使用した自動登録の設定」を参照)、または暗号化した各仮想マシンに固有のマスター鍵があるようにする自動プロビジョニングツールを使用することを Red Hat は強く推奨します。

4.10.11. NBDE を使用してクラウド環境に自動的に登録可能な VM イメージの構築

自動登録が可能な、暗号化されたイメージをクラウド環境にデプロイすると、特有の課題が発生する可能性があります。その他の仮想化環境と同様、LUKS マスターキーを共有しないように、1 つのイメージから起動するインスタンスの数を減らすことが推奨されます。

したがって、ベストプラクティスは、どのパブリックリポジトリーでも共有されず、限られた数のインスタンスをデプロイするための基盤を提供する、カスタマイズされたイメージを作成することです。作成するインスタンスの正確な数は、デプロイメントのセキュリティポリシーによって定義され、LUKS マスターキーの攻撃ベクトルに関連するリスク許容度に基づいて決定する必要があります。

LUKS に対応する自動デプロイメントを構築するには、Lorax、virt-install などのシステムとキックスタートファイルを一緒に使用し、イメージ構築プロセス中にマスターキーの一意性を確保する必要があります。

クラウド環境では、ここで検討する 2 つの Tang サーバーデプロイメントオプションが利用できます。まず、クラウド環境そのものに Tang サーバーをデプロイできます。もしくは、2 つのインフラストラクチャー間で VPN リンクを使用した独立したインフラストラクチャーで、クラウドの外に Tang サーバーをデプロイできます。

クラウドに Tang をネイティブにデプロイすると、簡単にデプロイできます。ただし、別のシステムの暗号文のデータ永続化層でインフラストラクチャーを共有します。Tang サーバーの秘密鍵および Clevis メタデータは、同じ物理ディスクに保存できる場合があります。この物理ディスクでは、暗号文データへのいかなる不正アクセスが可能になります。

重要

このため、Red Hat は、データを保存する場所と、Tang が実行しているシステムの間に物理的な分離を維持することを強く推奨します。クラウドと Tang サーバーを分離することで、Tang サーバーの秘密鍵が、Clevis メタデータと誤って結合することがないようにします。また、これは、クラウドインフラストラクチャーが危険にさらされている場合に、Tang サーバーのローカル制御を提供します。

4.10.12. その他のリソース

How to set up Network Bound Disk Encryption with multiple LUKS devices (Clevis+Tang unlocking) ナレッジベース記事。

詳細は、以下の man ページを参照してください。

tang(8)
clevis(1)
jose(1)
clevis-luks-unlockers(1)
tang-nagios(1)

4.11. AIDE との整合性の確認

AIDE (Advanced Intrusion Detection Environment) は、システムのファイルのデータベースを作成し、そのデータベースを使用してファイルの整合性を確保し、システムの侵入を検出します。

4.11.1. AIDE のインストール

aide パッケージをインストールするには、root で以下のコマンドを実行します。

~]# yum install aide

初期データベースを生成するには、以下のコマンドを root として入力します。

~]# aide --init

AIDE, version 0.15.1

### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

注記

デフォルト設定では、aide --init コマンドは、/etc/aide.conf ファイルで定義するディレクトリーとファイルのセットだけを確認します。ディレクトリーまたはファイルを AIDE データベースに追加し、監視パラメーターを変更するには、/etc/aide.conf を変更します。

データベースの使用を開始するには、初期データベースのファイル名から従属文字列の .new を削除します。

~]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

AIDE データベースの場所を変更するには、/etc/aide.conf ファイルで DBDIR 値を変更します。追加のセキュリティーについては、データベース、設定、/usr/sbin/aide バイナリーファイルを、読み取り専用メディアなどの安全な場所に保存します。

重要

AIDE データベースの場所を変更したあと SELinux が拒否しないように、SELinux ポリシーを適宜更新します。詳細は SELinux ユーザーおよび管理者のガイドを参照してください。

4.11.2. 整合性確認の実行

手動で確認を開始するには、root で以下のコマンドを実行します。

~]# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2017-03-30 14:12:56

Summary:
  Total number of files:	147173
  Added files:			1
  Removed files:		0
  Changed files:		2
...

少なくても、スキャンを毎週実行するように AIDE を設定する必要があります。AIDE の頻度は、多くても1日1回までにしてください。たとえば、cron を使用して、毎日 4:05 am に AIDE を実行するようにスケジュールする (『システム管理者のガイド』の「システムタスクの自動化」の章を参照) には、以下の行を /etc/crontab に追加します。

05 4 * * * root /usr/sbin/aide --check

4.11.3. AIDE データベースの更新

システムの変更 (パッケージの更新、設定ファイルの修正など) を行った場合は、基本となる AIDE データベースを更新します。

~]# aide --update

aide --update コマンドが /var/lib/aide/aide.db.new.gz データベースファイルを作成します。整合性の確認にこれを使用するには、ファイル名から従属文字列 .new を削除します。

4.11.4. その他のリソース

AIDE の詳細は、以下のドキュメントを参照してください。

man ページの aide(1)
man ページの aide.conf(5)
Guide to the Secure Configuration of Red Hat Enterprise Linux 7 (OpenSCAP Security Guide): Verify Integrity with AIDE

4.12. USBGuard の使用

USBGuard ソフトウェアフレームワークは、デバイス属性に基づいて基本的なホワイトリストおよびブラックリストのを実装することで侵入 USB デバイスに対してシステム保護を提供します。ユーザーが定義したポリシーを強制するには、USBGuard が Linux カーネル USB デバイス認証機能を使用します。USBGuard フレームワークは、以下のコンポーネントを提供します。

動的対話およびポリシー強制に関する IPC (inter-process communication) インターフェースを使用したデーモンコンポーネント
実行中の USBGuard インスタンスと対話するコマンドラインインターフェース
USB デバイス認証ポリシーを記述するルール言語
共有ライブラリーに実装したデーモンコンポーネントと対話する C++ API

4.12.1. USBGuard のインストール

usbguard パッケージをインストールするには、root で以下のコマンドを実行します。

~]# yum install usbguard

初期ルールセットを作成するには、root で以下のコマンドを実行します。

~]# usbguard generate-policy > /etc/usbguard/rules.conf

注記

USBGuard ルールセットをカスタマイズするには、/etc/usbguard/rules.conf ファイルを変更します。詳細は、man ページの usbguard-rules.conf(5) を参照してください。使用例は「ルール言語を使用した独自ポリシーの作成」を参照してください。

USBGuard デーモンを起動するには、root で以下のコマンドを実行します。

~]# systemctl start usbguard.service
~]# systemctl status usbguard
● usbguard.service - USBGuard daemon
   Loaded: loaded (/usr/lib/systemd/system/usbguard.service; disabled; vendor preset: disabled)
   Active: active (running) since Tue 2017-06-06 13:29:31 CEST; 9s ago
     Docs: man:usbguard-daemon(8)
 Main PID: 4984 (usbguard-daemon)
   CGroup: /system.slice/usbguard.service
           └─4984 /usr/sbin/usbguard-daemon -k -c /etc/usbguard/usbguard-daem...

システムの起動時に USBGuard が自動的に起動するようにするには、root で以下のコマンドを実行します。

~]# systemctl enable usbguard.service
Created symlink from /etc/systemd/system/basic.target.wants/usbguard.service to /usr/lib/systemd/system/usbguard.service.

USBGuard が認識する USB デバイスを一覧表示するには、root で以下のコマンドを実行します。

~]# usbguard list-devices
1: allow id 1d6b:0002 serial "0000:00:06.7" name "EHCI Host Controller" hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" parent-hash "4PHGcaDKWtPjKDwYpIRG722cB9SlGz9l9Iea93+Gt9c=" via-port "usb1" with-interface 09:00:00
...
6: block id 1b1c:1ab1 serial "000024937962" name "Voyager" hash "CrXgiaWIf2bZAU+5WkzOE7y0rdSO82XMzubn7HDb95Q=" parent-hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" via-port "1-3" with-interface 08:06:50

システムと対話するようにデバイスを認証するには、allow-device オプションを使用します。

~]# usbguard allow-device 6

デバイスの認証を解除してシステムから削除するには、reject-device オプションを使用します。デバイスの認証解除だけを行う場合は、usbguard コマンドに block-device オプションを付けて使用します。

~]# usbguard block-device 6

USBGuard では、block および reject は以下の意味で使用されます。

block - 今は、このデバイスとはやりとりしない
reject - このデバイスが存在していないかのように、無視する

usbguard コマンドのオプションをすべて表示するには、以下のように、--help ディレクティブを付けて実行します。

~]$ usbguard --help

4.12.2. ホワイトリストおよびブラックリストの作成

usbguard-daemon.conf ファイルは、コマンドラインオプションを解析したあと、usbguard デーモンによりロードされ、デーモンのランタイムパラメーターを設定するために使用されます。デフォルトの設定ファイル (/etc/usbguard/usbguard-daemon.conf) を上書きするには、-c コマンドラインオプションを使用します。詳細は、man ページの usbguard-daemon(8) を参照してください。

ホワイトリストまたはブラックリストを作成するには、usbguard-daemon.conf ファイルを編集し、以下のオプションを使用します。

USBGuard 設定ファイル

RuleFile=<path>

usbguard デーモンはこのファイルを使用して、それからポリシールールセットをロードし、IPC インターフェース経由で受け取った新しいルールを記述します。

IPCAllowedUsers=<username> [<username> ...]

このデーモンが IPC 接続を許可するユーザー名の、スペース区切りの一覧。

IPCAllowedGroups=<groupname> [<groupname> ...]

このデーモンが IPC 接続を許可するグループ名の、スペース区切りの一覧。

IPCAccessControlFiles=<path>

IPC アクセス制御ファイルを保持するディレクトリーへのパス

ImplicitPolicyTarget=<target>

ポリシー内のどのルールにも一致しないデバイスを扱う方法。許容される値は allow、block、および reject です。

PresentDevicePolicy=<policy>

デーモンが起動するときにすでに接続されているデバイスを処理する方法。

allow - 存在するデバイスをすべて認証する
block - 存在するデバイスの認証をすべて解除する
reject - 存在するデバイスをすべて削除する
keep - 内部ステータスの同期だけを行う
apply-policy - 存在するすべてのデバイスに対してルールセットを評価する

PresentControllerPolicy=<policy>

デーモンが起動するときにすでに接続されている USB コントローラーの処理方法

allow - 存在するデバイスをすべて認証する
block - 存在するデバイスの認証をすべて解除する
reject - 存在するデバイスをすべて削除する
keep - 内部ステータスの同期だけを行う
apply-policy - 存在するすべてのデバイスに対してルールセットを評価する

例4.5 USBGuard 設定

以下の設定ファイルは、usbguard デーモンが、/etc/usbguard/rules.conf ファイルからルールをロードし、usbguard グループのユーザーだけが IPC インターフェースを使用できるようにします。

RuleFile=/etc/usbguard/rules.conf
IPCAccessControlFiles=/etc/usbguard/IPCAccessControl.d/

IPC Access Control List (ACL) を指定するには、usbguard add-user コマンドまたは usbguard remove-user コマンドを使用します。詳細は usbguard(1) を参照してください。この例では、usbguard グループのユーザーだけが、USB デバイス認証ステータスの修正、USB デバイスの一覧表示、例外イベントのリッスン、および USB 認証ポリシーの一覧表示を可能にするには、root で以下のコマンドを実行します。

~]# usbguard add-user -g usbguard --devices=modify,list,listen --policy=list --exceptions=listen

重要

デーモンは、USBGuard に公開 IPC インターフェースを提供します。Red Hat Enterprise Linux では、このインターフェースへのアクセスがデフォルトで root ユーザーにのみ制限されます。IPCAccessControlFiles オプション (推奨)、または IPCAllowedUsers オプションおよび IPCAllowedGroups オプションを設定して IPC インターフェースへのアクセスを制御することを検討してください。ACL は未設定のままにしないでください。未設定のままにすると IPC インターフェースがすべてのローカルユーザーに公開され、USB デバイスの認証状態を操作し、USBGuard ポリシーを修正できるようになります。

詳細は、man ページの usbguard-daemon.conf(5) の IPC アクセス制御セクションを参照してください。

4.12.3. ルール言語を使用した独自ポリシーの作成

usbguard デーモンは、ルールセットが定義するポリシーに基づいて USB デバイスを認証するかどうかを決定します。USB デバイスがシステムに挿入されると、デーモンが既存のルールを順次スキャンし、一致ルールが見つかると、ルールのターゲットに基づいて認証 (allows)、認証解除 (blocks)、または削除 (rejects) します。一致するルールが見つからない場合、決定は暗黙のデフォルトターゲットに基づいています。暗黙のデフォルトは、ユーザーが決定を行うまで、デバイスをブロックします。

ルール言語の文法は以下のようになります。

rule ::= target device_id device_attributes conditions.

target ::= "allow" | "block" | "reject".

device_id ::= "*:*" | vendor_id ":*" | vendor_id ":" product_id.

device_attributes ::= device_attributes | attribute.
device_attributes ::= .

conditions ::= conditions | condition.
conditions ::= .

ターゲット、デバイス指定、デバイス属性などのルール言語の詳細は、man ページの usbguard-rules.conf(5) を参照してください。

例4.6 USBguard のサンプルポリシー

Allow USB mass storage devices and block everything else

このポリシーは、大容量のストレージデバイス以外のデバイスをブロックするだけではありません。USB フラッシュディスクで非表示のキーボードインターフェースを持つデバイスがブロックされます。1 つの大容量ストレージインターフェースを持つデバイスだけがオペレーティングシステムと対話できます。ポリシーは、以下のような 1 つのルールで構成されます。

allow with-interface equals { 08:*:* }

ブロックルールがないため、ブロックは暗黙的です。暗黙ブロックは、暗黙的ターゲットがデバイスに対して選択される場合に、USBGuard イベントをリッスンさせるデスクトップアプレットがユーザーに決定を求めることができるため、デスクトップユーザーに便利です。

特定の Yubikey デバイスが、特定ポートを経由して接続できるようにします。

そのポートでその他のすべてのものを拒否します。

allow 1050:0011 name "Yubico Yubikey II" serial "0001234567" via-port "1-2" hash "044b5e168d40ee0245478416caf3d998"
reject via-port "1-2"

インターフェースの疑わしい組み合わせを持つデバイスを拒否します。

キーボードまたはネットワークインターフェースを実装する USB フラッシュディスクは非常に疑わしくなります。以下のルールセットは、USB フラッシュディスクを許可して、疑わしいインターフェースを追加して、デバイスを明示的に拒否するポリシーを形成します。

allow with-interface equals { 08:*:* }
reject with-interface all-of { 08:*:* 03:00:* }
reject with-interface all-of { 08:*:* 03:01:* }
reject with-interface all-of { 08:*:* e0:*:* }
reject with-interface all-of { 08:*:* 02:*:* }

注記

ブラックリストはアプローチとしては間違っており、一連のデバイスをブラックリストに登録して残りを許可するような設定は行わないでください。。上述のポリシーは、ブロックが暗黙的なデフォルトであることを前提としています。「問題のある」ものとみなされる一連のデバイスを拒否するアプローチとは、そのようなデバイスへのシステムの公開をできるだけ制限する方法としては適切な方法となります。

キーボードのみの USB デバイスを許可

以下のルールは、キーボードインターフェースがすでに許可されている USB デバイスがない場合に限り、キーボードのみの USB デバイスを許可します。

allow with-interface one-of { 03:00:01 03:01:01 } if !allowed-matches(with-interface one-of { 03:00:01 03:01:01 })

usbguard generate-policy コマンドを使用して初期ポリシーを生成したら、/etc/usbguard/rules.conf を編集して USBGuard ポリシールールをカスタマイズします。

~]$ usbguard generate-policy > rules.conf
~]$ vim rules.conf

更新したポリシーをインストールして変更を有効にするには、以下のコマンドを実行します。

~]# install -m 0600 -o root -g root rules.conf /etc/usbguard/rules.conf

4.12.4. その他のリソース

USBGuard の詳細は、以下のドキュメントを参照してください。

man ページの usbguard(1)
man ページの usbguard-rules.conf(5)
man ページの usbguard-daemon(8)
man ページの usbguard-daemon.conf(5)
USBGuard のホームページ

4.13. TLS 設定の強化

TLS (トランスポート層セキュリティー) は、ネットワーク通信をセキュアにするのに使用する暗号化プロトコルです。優先する 鍵交換プロトコル、認証方法、および 暗号化アルゴリズム を設定してシステムのセキュリティー設定を強化する場合は、サポートするクライアントの範囲が広ければ広いほど、セキュリティーのレベルが低くなることに注意してください。反対に、セキュリティー設定を厳密にすると、クライアントとの互換性が制限され、システムからロックアウトされるユーザーが出てくる可能性もあります。可能な限り厳密な設定を目指し、互換性のために必要な場合にのみ、これを緩めるようにしてください。

Red Hat Enterprise Linux 7 に含まれるライブラリーが提供するデフォルト設定は、ほとんどの導入において十分に安全なものです。TLS 実装は、可能な場合はセキュアなアルゴリズムを使用する一方で、レガシークライアントまたはサーバーとの接続を妨げません。セキュアなアルゴリズムやプロトコルをサポートしていないレガシーのクライアントやサーバーの接続が期待できない場合やそれらの接続が許可されない場合に、厳密なセキュリティー要件の環境で本セクションで説明されている強化設定を適用してください。

4.13.1. 有効にするアルゴリズムの選択

選択して設定する必要があるコンポーネントがいくつかあります。以下で説明するものはすべて、その設定結果 (つまり、クライアントにおけるサポートレベル) やシステム上でソリューションが持つコンピューターのデマンドに直接影響します。

プロトコルのバージョン

最新バージョンの TLS は、すぐれたセキュリティーメカニズムを提供します。古いバージョンの TLS (さらに SSL) のサポートを含める切実な理由がなければ、最新バージョンの TLS のみを使ってシステムが接続するようにしてください。

SSL のバージョン 2 または 3 を使った処理を許可しないでください。これらのバージョンには、セキュリティーに関する重大な脆弱性があります。TLS のバージョン 1.0 以上を使った処理のみを許可してください。現行の TLS バージョン 1.2 を常に優先するようにしてください。

注記

TLS の全バージョンのセキュリティーは現在、TLS 拡張機能、特定の暗号 (下記参照)、および他の回避策に依存していることに注意してください。TLS の接続ピアはすべてセキュアな再交渉記号 (RFC 5746) を実装する必要があり、圧縮をサポートしていない必要があります。また、CBC モードの暗号 (Lucky Thirteen 攻撃) に対するタイミング攻撃を緩和する方法を実装する必要があります。TLS 1.0 クライアントはさらに、レコード分割 (BEAST 攻撃に対する回避策) を実装する必要があります。TLS 1.2 は、AES-GCM、AES-CCM、または Camellia-GCM といった既知の問題のない 認証付き暗号 (Authenticated Encryption with Associated Data : AEAD) モードの暗号をサポートしています。ここに記載された緩和策はすべて、Red Hat Enterprise Linux に含まれる暗号ライブラリーに実装されています。

プロトコルのバージョンおよび推奨される使用方法についての概要は、表4.6「プロトコルのバージョン」を参照してください。

表4.6 プロトコルのバージョン

プロトコルのバージョン	推奨される使用方法
`SSL v2`	使用しないでください。重大なセキュリティー上の脆弱性があります。
`SSL v3`	使用しないでください。重大なセキュリティー上の脆弱性があります。
`TLS 1.0`	必要な場合は、相互運用性目的で使用します。相互運用性を保証する方法では緩和できない既知の問題があります。このため、緩和策はデフォルトでは有効になっていません。最新の暗号化スイートには対応していません。
`TLS 1.1`	必要な場合は、相互運用性目的で使用します。既知の問題はありませんが、Red Hat Enterprise Linux の `TLS` 実装すべてに含まれるプロトコル修正に依存します。最新の暗号化スイートには対応していません。
`TLS 1.2`	推奨されるバージョンです。最新の `AEAD` 暗号化スイートに対応しています。

Red Hat Enterprise Linux のコンポーネントの中には、TLS 1.1 や 1.2 に対応しているのに TLS 1.0 を使用する設定になっているものもあります。これは、最新バージョンの TLS に対応していない可能性のある外部サービスとの最高レベルの相互運用性を達成する目的でこのようになっています。相互運用性の要件に対応して、利用可能な最高レベルの TLS バージョンを有効にしてください。

重要

SSL v3 の使用は推奨されません。これは安全ではなく一般の使用には適していませんが、SSL v3 をどうしても有効にする必要がある場合は、「stunnel の使用」を参照してください。暗号化に対応していない、または旧式で安全でない暗号化モードの使用しかできないサービスを使用する場合でも、stunnel を使用して安全に通信を暗号化する方法が説明されています。

暗号化スイート

旧式の安全でない 暗号化スイート ではなく、最近のより安全なものを使ってください。eNULL および aNULL 暗号化スイートは暗号化や認証をまったく提供しないので、常に無効にしてください。RC4 や HMAC-MD5 をベースとした暗号化スイートには重大な欠陥があるので、可能な場合はこれらも無効にしてください。いわゆる エクスポート暗号化スイートも同様にしてください。これらは意図的に弱くなっているので、侵入が容易になっています。

128 ビット未満のセキュリティーしか提供しない暗号化スイートは直ちに不安というわけではありませんが、これらは短期間の使用に考慮すべきではありません。128 ビット以上のセキュリティーを使用するアルゴリズムは少なくとも数年間は解読不可能であることが期待されているので、強く推奨されます。3DES 暗号は 168 ビットの使用といわれていますが、実際に提供されているのは 112 ビットのセキュリティーであることに注意してください。

(perfect) forward secrecy (PFS) をサポートしている暗号化スイートを常に優先させてください。PFS は、サーバー鍵が漏れたとしても、暗号化されたデータの秘密性は確保されます。これにより、すばやい RSA 鍵の交換がなくなる一方、ECDHE および DHE の使用が可能になります。これら 2 つのうちでは、ECDHE の方がより速いため、優先される選択肢となります。

AES-GCM などの AEAD 暗号はパディングオラクル攻撃 (padding oracle attacks) に対して脆弱ではないため、CBC モードの暗号よりも優先してください。さらに多くの場合、AES-GCM は特にハードウェアに AES 用の暗号化アクセラレーターがある場合、CBC モードの AES よりも高速です。

また、ECDSA 証明書を使って ECDHE 鍵交換を使用する際は、純粋な RSA 鍵交換よりも速くなります。レガシークライアント用のサポートを提供するには、サーバー上に証明書と鍵のペアを 2 つインストールします。ひとつは ECDSA 鍵 (新規クライアント用) で、もうひとつは RSA 鍵 (レガシークライアント用) です。

公開鍵の長さ

RSA 鍵を使用する際は常に、少なくとも SHA-256 で署名された最低 3072 ビットの鍵の長さを優先させます。これは、真の 128 ビットのセキュリティーでは十分な大きさです。

警告

システムのセキュリティー強度は、チェーンの中の最も弱いリンクが示すものと同じであるということを念頭に置いてください。たとえば、強力な暗号化だけではすぐれたセキュリティーは保証されません。鍵と証明書も同様に重要で、認証機関 (CA) が鍵の署名に使用するハッシュ機能と鍵もまた重要になります。

4.13.2. TLS 実装の使用

Red Hat Enterprise Linux 7 には、完全機能の TLS 実装が同梱されています。本セクションでは、OpenSSL および GnuTLS の設定を説明します。個別アプリケーションでの TLS サポートの設定方法については、「特定アプリケーションの設定」を参照してください。

利用可能な TLS 実装は、各種の 暗号化スイートをサポートします。これらのスイートは、TLS でセキュア化された通信の確立および使用時に一緒に送られる全要素を定義します。

「有効にするアルゴリズムの選択」で示された推奨事項を検討するとともに、各種の実装で含まれているツールを使って、ご自分のユースケースにとって最善のセキュリティーを提供する暗号化スイートを一覧表示、指定してください。そこでできた暗号化スイートを使って、各アプリケーションが接続を処理してセキュア化することができます。

重要

使用する TLS 実装またはその実装を利用するアプリケーションが更新またはアップグレードされた後は、必ず設定をチェックしてください。新しいバージョンは、ユーザーが有効化を希望せずかつ使用中の設定では無効にされない、新たな暗号化スイートを導入する場合があります。

4.13.2.1. OpenSSL での暗号化スイートの使用

OpenSSL は、SSL プロトコルおよび TLS プロトコルをサポートするツールキットおよび暗号化ライブラリーです。Red Hat Enterprise Linux 7 では、設定ファイルは /etc/pki/tls/openssl.cnf にあります。その形式は、config(1) で確認できます。「OpenSSL の設定」も参照してください。

インストール済みの OpenSSL でサポートされている暗号化スイートすべてを一覧表示するには、以下のように openssl コマンドで ciphers サブコマンドを実行します。

~]$ openssl ciphers -v 'ALL:COMPLEMENTOFALL'

(OpenSSL ドキュメンテーションでは cipher strings および keywords と呼ばれる) 他のパラメーターを ciphers コマンドに渡して出力を絞ります。特別なキーワードを使うと、特定の条件を満たすスイートのみを一覧表示することができます。たとえば、HIGH グループに属するスイートのみを一覧表示するには、以下のコマンドを実行します。

~]$ openssl ciphers -v 'HIGH'

利用可能なキーワードおよび暗号化文字列の一覧は、man ページの ciphers(1) を参照してください。

「有効にするアルゴリズムの選択」の推奨事項を満たす暗号化スイートを一覧表示するには、以下のようなコマンドを実行します。

~]$ openssl ciphers -v 'kEECDH+aECDSA+AES:kEECDH+AES+aRSA:kEDH+aRSA+AES' | column -t
ECDHE-ECDSA-AES256-GCM-SHA384  TLSv1.2  Kx=ECDH  Au=ECDSA  Enc=AESGCM(256)  Mac=AEAD
ECDHE-ECDSA-AES256-SHA384      TLSv1.2  Kx=ECDH  Au=ECDSA  Enc=AES(256)     Mac=SHA384
ECDHE-ECDSA-AES256-SHA         SSLv3    Kx=ECDH  Au=ECDSA  Enc=AES(256)     Mac=SHA1
ECDHE-ECDSA-AES128-GCM-SHA256  TLSv1.2  Kx=ECDH  Au=ECDSA  Enc=AESGCM(128)  Mac=AEAD
ECDHE-ECDSA-AES128-SHA256      TLSv1.2  Kx=ECDH  Au=ECDSA  Enc=AES(128)     Mac=SHA256
ECDHE-ECDSA-AES128-SHA         SSLv3    Kx=ECDH  Au=ECDSA  Enc=AES(128)     Mac=SHA1
ECDHE-RSA-AES256-GCM-SHA384    TLSv1.2  Kx=ECDH  Au=RSA    Enc=AESGCM(256)  Mac=AEAD
ECDHE-RSA-AES256-SHA384        TLSv1.2  Kx=ECDH  Au=RSA    Enc=AES(256)     Mac=SHA384
ECDHE-RSA-AES256-SHA           SSLv3    Kx=ECDH  Au=RSA    Enc=AES(256)     Mac=SHA1
ECDHE-RSA-AES128-GCM-SHA256    TLSv1.2  Kx=ECDH  Au=RSA    Enc=AESGCM(128)  Mac=AEAD
ECDHE-RSA-AES128-SHA256        TLSv1.2  Kx=ECDH  Au=RSA    Enc=AES(128)     Mac=SHA256
ECDHE-RSA-AES128-SHA           SSLv3    Kx=ECDH  Au=RSA    Enc=AES(128)     Mac=SHA1
DHE-RSA-AES256-GCM-SHA384      TLSv1.2  Kx=DH    Au=RSA    Enc=AESGCM(256)  Mac=AEAD
DHE-RSA-AES256-SHA256          TLSv1.2  Kx=DH    Au=RSA    Enc=AES(256)     Mac=SHA256
DHE-RSA-AES256-SHA             SSLv3    Kx=DH    Au=RSA    Enc=AES(256)     Mac=SHA1
DHE-RSA-AES128-GCM-SHA256      TLSv1.2  Kx=DH    Au=RSA    Enc=AESGCM(128)  Mac=AEAD
DHE-RSA-AES128-SHA256          TLSv1.2  Kx=DH    Au=RSA    Enc=AES(128)     Mac=SHA256
DHE-RSA-AES128-SHA             SSLv3    Kx=DH    Au=RSA    Enc=AES(128)     Mac=SHA1

上記のコマンドはセキュアでない暗号をすべて省略し、ephemeral elliptic curve Diffie-Hellman 鍵交換と ECDSA 暗号を優先します。また、RSA 鍵交換も省略します (perfect forward secrecy が保証されます)。

これはやや厳密な設定であることに注意してください。現実には条件を多少緩和して、より広い範囲のクライアントとの互換性を可能にする必要があるかもしれません。

4.13.2.2. GnuTLS での暗号化スイートの使用

GnuTLS は、SSL および TLS の各プロトコルとそれに関連する技術を実装する通信ライブラリーです。

注記

Red Hat Enterprise Linux 7 上の GnuTLS は、ほとんどのユースケースに十分なセキュリティーをもたらす、最適なデフォルト設定値を提供します。特別なセキュリティー要件がない限り、提供されたデフォルト値の使用が推奨されます。

gnutls-cli コマンドを -l (または --list) オプションと実行すると、サポート対象の暗号化スイートすべてが一覧表示されます。

~]$ gnutls-cli -l

-l オプションで表示された暗号化スイート一覧を絞り込むには、ひとつ以上のパラメーター (GnuTLS ドキュメンテーションでは priority strings および keywords と呼ばれる) を --priority オプションに渡します。利用可能な priority strings の全一覧は、http://www.gnutls.org/manual/gnutls.html#Priority-Strings にある GnuTLS ドキュメンテーションを参照してください。たとえば、少なくとも 128 ビットのセキュリティーを提供する暗号化スイート一覧を表示するには、以下のコマンドを実行します。

~]$ gnutls-cli --priority SECURE128 -l

「有効にするアルゴリズムの選択」の推奨事項を満たす暗号化スイートを一覧表示するには、以下のようなコマンドを実行します。

~]$ gnutls-cli --priority SECURE256:+SECURE128:-VERS-TLS-ALL:+VERS-TLS1.2:-RSA:-DHE-DSS:-CAMELLIA-128-CBC:-CAMELLIA-256-CBC -l
Cipher suites for SECURE256:+SECURE128:-VERS-TLS-ALL:+VERS-TLS1.2:-RSA:-DHE-DSS:-CAMELLIA-128-CBC:-CAMELLIA-256-CBC
TLS_ECDHE_ECDSA_AES_256_GCM_SHA384                      0xc0, 0x2c      TLS1.2
TLS_ECDHE_ECDSA_AES_256_CBC_SHA384                      0xc0, 0x24      TLS1.2
TLS_ECDHE_ECDSA_AES_256_CBC_SHA1                        0xc0, 0x0a      SSL3.0
TLS_ECDHE_ECDSA_AES_128_GCM_SHA256                      0xc0, 0x2b      TLS1.2
TLS_ECDHE_ECDSA_AES_128_CBC_SHA256                      0xc0, 0x23      TLS1.2
TLS_ECDHE_ECDSA_AES_128_CBC_SHA1                        0xc0, 0x09      SSL3.0
TLS_ECDHE_RSA_AES_256_GCM_SHA384                        0xc0, 0x30      TLS1.2
TLS_ECDHE_RSA_AES_256_CBC_SHA1                          0xc0, 0x14      SSL3.0
TLS_ECDHE_RSA_AES_128_GCM_SHA256                        0xc0, 0x2f      TLS1.2
TLS_ECDHE_RSA_AES_128_CBC_SHA256                        0xc0, 0x27      TLS1.2
TLS_ECDHE_RSA_AES_128_CBC_SHA1                          0xc0, 0x13      SSL3.0
TLS_DHE_RSA_AES_256_CBC_SHA256                          0x00, 0x6b      TLS1.2
TLS_DHE_RSA_AES_256_CBC_SHA1                            0x00, 0x39      SSL3.0
TLS_DHE_RSA_AES_128_GCM_SHA256                          0x00, 0x9e      TLS1.2
TLS_DHE_RSA_AES_128_CBC_SHA256                          0x00, 0x67      TLS1.2
TLS_DHE_RSA_AES_128_CBC_SHA1                            0x00, 0x33      SSL3.0

Certificate types: CTYPE-X.509
Protocols: VERS-TLS1.2
Compression: COMP-NULL
Elliptic curves: CURVE-SECP384R1, CURVE-SECP521R1, CURVE-SECP256R1
PK-signatures: SIGN-RSA-SHA384, SIGN-ECDSA-SHA384, SIGN-RSA-SHA512, SIGN-ECDSA-SHA512, SIGN-RSA-SHA256, SIGN-DSA-SHA256, SIGN-ECDSA-SHA256

上記のコマンドは、出力を 128 ビット以上のセキュリティーがある暗号に絞り込み、より強力なものを優先しています。また、RSA 鍵交換と DSS 認証を禁止しています。

4.13.3. 特定アプリケーションの設定

アプリケーションはそれぞれ、TLS 用に個別の設定メカニズムを提供します。本セクションでは、最も一般的に使用されているサーバーアプリケーションが使用する TLS 関連の設定ファイルについて説明し、よくある説明例を示します。

いずれの設定を選択しても、サーバーアプリケーションが サーバー側の暗号命令 を強制し、使用される暗号化スイートが必ずユーザー設定の命令で決定されるようにしてください。

4.13.3.1. Apache HTTP サーバーの設定

Apache HTTP Server は、TLS に OpenSSL と NSS の両方のライブラリーを使用できます。選択した TLS ライブラリーによって、mod_ssl か mod_nss のモジュールをインストールする必要があります (その名前の付いたパッケージが提供)。たとえば、OpenSSL mod_ssl モジュールを提供するパッケージをインストールするには、root で以下のコマンドを実行します。

~]# yum install mod_ssl

mod_ssl パッケージは /etc/httpd/conf.d/ssl.conf 設定ファイルをインストールし、これを使うと Apache HTTP Server の TLS 関連の設定を修正できます。同様に、mod_nss パッケージは /etc/httpd/conf.d/nss.conf 設定ファイルをインストールします。

httpd-manual パッケージをインストールして Apache HTTP Server の完全なドキュメンテーションを取得します。これには、TLS 設定が含まれます。/etc/httpd/conf.d/ssl.conf 設定ファイルで利用可能なディレクティブの詳細は、/usr/share/httpd/manual/mod/mod_ssl.html で説明されています。各種設定の例は、/usr/share/httpd/manual/ssl/ssl_howto.html で確認できます。

/etc/httpd/conf.d/ssl.conf 設定ファイルの設定を修正する場合は、少なくとも下記の 3 つのディレクティブを確認してください。

SSLProtocol: 許可する TLS (または SSL) のバージョンを指定するディレクティブです。
SSLCipherSuite: 優先する暗号化スイートを指定する、もしくは許可しないスイートを無効にするディレクティブです。
SSLHonorCipherOrder: コメントを解除して、このディレクティブを on に設定すると、接続先のクライアントが指定された暗号化の命令に従います。

例を示します。

SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite HIGH:!aNULL:!MD5
SSLHonorCipherOrder on

上記の設定は最小限のものであり、「有効にするアルゴリズムの選択」にある推奨事項にしたがうことでさらに強化できることに注意してください。

mod_nss モジュールを設定、使用するには、/etc/httpd/conf.d/nss.conf 設定ファイルを修正します。mod_nss モジュールは mod_ssl から派生しているため、後者と多くの機能を共有しています。設定ファイルの構成だけでなく、利用可能なディレクティブも同様です。mod_nss ディレクティブには、SSL ではなく NSS の接頭辞が付くことに注意してください。mod_nss に適用できない mod_ssl 設定ディレクティブの一覧を含む mod_nss についての概要は、https://git.fedorahosted.org/cgit/mod_nss.git/plain/docs/mod_nss.html を参照してください。

4.13.3.2. Dovecot メールサーバーの設定

Dovecot メールサーバーが TLS を使用するように設定するには、/etc/dovecot/conf.d/10-ssl.conf 設定ファイルを修正します。このファイルで利用可能な基本的な設定ディレクティブの一部は、/usr/share/doc/dovecot-2.2.10/wiki/SSL.DovecotConfiguration.txt (このヘルプファイルは標準 Dovecot インストールに含まれています) で説明しています。

/etc/dovecot/conf.d/10-ssl.conf 設定ファイルの設定を修正する場合は、少なくとも下記の 3 つのディレクティブを確認してください。

ssl_protocols: 許可する TLS (または SSL) のバージョンを指定するディレクティブです。
ssl_cipher_list: 優先する暗号化スイートを指定する、もしくは許可しないスイートを無効にするディレクティブです。
ssl_prefer_server_ciphers: コメントを解除して、このディレクティブを yes に設定すると、接続先のクライアントが指定された暗号化の命令に従います。

例を示します。

ssl_protocols = !SSLv2 !SSLv3
ssl_cipher_list = HIGH:!aNULL:!MD5
ssl_prefer_server_ciphers = yes

4.13.4. その他の情報

TLS の設定および関連トピックについての詳細情報は、以下に挙げるリソースを参照してください。

インストールされているドキュメント

config(1) - /etc/ssl/openssl.conf 設定ファイルの形式を説明しています。
ciphers(1) - 利用可能な OpenSSL キーワードおよび暗号化文字列の一覧が含まれています。
/usr/share/httpd/manual/mod/mod_ssl.html — Apache HTTP Server 用に mod_ssl が使用する /etc/httpd/conf.d/ssl.conf 設定ファイルで利用可能なディレクティブを詳細に説明しています。
/usr/share/httpd/manual/ssl/ssl_howto.html — Apache HTTP Server 用に mod_ssl が使用する /etc/httpd/conf.d/ssl.conf 設定ファイルでの現実的な設定例が含まれています。
/usr/share/doc/dovecot-2.2.10/wiki/SSL.DovecotConfiguration.txt — Dovecot メールサーバーが使用する /etc/dovecot/conf.d/10-ssl.conf 設定ファイルで使用可能な基本的設定ディレクティブについて説明しています。

オンラインのドキュメント

Red Hat Enterprise Linux 7 SELinux User's and Administrator's Guide — Red Hat Enterprise Linux 7 の『SELinux User's and Administrator's Guide』では、SELinux の原則と、SELinux を設定して Apache HTTP Server などのさまざまなサービスで使用する方法が詳細に説明されています。
http://tools.ietf.org/html/draft-ietf-uta-tls-bcp-00 — TLS および DTLS のセキュアな使用における推奨事項です。

4.14. 共有システムの証明書の使用

共有システム証明書ストレージは、NSS、GnuTLS、OpenSSL、および Java が、システムの証明書アンカーと、ブラックリスト情報を取得するデフォルトソースを共有します。デフォルトでは、トラストストアは、Mozilla CA の一覧 (信頼される一覧および信頼されない一覧) を含みます。システムは、コア Mozilla CA 一覧を更新したり、証明書一覧を選択できます。

4.14.1. システム全体のトラストストアの使用

Red Hat Enterprise Linux 7 では、統合されたシステム全体のトラストストアは /etc/pki/ca-trust/ ディレクトリーおよび /usr/share/pki/ca-trust-source/ ディレクトリーに置かれています。/usr/share/pki/ca-trust-source/ のトラスト設定は、/etc/pki/ca-trust/ の設定よりも低い優先順位で処理されます。

証明書ファイルは、インストール先のサブディレクトリーによって扱われ方が異なります。

/usr/share/pki/ca-trust-source/anchors/ or /etc/pki/ca-trust/source/anchors/ - トラストアンカー。「トラストアンカーについて」を参照してください。
/usr/share/pki/ca-trust-source/blacklist/ or /etc/pki/ca-trust/source/blacklist/ - 信頼できない証明書。
/usr/share/pki/ca-trust-source/ または /etc/pki/ca-trust/source/ - 拡張した BEGIN TRUSTED ファイル形式の証明書。

4.14.2. 新しい証明書の追加

システムで CA が信頼したリストに簡単なファイル形式 PEM または DER の証明書を追加するには、/usr/share/pki/ca-trust-source/anchors/ ディレクトリーまたは /etc/pki/ca-trust/source/anchors/ ディレクトリーに証明書ファイルをコピーします。システム全体のトラストストア設定を更新するには、たとえば update-ca-trust コマンドを使用します。

# cp ~/certificate-trust-examples/Cert-trust-test-ca.pem /usr/share/pki/ca-trust-source/anchors/
# update-ca-trust

注記

Firefox ブラウザーでは、update-ca-trust を実行せずに、追加した証明書を使用できますが、CA 変更後に update-ca-trust を実行することが推奨されます。Firefox、Epiphany、Chromium などのブラウザー、キャッシュファイルについては、現在のシステム証明書の設定をロードするためにはブラウザーのキャッシュを削除して、ブラウザーを再起動する必要があるかもしれません。

4.14.3. 信頼されているシステム証明書の管理

トラストアンカーの一覧表示、抽出、追加、削除、または変更を行うには、trust コマンドを使用します。このコマンドのビルドインヘルプを表示するには、引数を付けずに、または --help ディレクティブを付けて実行します。

$ trust
usage: trust command <args>...

Common trust commands are:
  list             List trust or certificates
  extract          Extract certificates and trust
  extract-compat   Extract trust compatibility bundles
  anchor           Add, remove, change trust anchors
  dump             Dump trust objects in internal format

See 'trust <command> --help' for more information

すべてのシステムのトラストアンカーおよび証明書の一覧を表示するには、trust list コマンドを実行します。

$ trust list
pkcs11:id=%d2%87%b4%e3%df%37%27%93%55%f6%56%ea%81%e5%36%cc%8c%1e%3f%bd;type=cert
    type: certificate
    label: ACCVRAIZ1
    trust: anchor
    category: authority

pkcs11:id=%a6%b3%e1%2b%2b%49%b6%d7%73%a1%aa%94%f5%01%e7%73%65%4c%ac%50;type=cert
    type: certificate
    label: ACEDICOM Root
    trust: anchor
    category: authority
...
[output has been truncated]

trust コマンドのすべてのサブコマンドは、以下のような詳細な組み込みヘルプを提供します。

$ trust list --help
usage: trust list --filter=<what>

  --filter=<what>     filter of what to export
                        ca-anchors        certificate anchors
                        blacklist         blacklisted certificates
                        trust-policy      anchors and blacklist (default)
                        certificates      all certificates
                        pkcs11:object=xx  a PKCS#11 URI
  --purpose=<usage>   limit to certificates usable for the purpose
                        server-auth       for authenticating servers
                        client-auth       for authenticating clients
                        email             for email protection
                        code-signing      for authenticating signed code
                        1.2.3.4.5...      an arbitrary object id
  -v, --verbose       show verbose debug output
  -q, --quiet         suppress command output

トラストアンカーをシステム全体のトラストストアに保存するには、以下のように、trust anchor サブコマンドを使用し、証明書のパスを指定します。

# trust anchor path.to/certificate.crt

証明書を削除するには、証明書のパス、または、証明書の ID を使用します。

# trust anchor --remove path.to/certificate.crt
# trust anchor --remove "pkcs11:id=%AA%BB%CC%DD%EE;type=cert"

4.14.4. その他のリソース

詳細は、以下の man ページを参照してください。

update-ca-trust(8)
trust(1)

4.15. MACsec の使用

MACsec (Media Access Control Security (IEEE 802.1AE)) は、LAN におけるすべてのトラフィックを、GCM-AES-128 アルゴリズムで認証します。MACsec は、IP だけでなく、ARP (Address Resolution Protocol)、ND (Neighbor Discovery) または DHCP も保護できます。IPsec は、ネットワークレイヤー (レイヤー 3)、およびアプリケーションレイヤー (レイヤー 7) の SSL または TLS で動作しますが、MACsec はデータリンクレイヤー (レイヤー 2) で動作します。その他のネットワークレイヤーのセキュリティープロトコルと MACsec を組み合わせて、これらの規格が提供する複数のセキュリティー機能を活用してください。

MACsec ネットワーク、ユースケースシナリオ、および設定例のアーキテクチャーの詳細は、「MACsec: a different solution to encrypt network traffic」を参照してください。

たとえば、wpa_supplicant および NetworkManager を使用して MACsec を設定する方法は Red Hat Enterprise Linux 7 ネットワークガイドを参照してください。

4.16. scrub を使用してデータを安全に削除

scrub ユーティリティーは、データの取得をより難しくするように特定のファイルまたはディスクデバイスでパターンを設定します。scrub を使用すると、ディスクへランダムデータを書き込むのが早くなります。このプロセスにより、高可用性、信頼性、およびデータ保護が提供されます。

scrub コマンドを使用するには、scrub パッケージをインストールします。

~]# yum install scrub

scrub ユーティリティーは、以下の基本モードのいずれかで動作します。

文字またはブロックデバイス

ディスク全体に対応する 特定のファイル がスクラブされ、含まれるデータがすべてスクラブされます。これが最も効果的な方法です。

scrub [オプション] 特定ファイル

ファイル

通常のファイルがスクラブされ、そのファイルのデータのみが破壊されます。

scrub [オプション] ファイル

ディレクトリー

-X オプションを使用すると、ディレクトリーが作成され、ファイルシステムが満杯になるまでファイルが追加されます。ファイルシステムが満杯になると、ファイルモードでそのファイルがスクラブされます。

スクラブ -X [オプション] ディレクトリー

例4.7 Raw デバイスのスクラブ

デフォルトの NNSA (National Nuclear Security Administration) パターンを使用して、RAW デバイス /dev/sdf1 を スクラブ するには、以下のコマンドを入力します。

~]# scrub /dev/sdf1
scrub: using NNSA NAP-14.1-C patterns
scrub: please verify that device size below is correct!
scrub: scrubbing /dev/sdf1 1995650048 bytes (~1GB)
scrub: random  |................................................|
scrub: random  |................................................|
scrub: 0x00    |................................................|
scrub: verify  |................................................|

例4.8 ファイルのスクラブ

1MB ファイルを作成します。

~]$ base64 /dev/urandom | head -c $[ 1024*1024 ] > file.txt

ファイルサイズを表示します。

~]$ ls -lh
total 1.0M
-rw-rw-r--. 1 username username 1.0M Sep  8 15:23 file.txt

ファイルの内容を表示します。

~]$ head -1 file.txt
JnNpaTEveB/IYsbM9lhuJdw+0jKhwCIBUsxLXLAyB8uItotUlNHKKUeS/7bCRKDogEP+yJm8VQkL

ファイルをスクラブします。

~]$ scrub file.txt
scrub: using NNSA NAP-14.1-C patterns
scrub: scrubbing file.txt 1048576 bytes (~1024KB)
scrub: random  |................................................|
scrub: random  |................................................|
scrub: 0x00    |................................................|
scrub: verify  |................................................|

ファイルの中身がスクラブされたことを確認します。
```
~]$ cat file.txt
SCRUBBED!
```

ファイルサイズに変更がないことを確認します。

~]$ ls -lh
total 1.0M
-rw-rw-r--. 1 username username 1.0M Sep  8 15:24 file.txt

scrub モード、オプション、方法、および注意事項の詳細は、man ページの scrub(1) を参照してください。

第5章ファイアウォールの使用

注記

専門知識をさらに得るために、Red Hat Server Hardening (RH413) トレーニングコースが用意されています。

5.1. `firewalld` の概要

firewall は、外部からの不要なトラフィックからマシンを保護する方法です。ファイアウォールルール セットを定義することで、ホストマシンに着信ネットワークトラフィックを制御できます。このようなルールは、着信トラフィックを分類して、拒否または許可するために使用されます。

firewalld は、D-Bus インターフェースを使用して、動的にカスタマイズできるホストベースのファイアウォールを提供するファイアウォールサービスデーモンです。ルールが変更するたびに、ファイアウォールデーモンを再起動する必要なくルールの作成、変更、および削除を動的に削除します。

firewalld は、ゾーン および サービス の概念を使用し、トラフィック管理を簡素化します。ゾーンは、事前定義したルールセットです。ネットワークインターフェースおよびソースはゾーンに割り当てることができます。許可されているトラフィックは、コンピューターが接続されるネットワークと、このネットワークが割り当てられているセキュリティーレベルに従います。ファイアウォールサービスは、特定のサービスに着信トラフィックを許可するのに必要な設定を扱う事前定義のルールで、ゾーンで適用されます。

サービスは、ネットワーク接続に 1 つ以上の ポート または アドレス を使用します。ファイアウォールは、ポートに基づいて接続のフィルターを設定します。サービスに対してネットワークトラフィックを許可するには、そのポートを開く必要があります。firewalldは、明示的に開いていないポートのトラフィックをすべてブロックします。trusted などのゾーンで、デフォルトですべてのトラフィックを許可します。

図5.1 ファイアウォールスタック

5.1.1. ゾーン

⁠firewalld は、インターフェースに追加する信頼レベルと、そのネットワークのトラフィックに従って、複数のネットワークを複数のゾーンに分類できます。接続は、1 つのゾーンにしか指定できませんが、ゾーンは多くのネットワーク接続に使用できます。

NetworkManager は、firewalld に、インターフェースのゾーンを追加します。NetworkManager、firewall-config ツール、または firewall-cmd コマンドラインツールを使用して、インターフェースにゾーンを割り当てることができます。後ろの 2 つは、適切な NetworkManager 設定ファイルのみを修正します。firewall-cmd または firewall-config を使用してインターフェースのゾーンを変更すると、要求は NetworkManager に転送され、firewalld には処理されません。

事前定義したゾーンは /usr/lib/firewalld/zones/ ディレクトリーに保存され、利用可能なネットワークインターフェースに即座に適用されます。このファイルは、修正しないと /etc/firewalld/zones/ ディレクトリーにコピーされません。以下のテーブルは、事前定義したゾーンのデフォルト設定を説明します。

block: IPv4 の場合は icmp-host-prohibited メッセージ、そして IPv6 の場合は icmp6-adm-prohibited メッセージで、すべての着信ネットワーク接続が拒否されます。システム内で開始したネットワーク接続のみが可能です。
dmz: 公開アクセスが可能ではあるものの、内部ネットワークへのアクセスには制限がある非武装地帯にあるコンピューター用。選択した着信接続のみが許可されます。
drop: 着信ネットワークパケットは、通知なしで遮断されます。発信ネットワーク接続だけが可能です。
external: マスカレードを特別にルーター用に有効にした外部ネットワーク上での使用向けです。自分のコンピューターを保護するため、ネットワーク上の他のコンピューターを信頼しません。選択された着信接続のみが許可されます。
home: そのネットワークでその他のコンピューターをほぼ信頼できる自宅での使用。選択した着信接続のみが許可されます。
internal: そのネットワークでその他のコンピューターをほぼ信頼できる内部ネットワークでの使用。選択した着信接続のみが許可されます。
public: そのネットワークでその他のコンピューターを信頼できないパブリックエリアでの使用。選択した着信接続のみが許可されます。
trusted: すべてのネットワーク接続が許可されます。
work: そのネットワークで、その他のコンピューターをほぼ信頼できる職場での使用。選択した着信接続のみが許可されます。

これらのゾーンのいずれかを デフォルト に設定できます。インターフェース接続が NetworkManager に追加されると、デフォルトゾーンに割り当てられます。インストール時に、firewalld のデフォルトゾーンは public ゾーンに設定されます。デフォルトゾーンは変更できます。

注記

ネットワークゾーンの名前は、すぐに分かり、ユーザーが妥当な決定をすばやく下せるように付けられています。セキュリティー問題を回避するには、ユーザーのニーズおよびリスク評価に合わせて、デフォルトゾーンの設定の見直しを行ったり、不要なサービスを無効にしてください。

5.1.2. 事前定義サービス

サービスは、ローカルポート、プロトコル、ソースポート、宛先、そしてサービスが有効になると自動的にロードされるファイアウォールヘルパーモジュールの一覧になります。サービスを使用すると、ポートのオープン、プロトコルの定義、パケット転送などを 1 つ 1 つ行うのではなく、1 回のステップで定義できます。

サービス設定オプションと、一般的なファイル情報は、man ページの firewalld.service(5) で説明しています。サービスは、個々の XML 設定ファイルを使用して指定し、名前は、service-name.xml のような形式になります。プロトコル名は、firewalld のサービス名またはアプリケーション名よりも優先されます。

5.1.3. ランタイムおよび永続化設定

runtime モードで送られた変更は、firewalld が実行している間のみ適用されます。firewalld を再起動すると、その設定は、永続化 の値に戻ります。

変更した内容を再起動後に永続化させるには、--permanent オプションを使用して適用します。代わりに、firewalld 実行している間は変更を持続させるには、--runtime-to-permanent firewall-cmd オプションを実行します。

--permanent オプションのみを使用して firewalld が実行している場合にルールを設定するには、firewalld が再起動するまでは有効になりません。ただし、firewalld を再起動すると、開いているポートがすべて閉じ、ネットワーキングトラフィックを停止します。

5.1.4. CLI を使用してランタイムおよび永続設定の設定の変更

CLI を使用して、同時に 2 つのモードでファイアウォール設定を修正しません。ランタイムまたは永続モードを修正します。永続化設定でファイアウォール設定を修正するには、firewall-cmd コマンドで --permanent オプションを使用します。

~]# firewall-cmd --permanent <other options>

このオプションを使用しないと、コマンドはランタイムモードを変更します。

両方のモードで設定を変更するには、2 つの方法を使用できます。

以下のように、ランタイム設定を変更して、永続化します。
```
~]# firewall-cmd <other options>
~]# firewall-cmd --runtime-to-permanent
```
永続的な設定を行い、ランタイムモードで設定を再ロードします。
```
~]# firewall-cmd --permanent <other options>
~]# firewall-cmd --reload
```

最初の方法は、永続化モードで設定を適用する前に設定をテストできます。

注記

特にリモートシステムでは、設定を誤ると、ユーザーが自身をロックする結果となります。そのような状況を回避するには、--timeout オプションを使用します。指定した時間が経つと、変更は元に戻ります。このオプションを使用すると、--permanent オプションを除外します。

たとえば、15 分間 SSH サービスを追加するには、以下のコマンドを実行します。

~]# firewall-cmd --add-service=ssh --timeout 15m

5.2. firewall-config GUI 設定ツールのインストール

firewall-config GUI 設定ツールを使用するには、root 権限で firewall-config パッケージをインストールします。

~]# yum install firewall-config

また、GNOME では、Super キーおよび Software タイプを使用して、Software Sources アプリケーションを起動します。右上端で検索ボタンを選択すると表示される検索ボックスに firewall を入力します。検索結果から Firewall アイテムを選択し、Install ボタンでクリックします。

firewall-config を実行するために、firewall-config コマンドを実行するか、Super キーを押して Activities Overview を入力するか、firewall を入力して Enter を押します。

5.3. `firewalld` の現在のステータスおよび設定の表示

5.3.1. `firewalld` の現在のステータスの表示

ファイアウォールサービスの firewalld は、デフォルトシステムにインストールされています。firewalld CLI インターフェースを使用して、サービスが実行していることを確認します。

サービスのステータスを表示するには、以下のコマンドを実行します。

~]# firewall-cmd --state

サービスステータスの詳細は、systemctl status サブコマンドを実行します。

~]# systemctl status firewalld
firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor pr
   Active: active (running) since Mon 2017-12-18 16:05:15 CET; 50min ago
     Docs: man:firewalld(1)
 Main PID: 705 (firewalld)
    Tasks: 2 (limit: 4915)
   CGroup: /system.slice/firewalld.service
           └─705 /usr/bin/python3 -Es /usr/sbin/firewalld --nofork --nopid

さらに、firewalld の設定と、ルールの実施方法を確認することが重要です。ファイアウォール設定を表示するには、「現在の firewalld 設定の表示」を参照してください。

5.3.2. 現在の `firewalld` 設定の表示

5.3.2.1. GUI を使用して許可されるサービスの表示

グラフィカル firewall-config ツールを使用してサービスの一覧を表示するには、Super キーを押して Activities Overview を入力して firewall を入力し、Enter を押します。firewall-config ツールが表示されます。Services タブの下でサービスの一覧を表示します。

もしくは、コマンドラインを使用してグラフィカルなファイアウォール設定ツールを開始するには、以下のコマンドを入力します。

~]$ firewall-config

Firewall Configuration ウィンドウが開きます。このコマンドを通常ユーザーとして実行できますが、監理者パスワードが求められる場合もあります。

図5.2 firewall-config のサービスタブ

5.3.2.2. CLI を使用して `firewalld` 設定の表示

CLI クライアントを使用して、現在ファイアウォール設定の表示を得ることができます。--list-all オプションは、firewalld 設定の完全概要を表示します。

firewalld は、ゾーンを使用してトラフィックを管理します。--zone オプションでゾーンを指定していない場合、コマンドは、アクティブネットワークインターフェース及び接続に割り当てたデフォルトゾーンで有効です。

デフォルトゾーンに関連する情報をすべて表示するには、以下のコマンドを実行します。

~]# firewall-cmd --list-all
public
  target: default
  icmp-block-inversion: no
  interfaces:
  sources:
  services: ssh dhcpv6-client
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

注記

設定を表示するゾーンを指定するには、たとえば --zone=zone-name 引数を the firewall-cmd --list-all コマンドに追加します。

~]# firewall-cmd --list-all --zone=home
home
  target: default
  icmp-block-inversion: no
  interfaces:
  sources:
  services: ssh mdns samba-client dhcpv6-client
... [output truncated]

サービス、ポートなど、特定情報の設定を確認するには、特定のオプションを使用します。man ページの firewalld か、コマンドヘルプを使用してオプションの一覧を表示します。

~]# firewall-cmd --help

Usage: firewall-cmd [OPTIONS...]

General Options
  -h, --help           Prints a short help text and exists
  -V, --version        Print the version string of firewalld
  -q, --quiet          Do not print status messages

Status Options
  --state              Return and print firewalld state
  --reload             Reload firewall and keep state information
... [output truncated]

たとえば、現在のゾーンで許可されているサービスを表示します。

~]# firewall-cmd --list-services
ssh dhcpv6-client

CLI ツールを使用して特定のサブパートの設定を一覧表示すると、解釈が難しいことがしばしばあります。たとえば、SSH サービスを許可し、そのサービスに必要なポート (22) を firewalld で開きます。その後、許可されたサービスを一覧表示すると、一覧は SSH サービスを表示しますが、開いているポートを一覧表示しても、何も表示されません。したがって、--list-all オプションを使用して、完全な情報を取得します。

5.4. `firewalld` の起動

firewalld を起動するには、root で以下のコマンドを実行します。

~]# systemctl unmask firewalld
~]# systemctl start firewalld

システム起動時に firewalld を自動的に起動するには、root で以下のコマンドを入力します。

~]# systemctl enable firewalld

5.5. `firewalld` の停止

firewalld を停止するには、root で以下のコマンドを入力します。

~]# systemctl stop firewalld

システムの起動時に firewalld が起動しないようにするには、以下のコマンドを root で実行します。

~]# systemctl disable firewalld

firewalld は、 firewalld D-Bus インターフェースにアクセスすることでは起動せず、その他のサービスが firewalld を要求する場合でも、以下のコマンドを root で実行します。

~]# systemctl mask firewalld

5.6. トラフィックの制御

5.6.1. 事前定義サービス

グラフィカルの firewall-config ツール、firewall-cmd、および firewall-offline-cmd を使用してサービスを追加および削除できます。

/etc/firewalld/services/ ディレクトリーの XML ファイルを編集できます。ユーザーにサービスが追加または変更されていない場合は、対応する XML ファイルは /etc/firewalld/services/ では見つかりません。/usr/lib/firewalld/services/ ディレクトリのファイルは、サービスの追加または変更する場合にテンプレートとして使用できます。

5.6.2. 緊急時に CLI を使用してすべてのトラフィックを無効

システムへの攻撃など、緊急な状態では、すべてのネットワークトラフィックを無効にし、攻撃を遮断することができます。

ネットワークトラフィックを直ちに無効にするには、パニックモードをオンにします。

~]# firewall-cmd --panic-on

パニックモードをオフにし、その永続設定にファイアウォールを戻します。パニックモードを無効にするには、以下のコマンドを実行します。

~]# firewall-cmd --panic-off

パニックモードを有効または無効にするには、以下のコマンドを実行します。

~]# firewall-cmd --query-panic

5.6.3. CLI を使用して事前定義されたサービスでトラフィックの制御

トラフィックを制御する最も簡単な方法は、事前定義したサービスを firewalld に追加する方法です。これは、必要なすべてのポートを開き、service definition file に従ってその他の設定を変更します。

サービスが許可されていないことを確認します。
```
~]# firewall-cmd --list-services
ssh dhcpv6-client
```

事前定義したサービスの一覧を表示します。

~]# firewall-cmd --get-services
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry ...
[output truncated]

サービスを、許可されたサービスに追加します。
```
~]# firewall-cmd --add-service=<service-name>
```
新しい設定を永続化します。
```
~]# firewall-cmd --runtime-to-permanent
```

5.6.4. GUI を使用した事前定義サービスでトラフィックの制御

事前定義またはカスタマイズサービスを有効または無効にするには、firewall-config ツールを起動して、設定するサービスのネットワークゾーンを選択します。サービス タブを選択し、信頼するサービスの各タイプのチェックボックスを選択します。サービスをブロックするには、チェックボックスを外します。

サービスを編集するには、firewall-config ツールを起動し、設定メニューから永続モードを選びます。サービス ウィンドウの下部に新たなアイコンとメニューボタンが表示されます。設定するサービスを選びます。

ポート、プロトコル、ソースポート のタブでは、選択したサービスのポート、プロトコルおよびソースポートの追加、変更、削除ができます。モジュールタブでは、Netfilter ヘルパーモジュールの設定を行います。送信先 タブでは、特定の送信先アドレスとインターネットプロトコル (IPv4 または IPv6) へのトラフィックが制限できます。

注記

実行時 モードのサービス設定は変更できません。

5.6.5. 新しいサービスの追加

サービスの追加もしくは削除は、グラフィカルな firewall-config ツール、firewall-cmd、firewall-offline-cmd を使用するか、/etc/firewalld/services/ にある XML ファイルを編集することで行います。ユーザーがサービスを追加または変更しないと、そのサービスに対応する XML ファイルは /etc/firewalld/services/ 作成されません。サービスの追加または変更には、/usr/lib/firewalld/services/ のファイルをテンプレートとして使用してください。

ターミナルで新規サービスを追加するには firewall-cmd を使用してください。firewalld がアクティブでない場合には firewall-offline-cmd を使用してください。新規サービスや空のサービスを追加するには以下のコマンドを実行します。

~]$ firewall-cmd --new-service=service-name

ローカルファイルを使用して新規サービスを追加するには、以下のコマンドを使用します。

~]$ firewall-cmd --new-service-from-file=service-name.xml

--name=service-name オプションを指定して、サービス名を変更できます。

サービス設定を変更すると、直ちにサービスの更新コピーが /etc/firewalld/services/ に作成できます。

root として、以下のコマンドを実行しサービスを手動でコピーします。

~]# cp /usr/lib/firewalld/services/service-name.xml /etc/firewalld/services/service-name.xml

firewalld は、/usr/lib/firewalld/services からファイルを読み込みます。ファイルが /etc/firewalld/services に追加され有効な場合には、/usr/lib/firewalld/services にある対応のファイルを上書きします。/etc/firewalld/services にある対応のファイルが削除されるか、サービスのデフォルトを読みこむように firewalld に要求が出されるとすぐに、/usr/lib/firewalld/services の上書きされたファイルが使用されます。これが該当するのは永続環境のみで、ランタイム環境でフォールバックさせるには、再読み込みが必要です。

5.6.6. CLI を使用したポートの制御

ポートは、オペレーティングシステムが、ネットワークトラフィックを受信し、区別し、システムサービスに従って転送する論理デバイスです。これは、ポートをリッスンするデーモンにより通常日示されますが、このポートに入るトラフィックを待ちます。

通常、システムサービスは、サービスに予約されている標準ポートでリッスンします。httpd デーモンでは、たとえばポート 80 をリッスンします。ただし、デフォルトでは、システム管理者は、その他の理由によりセキュリティーを強化する別のポートをリッスンするようにデーモンを設定します。

ポートを開く

オープンポートを介して、システムが、セキュリティーリスクを表す外部からアクセス可能です。一般的に、ポートを閉じたままにし、特定サービスに対して要求される場合に限り開きます。

現在のゾーンで開かれたポートの一覧を表示するには、以下を行います。

許可されているポートを一覧表示します。
```
~]# firewall-cmd --list-ports
```
許可されているポートにポートを追加して、着信トラフィックに対して開きます。
```
~]# firewall-cmd --add-port=port-number/port-type
```
新しい設定を永続化します。
```
~]# firewall-cmd --runtime-to-permanent
```

ポートタイプは、tcp、udp、sctp、または dccp になります。このタイプは、ネットワーク接続の種類と一致させる必要があります。

ポートを閉じる

オープンポートが必要なくなった場合に、firewalld のポートを閉じます。ポートをそのままにするとセキュリティーリスクが示されるため、使用されなくなったら、不要なポートを閉じることが強く推奨されます。

ポートを閉じるには、許可されているポートの一覧からそれを削除します。

許可されているポートを一覧表示します。

~]# firewall-cmd --list-ports
[WARNING]
====
This command will only give you a list of ports that have been opened as ports. You will not be able to see any open ports that have been opened as a service. Therefore, you should consider using the --list-all option instead of --list-ports.
====

「許可されているポート」からポートを削除し、着信トラフィックに対して閉じます。
```
~]# firewall-cmd --remove-port=port-number/port-type
```
新しい設定を永続化します。
```
~]# firewall-cmd --runtime-to-permanent
```

5.6.7. GUI を使用してポートを開く

特定のポートへのトラフィックがファイアウォールを通過できるようにするには、firewall-config ツールを起動して、設定を変更するネットワークゾーンを選択します。ポート タブを選んで、右側の追加ボタンをクリックします。ポートとプロトコル ウィンドウが開きます。

許可するポート番号またはポートの範囲を入力します。リストから tcp または udp を選択します。

5.6.8. GUI を使用してプロトコルを使用したトラフィックの制御

特定のプロトコルへのトラフィックがファイアウォールを通過できるようにするには、firewall-config ツールを起動して、設定を変更するネットワークゾーンを選択します。プロトコル タブを選んで追加ボタンをクリックします。プロトコル ウィンドウが開きます。

リストからプロトコルを選択するか、Other Protocol チェックボックスを選択し、そのフィールドにプロトコルを入力します。

5.6.9. GUI を使用してソースポートを開く

特定のポートへのトラフィックがファイアウォールを通過できるようにするには、firewall-config ツールを起動して、設定を変更するネットワークゾーンを選択します。ソースポート タブを選択し、追加ボタンをクリックします。ソースポート ウィンドウが開きます。

許可するポート番号またはポートの範囲を入力します。リストから tcp または udp を選択します。

5.7. ゾーンの使用

ゾーンは、着信トラフィックをより透過的な管理をする概念を表しています。ゾーンはネットワークインターフェースに接続されているか、ソースアドレスの範囲に割り当てられます。各ゾーンは個別にファイアウォールルールを管理しますが、これにより、複雑なファイアウォール設定を定義してトラフィックに割り当てることができます。

5.7.1. ゾーンの一覧

システムで利用可能なゾーンを確認するには、以下のコマンドを実行します。

~]# firewall-cmd --get-zones

firewall-cmd --get-zones コマンドは、システムで利用可能な全てのゾーンを表示し、特定ゾーンの詳細は表示しません。

すべてのゾーンで詳細情報を表示するには、以下のコマンドを実行します。

~]# firewall-cmd --list-all-zones

特定ゾーンに関する詳細情報を表示する場合は、以下のコマンドを実行します。

~]# firewall-cmd --zone=zone-name --list-all

5.7.2. 特定ゾーンに対する `firewalld` 設定

「CLI を使用して事前定義されたサービスでトラフィックの制御」および「CLI を使用したポートの制御」は、現在作業中のゾーン範囲にサービスを追加またはポートを修正する方法を説明します。別のゾーンにルールを設定する必要がでてくる場合もあります。

別のゾーンを使用するには、--zone=zone-name オプションを使用します。たとえば、ゾーン public で SSH サービスを許可します。

~]# firewall-cmd --add-service=ssh --zone=public

5.7.3. デフォルトゾーンの変更

システム管理者は、設定ファイルのネットワークインターフェースにゾーンを割り当てます。特定ゾーンに割り当てられない場合は、デフォルトゾーンに割り当てられます。firewalld サービスを再起動するたびに、firewalld は、デフォルトゾーンの設定をロードし、それをアクティブにします。

デフォルトゾーンを設定するには、以下を行います。

現在のデフォルトゾーンを表示します。
```
~]# firewall-cmd --get-default-zone
```
新しいデフォルトゾーンを設定します。
```
~]# firewall-cmd --set-default-zone zone-name
```

注記

この手順では、--permanent オプションを使用しなくても、設定は永続化します。

5.7.4. ゾーンへのネットワークインターフェースの割り当て

複数のゾーンに複数のルールセットを定義して、使用されているインターフェースのゾーンを変更することで、迅速に設定を変更できます。複数のインターフェースを使用して、その各インターフェースに、トラフィックを通過する特定のゾーンを設定できます。

特定インターフェースにゾーンを割り当てるには、以下を行います。

アクティブゾーン、およびそのゾーンに割り当てられているインターフェースを一覧表示します。
```
~]# firewall-cmd --get-active-zones
```

別のゾーンにインターフェースを割り当てます。

~]# firewall-cmd --zone=zone-name --change-interface=<interface-name>

注記

再起動後も設定を持続させる --permanent オプションを使用する必要はありません。新しいデフォルトゾーンを設定すると、設定は永続化されます。

5.7.5. ネットワーク接続にデフォルトゾーンの割り当て

接続が NetworkManager により管理されると、使用するゾーンを認識する必要があります。すべてのネットワーク接続に、ゾーンを指定できます。これにより、ポータブルデバイスを使用したコンピューターの場所に従って、さまざまなファイアウォール設定の柔軟性を提供します。したがって、ゾーンおよび設定には、会社または自宅など、さまざまな場所を指定できます。

インターネット接続にデフォルトゾーンを設定するには、NetworkManager GUI を使用するか /etc/sysconfig/network-scripts/ifcfg-connection-name ファイルを編集して、この接続にゾーンを割り当てる行を追加します。

ZONE=zone-name

5.7.6. 新しいゾーンの作成

カスタムゾーンを使用するには、新しいゾーンを作成し、事前定義したゾーンなどを使用します。新しいゾーンには --permanent オプションが必要となり、このコマンドがなければコマンドが動作しません。

新しいゾーンを作成するには、以下を行います。

新しいゾーンを作成します。
```
~]# firewall-cmd --new-zone=zone-name
```
作成したゾーンが永続化設定に追加されたかどうかを確認します。
```
~]# firewall-cmd --get-zones
```
新しい設定を永続化します。
```
~]# firewall-cmd --runtime-to-permanent
```

5.7.7. 設定ファイルを使用して新しいゾーンの作成

また、ゾーンの設定ファイル を使用してゾーンを作成できます。このアプローチは、新しいゾーンを作成する必要がある場合は便利ですが、別のゾーンの設定を変更して利用することもできます。

firewalld ゾーン設定ファイルは、ゾーンに対する情報を含みます。これは、XML ファイルフォーマットで、ゾーンの説明、サービス、ポート、プロトコル、icmp-block、マスカレード、転送ポート、およびリッチ言語ルールです。ファイル名は zone-name.xml となります。zone-name の長さは 17 文字に制限されます。ゾーンの設定ファイルは /usr/lib/firewalld/zones/ ディレクトリーおよび /etc/firewalld/zones/ ディレクトリーです。

以下の例は、TCP プロトコルおよび UDP プロトコルに、1 つのサービス (SSH) および 1 つポート範囲を許可する設定を示します。

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>My zone</short>
  <description>Here you can describe the characteristic features of the zone.</description>
  <service name="ssh"/>
  <port port="1025-65535" protocol="tcp"/>
  <port port="1025-65535" protocol="udp"/>
</zone>

そのゾーンで設定を変更すると、ポートの追加、ポートおよびサービスを転送するなどを行うセクションを追加または削除します。詳細は、man ページの firewalld.zone を参照してください。

5.7.8. 着信トラフィックにデフォルトの動作を設定するゾーンターゲットの使用

すべてのゾーンに対して、追加指定をしない着信トラフィックを処理するデフォルト動作を設定できます。そのような動作は、ゾーンのターゲットを設定することで定義されます。オプションは、default、ACCEPT、REJECT、および DROP の 3 つになります。ターゲットを ACCEPT に設定すると、特定ルールで無効にした着信パケット以外のパケットをすべて許可します。REJECT または DROP にターゲットを設定すると、特定のルールで許可したパケット以外の着信パケットをすべて無効にします。パケットが拒否されると、拒否についてソースマシンに通知しますが、パケットが破棄される時に送られる情報はありません。

ゾーンにターゲットを設定するには、以下を行います。

特定ゾーンに対する情報を一覧表示して、デフォルトゾーンを確認します。
```
~]$ firewall-cmd --zone=zone-name --list-all
```

ゾーンに新しいターゲットを設定します。

~]# firewall-cmd --zone=zone-name --set-target=<default|ACCEPT|REJECT|DROP>

5.8. ゾーンを使用し、ソースに従って着信トラフィックの管理

ゾーンを使用して、そのソースに基づいて着信トラフィックを管理するゾーンを使用できます。これにより、着信トラフィックを仕分けし、複数のゾーンに向け、トラフィックにより到達できるサービスを許可または拒否できます。

ソースをゾーンに追加する場合は、ゾーンがアクティブになり、そのソースからの着信トラフィックは、それを介して行われます。各ゾーンに異なる設定を指定できますが、それは指定したソースから順次トラフィックに適用されます。ネットワークインターフェースが 1 つしかない場合でも、複数のゾーンを使用できます。

5.8.1. ソースの追加

着信トラフィックを特定のソースにルートするには、そのゾーンにソースを追加します。ソースは、CIDR (Classless Inter-domain Routing) 表記法の IP アドレスまたは IP マスクにできます。

現在のゾーンにソースを設定するには、以下のコマンドを実行します。
```
~]# firewall-cmd --add-source=<source>
```
特定ゾーンのソース IP アドレスを設定するには、以下のコマンドを実行します。
```
~]# firewall-cmd --zone=zone-name --add-source=<source>
```

以下の手順は、信頼される ゾーンで 192.168.2.15 からのすべての着信トラフィックを許可します。

利用可能なゾーンの一覧を表示します。
```
~]# firewall-cmd --get-zones
```
永続化モードで、信頼ゾーンにソース IP を追加します。
```
~]# firewall-cmd --zone=trusted --add-source=192.168.2.15
```
新しい設定を永続化します。
```
~]# firewall-cmd --runtime-to-permanent
```

5.8.2. ソースの削除

ゾーンからソースを削除すると、そのゾーンからのトラフィックを遮断します。

必要なゾーンに対して許可されているソースを一覧表示します。
```
~]# firewall-cmd --zone=zone-name --list-sources
```

ゾーンからソースを永続的に削除します。

~]# firewall-cmd --zone=zone-name --remove-source=<source>

新しい設定を永続化します。
```
~]# firewall-cmd --runtime-to-permanent
```

5.8.3. ソースポートの追加

発信源となるポートに基づいてトラフィックの仕分けを有効にするには、--add-source-port オプションを使用してソースポートを指定します。--add-source オプションと組み合わせて、トラフィックを特定の IP アドレスまたは IP 範囲に制限できます。

ソースポートを追加するには、以下のコマンドを実行します。

~]# firewall-cmd --zone=zone-name --add-source-port=<port-name>/<tcp|udp|sctp|dccp>

5.8.4. ソースポートの削除

ソースポートを削除して、送信元ポートに基づいてトラフィックの仕分けを無効にします。

ソースポートを削除するには、以下のコマンドを実行します。

~]# firewall-cmd --zone=zone-name --remove-source-port=<port-name>/<tcp|udp|sctp|dccp>

5.8.5. ゾーンおよびソースを使用して特定ドメインのみに対してサービスの許可

特定ネットワークからのトラフィックを許可してマシンにサービスを使用するには、ゾーンおよびソースを使用します。

たとえば、192.168.1.0/24 からトラフィックを許可して、その他のトラフィックがブロックされている間に HTTP サービスに到達できます。

利用可能なゾーンの一覧を表示します。

~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work

ソースを信頼されるゾーンに追加して、ゾーンを経由してソースから発信するトラフィックに転送します。
```
~]# firewall-cmd --zone=trusted --add-source=192.168.1.0/24
```
信頼されるゾーン http サービスを追加します。
```
~]# firewall-cmd --zone=trusted -add-service=http 
```
新しい設定を永続化します。
```
~]# firewall-cmd --runtime-to-permanent
```

信頼されるゾーンがアクティブで、サービスが許可されているのを確認します。

~]# firewall-cmd --zone=trusted --list-all
trusted (active)
target: ACCEPT
sources: 192.168.1.0/24
services: http

5.8.6. プロトコルに基づいてゾーンが許可したトラフィックの設定

プロトコルに基づいて、ゾーンが着信トラフィックを許可することができます。指定したプロトコルを使用したすべてのトラフィックがゾーンにより許可されていますが、そこにさらにルールおよびフィルタリングを適用できます。

ゾーンへのプロトコルの追加

特定ゾーンへプロトコルを追加すると、このゾーンが許可するこのプロトコルを使用するすべてのトラフィックを許可します。

プロトコルをゾーンに追加するには、以下のコマンドを実行します。

~]# firewall-cmd --zone=zone-name --add-protocol=port-name/tcp|udp|sctp|dccp|igmp

注記

マルチキャストトラフィックを受けるには、--add-protocol オプションで igmp 値を使用します。

ゾーンからプロトコルの削除

特定ゾーンからプロトコルを削除するには、ゾーンにより、このプロトコルに基づいたすべてのトラフィックの許可を停止します。

ゾーンからプロトコルを削除するには、以下のコマンドを削除します。

~]# firewall-cmd --zone=zone-name --remove-protocol=port-name/tcp|udp|sctp|dccp|igmp

5.9. ポート転送

firewalld を使用して、システムで特定のポートを到達するための着信トラフィックが、選択した別の内部ポート、または別のマシンの外部ポートに配信されるようにポートのリダイレクトを設定できます。

5.9.1. リダイレクトするポートの追加

あるポートから別のポートにトラフィックをリダイレクトする前に、パケットが到達するポート、使用されるプロトコル、リダイレクト先を確認しておく必要があります。

ポートを別のポートにリダイレクトするには、以下のコマンドを実行します。

~]# firewall-cmd --add-forward-port=port=port-number:proto=tcp|udp|sctp|dccp:toport=port-number

別の IP アドレスで、別のポートにポートをリダイレクトするには、以下のコマンドを実行します。

転送するポートを追加します。

~]# firewall-cmd --add-forward-port=port=port-number:proto=tcp|udp:toport=port-number:toaddr=IP/mask

マスカレードを有効にします。
```
~]# firewall-cmd --add-masquerade
```

例5.1 同一マシンで TCP ポート 80 からポート 88 へのリダイレクト

ポートをリダイレクトするには、以下を行います。

TCP トラフィックに対して、ポート 80 からポート 88 へリダイレクトします。
```
~]# firewall-cmd --add-forward-port=port=80:proto=tcp:toport=88
```
新しい設定を永続化します。
```
~]# firewall-cmd --runtime-to-permanent
```
そのポートがリダイレクトされていることを確認します。
```
~]# firewall-cmd --list-all 
```

5.9.2. リダイレクトしたポートの削除

リダイレクトしたポートを削除するには、以下のコマンドを実行します。

~]# firewall-cmd --remove-forward-port=port=port-number:proto=<tcp|udp>:toport=port-number:toaddr=<IP/mask>

別のアドレスにリダイレクトした転送ポートを削除するには、以下を行います。

転送したポートを削除するには、以下を行います。

~]# firewall-cmd --remove-forward-port=port=port-number:proto=<tcp|udp>:toport=port-number:toaddr=<IP/mask>

マスカレードを無効にするには、以下のコマンドを実行します。
```
~]# firewall-cmd --remove-masquerade
```

注記

この方法を使用してポートをリダイレクトすることは、IPv4 ベースのトラフィックに対してのみ有効です。IPv6 リダイレクト設定の場合は、リッチルールを使用する必要があります。詳細は「「リッチ言語」構文を使用した複雑なファイアウォールルールの設定」を参照してください。

外部システムにリダイレクトするには、マスカレードを有効にする必要があります。詳細は「IP アドレスのマスカレードの設定」を参照してください。

例5.2 同じマシンで TCP ポート 88 に転送されるポート 80 の削除

ポートのリダイレクトを削除するには、以下を行います。

リダイレクトしたポートを一覧表示します。

~]# firewall-cmd --list-forward-ports 
port=80:proto=tcp:toport=88:toaddr=

ファイアウォールからリダイレクトしたポートを削除します。
```
~]# firewall-cmd --remove-forward-port=port=80:proto=tcp:toport=88:toaddr=
```
新しい設定を永続化します。
```
~]# firewall-cmd --runtime-to-permanent
```

5.10. IP アドレスのマスカレードの設定

external ゾーンなどで IP マスカレーディングが有効かどうかを確認するには、root で以下のコマンドを実行します。

~]# firewall-cmd --zone=external --query-masquerade

このコマンドでは、有効な場合は終了ステータスが 0 で yes が出力され、無効の場合は終了ステータスが 1 で no が出力されます。zone を省略すると、デフォルトのゾーンが使用されます。

IP マスカレーディングを有効にするには、root で以下のコマンドを発行します。

~]# firewall-cmd --zone=external --add-masquerade

この設定を永続的にするには、--permanent オプションを追加してコマンドを繰り返します。

IP マスカレーディングを無効にするには、root で以下のコマンドを発行します。

~]# firewall-cmd --zone=external --remove-masquerade

この設定を永続的にするには、--permanent オプションを追加してコマンドを繰り返します。

5.11. `ICMP` リクエストの管理

Internet Control Message Protocol (ICMP) は、たとえば、要求されているサービスが利用できない接続問題を示すエラーメッセージと運用情報を送信するために、さまざまなネットワークデバイスにより使用されているサポートしているプロトコルです。ICMP は、システム間でデータを交換するのには使用されていないため、TCP、UDP などの転送プロトコルとは異なります。

ただし、ICMP メッセージ (特に echo-request および echo-reply) を使用できます。さまざま不正アクティビティーに関する情報を誤用します。したがって、firewalld は、ネットワーク情報を保護するために、ICMP リクエストをブロックできます。

5.11.1. `ICMP` リクエストの一覧表示

/usr/lib/firewalld/icmptypes/ ディレクトリーに置いた個々の XML ファイルで ICMP リクエストを説明しています。このファイルを読み、リクエストの説明を表示します。firewall-cmd コマンドは、ICMP リクエストの操作を制御します。

利用可能な ICMP タイプを一覧表示するには、以下のコマンドを使用します。

~]# firewall-cmd --get-icmptypes

ICMP リクエストは IPv4、IPv6、または両方のプロトコルにより使用できます。ICMP リクエストが使用されているプロトコルを表示するには、以下のコマンドを実行します。

~]# firewall-cmd --info-icmptype=<icmptype>

ICMP リクエストのステータスは、リクエストが現在ブロックされている場合は yes、ブロックされていない場合は no となります。ICMP リクエストが現在ブロックされているかどうかを確認するには、以下のコマンドを実行します。

~]# firewall-cmd --query-icmp-block=<icmptype>

5.11.2. `ICMP` リクエストのブロックまたはブロック解除

サーバーは ICMP リクエストをブロックすると、通常通りに情報を提供しません。ただし、ただし、情報が指定されていないことを意味します。クライアントは、特定の ICMP リクエストがブロックされている (拒否されている) 情報を受け取ります。ICMP リクエストは、特に IPv6 トラフィックを使用すると、接続問題になることができるため、注意深く検討する必要があります。

ICMP リクエストが現在ブロックされているかどうかを確認するには、以下を行います。

~]# firewall-cmd --query-icmp-block=<icmptype>

ICMP リクエストをブロックするには、以下のコマンドを実行します。

~]# firewall-cmd --add-icmp-block=<icmptype>

ICMP リクエストのブロックを削除するには、以下のコマンドを実行します。

~]# firewall-cmd --remove-icmp-block=<icmptype>

5.11.3. 情報を提供せずに `ICMP` リクエストのブロック

通常、ICMP リクエストをブロックすると、ブロックしていることをクライアントは認識します。ライブの IP アドレスを傍受している潜在的な攻撃者は、IP アドレスがオンラインであることを見ることができます。この情報を完全に非表示にするには、ICMP リクエストをすべて破棄する必要があります。

すべての ICMP リクエストをブロックおよび破棄するには、以下を行います。

ゾーンのターゲットを DROP に設定します。
```
~]# firewall-cmd --set-target=DROP
```
新しい設定を永続化します。
```
~]# firewall-cmd --runtime-to-permanent
```

これで、明示的に許可されたトラフィック以外の、ICMP リクエストを含むすべてのトラフィックが破棄されます。

特定の ICMP リクエストをブロックして破棄し、その他を許可するには、以下を行います。

ゾーンのターゲットを DROP に設定します。
```
~]# firewall-cmd --set-target=DROP
```
ICMP ブロックを反転し、すべての ICMP リクエストを一度にブロックします。
```
~]# firewall-cmd --add-icmp-block-inversion
```
許可する ICMP リクエストに ICMP ブロックを追加します。
```
~]# firewall-cmd --add-icmp-block=<icmptype>
```
新しい設定を永続化します。
```
~]# firewall-cmd --runtime-to-permanent
```

ブロックの反転 は、ICMP リクエストブロックを反転するため、すでにブロックしていないすべてのブロックをブロックします。ブロックされているものはブロックされません。これは、リクエストのブロックを解除する必要がある場合は、ブロックコマンドを使用する必要があることを意味します。

これを、完全に許容する設定に戻すには、以下を行います。

ゾーンのターゲットを default または ACCEPT に戻すには、以下のコマンドを設定します。
```
~]# firewall-cmd --set-target=default
```
ICMP リクエストに追加したブロックをすべて削除します。
```
~]# firewall-cmd --remove-icmp-block=<icmptype>
```

ICMP ブロック反転を削除します。

~]# firewall-cmd --remove-icmp-block-inversion

新しい設定を永続化します。
```
~]# firewall-cmd --runtime-to-permanent
```

5.11.4. GUI を使用して `ICMP` フィルターの設定

ICMP フィルターを有効または無効にするには、firewall-config ツールを起動して、フィルターをかけるメッセージのネットワークゾーンを選択します。ICMP フィルター タブを選択し、フィルターをかける ICMP メッセージの各タイプのチェックボックスを選択します。フィルターを無効にするには、チェックボックスの選択を外します。これは方向ごとに設定され、デフォルトではすべてが許可されます。

ICMP タイプを編集するには、firewall-config ツールを起動してから設定ラベルのあるメニューで永続モードを選びます。サービス ウィンドウの下部に新たなアイコンが表示されます。以下のダイアログではいを選択し、マスカレーディングを有効化し、動作している別のマシンに転送します。

ICMP フィルター の反転を有効するには、右側の フィルターの反転 チェックボックスをクリックします。マークが付いた ICMP タイプが受け入れられ、その他はすべて拒否されます。DROP ターゲットを使用するゾーンでは、破棄されます。

5.12. `firewalld` を使用した IP セットの設定および制御

firewalld でサポートする IP セットタイプの一覧を表示するには、root で以下のコマンドを実行します。

~]# firewall-cmd --get-ipset-types
hash:ip hash:ip,mark hash:ip,port hash:ip,port,ip hash:ip,port,net hash:mac hash:net hash:net,iface hash:net,net hash:net,port hash:net,port,net

5.12.1. コマンドラインクライアントを使用して IP セットオプションの設定

IP セットは、firewalld ゾーンでソースとして使用でき、リッチルールでソースとして使用できます。Red Hat Enterprise Linux 7 では、推奨される方法は、ダイレクトルールで firewalld を使用して作成した IP セットを使用します。

永続的な環境で firewalld に認識されている IP セットをリストするには、以下のコマンドを root で実行します。

~]# firewall-cmd --permanent --get-ipsets

新しい IP セットを追加するには、永続化環境を使用した以下のコマンドを root で実行します。

~]# firewall-cmd --permanent --new-ipset=test --type=hash:net
success

以前のコマンドは、IPv4 の test 名前と、hash:net タイプで新しい IP セットを作成します。IPv6 で使用するために IP セットを作成するには、--option=family=inet6 オプションを追加します。ランタイム環境で新しい設定を有効にするには、firewalld を再ロードします。root で以下のコマンドを実行して、新しい IP セットを一覧表示します。

~]# firewall-cmd --permanent --get-ipsets
test

IP セットの詳細は、以下のコマンドを root として実行します。

~]# firewall-cmd --permanent --info-ipset=test
test
type: hash:net
options:
entries:

この時点で、IP セットにエントリーがありません。test IP セットにエントリーを追加するには、以下のコマンドを root で実行します。

~]# firewall-cmd --permanent --ipset=test --add-entry=192.168.0.1
success

以下のコマンドは、IP アドレス 192.168.0.1 を IP セットに追加します。IP セットで現在のエントリーの一覧を取得するには、以下のコマンドを root で実行します。

~]# firewall-cmd --permanent --ipset=test --get-entries
192.168.0.1

IP アドレスの一覧を含むファイルを生成します。以下のコマンドを実行します。

~]# cat > iplist.txt <<EOL
192.168.0.2
192.168.0.3
192.168.1.0/24
192.168.2.254
EOL

IP セットの IP アドレスの一覧が含まれるファイルには、行ごとにエントリーが含まれる必要があります。ハッシュ、セミコロン、また空の行から始まる行は無視されます。

iplist.txt ファイルからアドレスを追加するには、以下のコマンドを root で実行します。

~]# firewall-cmd --permanent --ipset=test --add-entries-from-file=iplist.txt
success

IP セットの拡張エントリーの一覧を表示するには、root で以下のコマンドを実行します。

~]# firewall-cmd --permanent --ipset=test --get-entries
192.168.0.1
192.168.0.2
192.168.0.3
192.168.1.0/24
192.168.2.254

IP セットからアドレスを削除し、更新したエントリー一覧を確認するには、以下のコマンドを root で実行します。

~]# firewall-cmd --permanent --ipset=test --remove-entries-from-file=iplist.txt
success
~]# firewall-cmd --permanent --ipset=test --get-entries 192.168.0.1

IP セットをゾーンへのソースとして追加して、ゾーンを使用して IP セットに一覧表示したアドレスから受信するすべてのトラフィックを処理します。たとえば、test IP セットをソースとして drop ゾーンに追加すると、test IP セットに一覧表示するすべてのエントリーから発信されるパケットをすべて破棄するには、root で以下のコマンドを実行します。

~]# firewall-cmd --permanent --zone=drop --add-source=ipset:test
success

ソースの ipset: 接頭辞は、ソースが IP セットで、IP アドレスまたはアドレス範囲ではない firewalld を示しています。

IP セットの作成および削除は、永続環境に限定されており、その他の IP セットオプションは、--permanent オプションを使用しないランタイム環境で使用できます。

5.12.2. IP セットのカスタムサービスの設定

firewalld を開始する前に IP セット構造を作成およびロードするカスタムサービスを設定するには、以下を行います。

root でエディターを使用して、以下のようにファイルを作成します。

~]# vi /etc/systemd/system/ipset_name.service
[Unit]
Description=ipset_name
Before=firewalld.service

[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/usr/local/bin/ipset_name.sh start
ExecStop=/usr/local/bin/ipset_name.sh stop

[Install]
WantedBy=basic.target

firewalld で IP セットを永続的に使用します。

~]# vi /etc/firewalld/direct.xml
<?xml version="1.0" encoding="utf-8"?>
<direct>
	<rule ipv="ipv4" table="filter" chain="INPUT" priority="0">-m set --match-set <replaceable>ipset_name</replaceable> src -j DROP</rule>
</direct>

変更を有効にするには、firewalld を再ロードする必要があります。
```
~]# firewall-cmd --reload
```
ステータス情報を失わずにファイアウォールを再ロードします (TCP セッションは終了しません) が、再起動時にサービスが中断する可能性があります。

警告

Red Hat は、firewalld. を介して管理されない IP セットを使用することは推奨しません。このような IP セットを使用すると、そのセットを参照するために永続的なダイレクトルールが必要で、IP セットを作成するためにカスタムサービスを追加する必要があります。このサービスは、firewalld を起動する前に起動する必要があります。先に起動しておかないと、firewalld が、このセットを使用してダイレクトルールを追加できません。/etc/firewalld/direct.xml ファイルを使用して、永続的なダイレクトルールを追加できます。

5.13. `iptables` を使用して IP セットの設定および制御

firewalld と iptables (and ip6tables) の本質的な違いは、以下の通りです。

iptables service は設定を /etc/sysconfig/iptables および /etc/sysconfig/ip6tables に保存しますが、firewalld は、/usr/lib/firewalld/ および /etc/firewalld/ の様々な XML ファイルに保存します。Red Hat Enterprise Linux では firewalld がデフォルトでインストールされるため、/etc/sysconfig/iptables ファイルがないことに注意してください。
iptables service では、変更を行うために古いルールがフラッシュされ、新しいルールが /etc/sysconfig/iptables から読み込まれますが、firewalld ではそのようなすべてのルールの再生が行われることはなく、差異のみが適用されます。このため、firewalld では既存の接続が中断されることなく実行時に設定変更ができます。

この両方が、iptables tool を使用してカーネルパケットフィルターと通信します。

firewalld の代わりにiptables および ip6tables の各サービスを使用するには、まず root で以下のコマンドを実行して firewalld を無効にします。

~]# systemctl disable firewalld
~]# systemctl stop firewalld

そして root で以下のコマンドを実行して、iptables-services パッケージをインストールします。

~]# yum install iptables-services

iptables-services パッケージには、iptables と ip6tables のサービスが含まれます。

次に、iptables サービスおよび ip6tables サービスを起動する前に、以下のコマンドを root で起動します。

~]# systemctl start iptables
~]# systemctl start ip6tables

システム起動時にサービスの起動を有効にするには、以下のコマンドを入力します。

~]# systemctl enable iptables
~]# systemctl enable ip6tables

ipset ユーティリティーは、Linux カーネルで IP セットを管理するために使用します。IP セットは IP アドレス、ポート番号、IP と MAC アドレスのペア、または IP アドレスとポート番号のペアを格納するフレームワークです。IP セットが非常に大きい場合であっても IP セットに対する照合が非常に高速に行われるよう IP セットにはインデックスが作成されます。IP セットにより、設定が簡素化され、管理しやすくなり、iptables を使用した場合にパフォーマンスが向上します。セットを参照する iptables のマッチとターゲットにより、カーネルの該当するセットを保護するリファレンスが作成されます。セットを参照するリファレンスが 1 つでもあると、セットを破棄することはできません。

ipset を使用すると、以下のような iptables コマンドをセットに置き換えることができます。

~]# iptables -A INPUT -s 10.0.0.0/8 -j DROP
~]# iptables -A INPUT -s 172.16.0.0/12 -j DROP
~]# iptables -A INPUT -s 192.168.0.0/16 -j DROP

セットは、以下のように作成されます。

~]# ipset create my-block-set hash:net
~]# ipset add my-block-set 10.0.0.0/8
~]# ipset add my-block-set 172.16.0.0/12
~]# ipset add my-block-set 192.168.0.0/16

セットは、以下のように iptables コマンドで参照されます。

~]# iptables -A INPUT -m set --set my-block-set src -j DROP

セットが複数回使用される場合は、設定時間が短縮されます。セットに多くのエントリーが含まれる場合は、処理時間が短縮されます。

5.14. ダイレクトインターフェースの使用

firewall-cmd ツールで --direct オプションを使用すると、ランタイム時にチェーンの追加、削除が可能になります。ここではいくつかの例を紹介していますが、詳細は man ページの firewall-cmd(1) を参照してください。

ダイレクトインターフェースの使用は意図せずにファイアウォール侵害を引き起こす可能性があるので、iptables に精通していない場合には危険です。

ダイレクトインターフェースモードは、サービスもしくはアプリケーションが実行時に特定のファイアウォールルールを追加するためのものです。--permanent オプションを追加して firewall-cmd --permanent --direct コマンドを使用するか、/etc/firewalld/direct.xml を修正することで、ルールを永続的なものにできます。/etc/firewalld/direct.xml ファイルの詳細は、man ページ firewalld.direct(5) を参照してください。

5.14.1. ダイレクトインターフェースを使用するルールの追加

ルールを「IN_public_allow」チェーンに追加するには、root で以下のコマンドを実行します。

~]# firewall-cmd --direct --add-rule ipv4 filter IN_public_allow \
        0 -m tcp -p tcp --dport 666 -j ACCEPT

--permanent オプションを追加して設定を永続化します。

5.14.2. ダイレクトインターフェースを使用したルールの削除

「IN_public_allow」チェーンからルールを削除するには、root で以下のコマンドを実行します。

~]# firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow \
        0 -m tcp -p tcp --dport 666 -j ACCEPT

--permanent オプションを追加して設定を永続化します。

5.14.3. ダイレクトインターフェースを使用したルールの一覧表示

「IN_public_allow」チェーンにルールの一覧を表示するには、root で以下のコマンドを実行します。

~]# firewall-cmd --direct --get-rules ipv4 filter IN_public_allow

このコマンド (--get-rules オプション) は、--add-rule オプションを使用して追加したルールのみを表示します。他の手段で追加した iptables ルールは表示されません。

5.15. 「リッチ言語」構文を使用した複雑なファイアウォールルールの設定

「リッチ言語」構文を使用すると、ダイレクトインターフェースよりも理解しやすい方法で複雑なファイアウォールルールが作成できます。さらに、設定を永続的にできます。この言語は値の付いたキーワードを使用するもので、iptables ルールの抽象表現です。ゾーンはこの言語を使用して設定でき、現行の設定方式もそのままサポートされます。

5.15.1. リッチ言語コマンドの形式

このセクションのコマンドはすべて root で実行する必要があります。ルールを追加するコマンド形式は以下のとおりです。

firewall-cmd [--zone=zone] --add-rich-rule='rule' [--timeout=timeval]

これでリッチ言語ルール (rule) がゾーン (zone) に追加されます。このオプションは複数回指定できます。ゾーンを省略すると、デフォルトのゾーンが使用されます。タイムアウトが指定されていれば、ルールは指定した秒数の間だけアクティブになり、その後自動的に削除されます。時間の値の後に時間の単位 s (秒)、m (分) または h (時間) を追加できます。デフォルトは秒です。

ルールの削除

firewall-cmd [--zone=zone] --remove-rich-rule='rule'

これでゾーン (zone) のリッチ言語のルール (rule) が削除されます。このオプションは複数回指定できます。ゾーンが省略されると、デフォルトのゾーンが使用されます。

ルールが存在するかの確認

firewall-cmd [--zone=zone] --query-rich-rule='rule'

このコマンドは、リッチ言語ルールの rule がゾーン zone に追加されたかどうかを返します。有効な場合は終了ステータスが 0 で yes が出力され、無効の場合は終了ステータスが 1 で no が出力されます。ゾーンを省略すると、デフォルトのゾーンが使用されます。

ゾーン設定ファイルで使用されるリッチ言語表現に関する詳細は、man ページの firewalld.zone(5) を参照してください。

5.15.2. リッチルールの構造について

リッチルールコマンドの形式または構造は、以下のようになります。

rule [family="rule family"]
    [ source [NOT] [address="address"] [mac="mac-address"] [ipset="ipset"] ]
    [ destination [NOT] address="address" ]
    [ element ]
    [ log [prefix="prefix text"] [level="log level"] [limit value="rate/duration"] ]
    [ audit ]
    [ action ]

注記

このファイルにおけるリッチルールの構造は、ソースおよび宛先アドレスのコマンドの意味を反転させる NOT キーワードを使用しています。ただし、コマンドラインは invert="true" オプションを使用します。

ルールは特定のゾーンに関連付けられます。ゾーンには複数のルールを関連付けることができます。いくつかのルールが相互に作用する、または矛盾する場合は、パケットに適合する最初のルールが適用されます。

5.15.3. リッチルールのコマンドオプションについて

family: ルールのファミリーを指定している場合は、ipv4 か ipv6 になり、ルールを IPv4 または IPv6 に制限します。ルールのファミリーを使用しないと、ルールが IPv4 と IPv6 の両方に追加されます。ルール内でソースまたは宛先のアドレスを使用している場合は、ルールのファイミリーを提供する必要があります。これは、ポート転送の場合でも同じです。

ソースアドレスおよび宛先のアドレス

source: ソースのアドレスを指定すると、接続試行の元を指定したソースアドレスに限定できます。ソースアドレスまたはアドレスの範囲は、IPv4 または IPv6 のマスクを伴う IP アドレスかネットワーク IP アドレスになります。IPv4 のマスクは、ネットワークマスクまたは単純な番号になります。IPv6 のマスクは単純な番号になります。ホスト名の使用はサポートされていません。NOT キーワードを追加すると、ソースアドレスコマンドの意味が逆になり、提供されたアドレス以外のものがマッチすることになります。
そのルールに family が指定されていない場合は、MAC アドレスと、hash:mac を持つ IP セットを、IPv4 および IPv6 に追加できます。その他の IP は、ルールの family 設定に一致させる必要があります。
destination: 宛先のアドレスを指定すると、ターゲットを指定した宛先アドレスに限定できます。宛先アドレスでは、IP アドレスまたはアドレス範囲のソースアドレスと同様の構文を使用します。ソースアドレスおよび宛先アドレスの使用はオプションで、宛先アドレスをすべての要素とともに使用できるわけではありません。これは、サービスエントリーにおける宛先アドレスの使用などによって異なります。destination と action は組み合わせることができます。

要素

要素は、要素タイプ service、port、protocol、masquerade、icmp-block、forward-port、および source-port に対して 1 つだけ になります。

service

service 要素は、firewalld が提供したサービスのひとつです。事前定義したサービスの一覧を取得するには、以下のコマンドを実行します。

~]$ firewall-cmd --get-services

サービスが宛先アドレスを提供する場合、ルール内の宛先アドレスと競合し、エラーが発生します。内部で宛先アドレスを使用するサービスのほとんどは、マルチキャストを使用するサービスです。コマンドは以下の形式になります。

service name=service_name

port

port 要素は、1 つのポート番号またはポート範囲 (5060-5062 など) のいずれかの後にプロトコル (tcp または udp のいずれか) が続きます。コマンドは以下の形式になります。

port port=number_or_range protocol=protocol

protocol

protocol 値は、プロトコル ID 番号またはプロトコル名となります。許可されている protocol エントリーは /etc/protocols を参照してください。コマンドは以下の形式になります。

protocol value=protocol_name_or_ID

icmp-block

1 つ以上の ICMP タイプをブロックするには、このコマンドを使用します。ICMP タイプは、firewalld がサポートする ICMP タイプのひとつになります。サポートされる ICMP タイプの一覧を確認するには、以下のコマンドを実行します。

~]$ firewall-cmd --get-icmptypes

ここではアクションの特定はできません。icmp-block は reject のアクションを内部で使用します。コマンドは以下の形式になります。

icmp-block name=icmptype_name

masquerade

ルール内の IP マスカレードを有効にします。ソースアドレスを提供するとこのエリアへのマスカレードを制限できますが、宛先アドレスは制限できません。ここではアクションの特定はできません。

forward-port

tcp または udp として指定されたプロトコルのローカルポートから別のローカルポート、別のマシン、または別のマシン上の別のポートにパケットを転送します。port および to-port は、1 つのポート番号もしくはポート範囲のどちらでも構いません。宛先アドレスは、単純な IP アドレスになります。ここではアクションの特定はできません。forward-port コマンドは、accept のアクションを内部で使用します。コマンドは以下の形式になります。

forward-port port=number_or_range protocol=protocol /
            to-port=number_or_range to-addr=address

source-port

パケットのソースポートに一致します。そのポートは、接続試行の発信元として使用されます。現在のマシンのポートに一致させる場合は、port 要素を使用します。source-port 要素は、1 つのポート番号またはポート範囲 (たとえば 5060-5062) のいずれかの後にプロトコル (tcp または udp のいずれか) が続きます。コマンドは以下の形式になります。

source-port port=number_or_range protocol=protocol

ロギング

log

syslog などのカーネルロギングでルールへの新たな接続試行を記録します。ログメッセージに接頭辞として追加される接頭辞テキストを定義できます。ログレベルは、emerg、alert、crit、error、warning、notice、info、または debug のいずれかになります。ログの使用はオプションです。ログの使用は以下のように制限できます。

log [prefix=prefix text] [level=log level] limit value=rate/duration

rate は正の自然数 [1, ..] で、s、m、h、d は時間の長さになります。s は秒数、m は分数、h は時間数、d は日数を表します。制限の最大値は 1/d で、これは 1 日あたり最大 1 ログエントリーになります。

audit

Audit は、サービス auditd に送信された監査記録を使ってロギングの別の方法を提供します。audit タイプは ACCEPT、REJECT、または DROP のいずれかになりますが、これはルールのアクションから自動的に獲得されるので、audit コマンドの後では指定されません。Audit にはそれ自体のパラメーターはありませんが、オプションで制限を加えることができます。Audit の使用はオプションになります。

アクション

accept|reject|drop|mark

アクションは、accept、reject、drop、または mark のいずれかに設定できます。このルールには、要素またはソースのいずれかにすることができます。要素と一致する新しい接続は、そのアクションで処理されます。ルールにソースが含まれ、ソースアドレスからのものはすべて指定したアクションで処理されます。

accept | reject [type=reject type] | drop | mark set="mark[/mask]"

accept アクションを使用すると、新たな接続試行がすべて許可されます。reject を使用するとそれは拒否され、そのソースは拒否メッセージを受け取ります。拒否のタイプは、別の値を使用するように設定できます。drop を使用すると、すべてのパケットが即座に破棄され、ソースには何も情報が送られません。mark を使用すると、すべてのパケットには、指定した mark と、オプションの mask でマークされます。

5.15.4. リッチルールログコマンドの使用

ロギングは Netfilter ログターゲットおよび audit ターゲットを使用して実行できます。「zone_log」という形式の名前で新たなチェーンがすべてのゾーンに追加されます。ここでの zone はゾーン名になります。適切な順序にするために、これは deny チェーンの前に処理されます。ルールまたはルールの一部は、以下のようにルールのアクションに従い、複数のチェーンに置かれます。

zone_log
			zone_deny
			zone_allow

ロギングのルールはすべて「zone_log」チェーンに置かれ、これが最初に解析されます。reject ルールおよび drop ルールはすべて「zone_deny」チェーンに置かれ、これは log チェーンの後に解析されます。accept ルールはすべて「zone_allow」チェーンに置かれ、これは deny チェーンの後に解析されます。ルールに log と deny または allow アクションが含まれる場合、これらのアクションを指定しているルールの一部は、一致するチェーンに置かれます。

5.15.4.1. リッチルールログコマンドの使用例 1

認証ヘッダープロトコル AH 用に新たな IPv4 接続および IPv6 接続を有効にします。

rule protocol value="ah" accept

5.15.4.2. リッチルールログコマンドの使用例 2

プロトコル FTP および audit を使用した 1 分あたり 1 件のログ用に新たな IPv4 および IPv6 接続を許可します :

rule service name="ftp" log limit value="1/m" audit accept

5.15.4.3. リッチルールログコマンドの使用例 3

プロトコル TFTP と syslog を使用した毎分 1 件のログ用にアドレス 192.168.0.0/24 からの新たな IPv4 接続を許可します。

rule family="ipv4" source address="192.168.0.0/24" service name="tftp" log prefix="tftp" level="info" limit value="1/m" accept

5.15.4.4. リッチルールログコマンドの使用例 4

プロトコル RADIUS 用の 1:2:3:4:6:: からの新たな IPv6 接続はすべて拒否され、1 分あたり 3 件のログが作成されます。その他のソースからの新たな IPv6 接続は許可されます。

rule family="ipv6" source address="1:2:3:4:6::" service name="radius" log prefix="dns" level="info" limit value="3/m" reject
rule family="ipv6" service name="radius" accept

5.15.4.5. リッチルールログコマンドの使用例 5

プロトコル TCP を使用してポート 4011 で 1:2:3:4:6:: から受信した IPv6 パケットを、ポート 4012 上の 1::2:3:4:7 に転送します。

rule family="ipv6" source address="1:2:3:4:6::" forward-port to-addr="1::2:3:4:7" to-port="4012" protocol="tcp" port="4011"

5.15.4.6. リッチルールログコマンドの使用例 6

ソースアドレスをホワイトリスト化してそのソースからの接続をすべて許可します。

rule family="ipv4" source address="192.168.2.2" accept

その他の例は、man ページの firewalld.richlanguage(5) を参照してください。

5.16. ファイアウォールロックダウンの設定

ローカルのアプリケーションやサービスは、root で実行していれば (たとえば libvirt) ファイアウォール設定を変更することができます。この機能を使用すると、管理者はファイアウォール設定をロックして、どのアプリケーションもファイアウォール変更を要求できなくするか、ロックダウンのホワイトリストに追加されたアプリケーションのみがファイアウォール変更を要求できるようにすることが可能になります。ロックダウン設定はデフォルトで無効になっています。これを有効にすると、ローカルのアプリケーションやサービスによるファイアウォールの望ましくない設定変更を確実に防ぐことができます。

5.16.1. コマンドラインクライアントを使用してロックダウンの設定

ロックダウンが有効になっているかを確認するには、root で以下のコマンドを使用します。

~]# firewall-cmd --query-lockdown

ロックダウンが有効な場合は終了ステータスが 0 で yes が出力され、無効の場合は終了ステータスが 1 で no が出力されます。

ロックダウンを有効にするには、root で以下のコマンドを実行します。

~]# firewall-cmd --lockdown-on

ロックダウンを無効にするには、root で以下のコマンドを実行します。

~]# firewall-cmd --lockdown-off

5.16.2. コマンドラインクライアントでホワイトリストオプションの設定

ロックダウンのホワイトリストには、コマンド、セキュリティーのコンテキスト、ユーザー、およびユーザー ID を追加できます。ホワイトリストのコマンドエントリーがアスタリスク「*」で終了している場合、そのコマンドで始まるすべてのコマンドラインが一致することになります。「*」がない場合は、コマンドと引数が完全に一致する必要があります。

ここでのコンテキストは、実行中のアプリケーションやサービスのセキュリティー (SELinux) コンテキストです。実行中のアプリケーションのコンテキストを確認するには、以下のコマンドを実行します。

~]$ ps -e --context

このコマンドで、実行中のアプリケーションがすべて返されます。grep ツールを使用して、出力から目的のアプリケーションを以下のようにパイプ処理します。

~]$ ps -e --context | grep example_program

ホワイトリストにあるコマンドラインを一覧表示するには、root で以下のコマンドを実行します。

~]# firewall-cmd --list-lockdown-whitelist-commands

ホワイトリストにコマンド command を追加するには、root で以下のコマンドを実行します。

~]# firewall-cmd --add-lockdown-whitelist-command='/usr/bin/python -Es /usr/bin/command'

ホワイトリストからコマンド command を削除するには、root で以下のコマンドを実行します。

~]# firewall-cmd --remove-lockdown-whitelist-command='/usr/bin/python -Es /usr/bin/command'

ホワイトリストにコマンド command があるかどうかを確認するには、root で以下のコマンドを実行します。

~]# firewall-cmd --query-lockdown-whitelist-command='/usr/bin/python -Es /usr/bin/command'

True の場合は終了ステータスが 0 で yes が出力され、False の場合は終了ステータスが 1 で no が出力されます。

ホワイトリストにあるセキュリティーコンテキストを一覧表示するには、root で以下のコマンドを実行します。

~]# firewall-cmd --list-lockdown-whitelist-contexts

ホワイトリストにコンテキスト context を追加するには、root で以下のコマンドを実行します。

~]# firewall-cmd --add-lockdown-whitelist-context=context

ホワイトリストからコンテキスト context を削除するには、root で以下のコマンドを実行します。

~]# firewall-cmd --remove-lockdown-whitelist-context=context

ホワイトリストにコンテキスト context があるかどうかを確認するには、root で以下のコマンドを実行します。

~]# firewall-cmd --query-lockdown-whitelist-context=context

コマンドがある場合は終了ステータスが 0 で yes が出力され、ない場合は終了ステータスが 1 で no が出力されます。

ホワイトリストにあるユーザー ID を一覧表示するには、root で以下のコマンドを実行します。

~]# firewall-cmd --list-lockdown-whitelist-uids

ホワイトリストにユーザー ID uid を追加するには、root で以下のコマンドを実行します。

~]# firewall-cmd --add-lockdown-whitelist-uid=uid

ホワイトリストからユーザー ID uid を削除するには、root で以下のコマンドを実行します。

~]# firewall-cmd --remove-lockdown-whitelist-uid=uid

ホワイトリストにユーザー ID uid があるかどうかを確認するには、以下のコマンドを実行します。

~]$ firewall-cmd --query-lockdown-whitelist-uid=uid

コマンドがある場合は終了ステータスが 0 で yes が出力され、ない場合は終了ステータスが 1 で no が出力されます。

ホワイトリストにあるユーザー名を一覧表示するには、root で以下のコマンドを実行します。

~]# firewall-cmd --list-lockdown-whitelist-users

ホワイトリストにユーザー名 user を追加するには、root で以下のコマンドを実行します。

~]# firewall-cmd --add-lockdown-whitelist-user=user

ホワイトリストからユーザー名 user を削除するには、root で以下のコマンドを実行します。

~]# firewall-cmd --remove-lockdown-whitelist-user=user

ホワイトリストにユーザー名 user があるかどうかを確認するには、以下のコマンドを実行します。

~]$ firewall-cmd --query-lockdown-whitelist-user=user

コマンドがある場合は終了ステータスが 0 で yes が出力され、ない場合は終了ステータスが 1 で no が出力されます。

5.16.3. 設定ファイルを使用したロックダウンホワイトリストオプションの設定

デフォルトのホワイトリスト設定ファイルには NetworkManager コンテキストと、libvirt のデフォルトコンテキストが含まれます。また、リストにはユーザー ID 0 もあります。

<?xml version="1.0" encoding="utf-8"?>
	<whitelist>
	  <selinux context="system_u:system_r:NetworkManager_t:s0"/>
	  <selinux context="system_u:system_r:virtd_t:s0-s0:c0.c1023"/>
	  <user id="0"/>
	</whitelist>

以下のホワイトリスト設定ファイルの例では、firewall-cmd ユーティリティーのコマンドと、ユーザー ID が 815 である user のコマンドすべてを有効にしています。

<?xml version="1.0" encoding="utf-8"?>
	<whitelist>
	  <command name="/usr/bin/python -Es /bin/firewall-cmd*"/>
	  <selinux context="system_u:system_r:NetworkManager_t:s0"/>
	  <user id="815"/>
	  <user name="user"/>
	</whitelist>

上記の例では user id と user name の両方が使用されていますが、実際にはどちらか一方のみのオプションが必要になります。インタープリターは Python なので、コマンドラインに追加されています。または、以下のような明確なコマンドも使用できます。

/usr/bin/python /bin/firewall-cmd --lockdown-on

この例では、--lockdown-on コマンドのみが許可されます。

注記

Red Hat Enterprise Linux 7 では、すべてのユーティリティーが /usr/bin/ ディレクトリーに格納されており、/bin/ ディレクトリーは /usr/bin/ ディレクトリーのシンボリックリンクとなります。つまり、root で firewall-cmd のパスを実行すると /bin/firewall-cmd に対して解決しますが、/usr/bin/firewall-cmd が使用できるようになっています。新たなスクリプトはすべて新しい格納場所を使用する必要がありますが、root で実行するスクリプトが /bin/firewall-cmd のパスを使用するようなっているのであれば、通常 root ユーザー以外のみに使用される /usr/bin/firewall-cmd パスに加え、このコマンドパスもホワイトリストに加える必要があります。

コマンドの名前属性の最後にある「*」は、それで始まるすべてのコマンドが一致することを意味します。「*」がなければ、コマンドと引数が完全に一致する必要があります。

5.17. 拒否されたパケットに対するロギングの設定

firewalld で LogDenied オプションを使用して、拒否したパケットに簡易ロギングメカニズムを追加できます。これらは拒否または破棄されます。ログ設定を変更するには、/etc/firewalld/firewalld.conf ファイルを変更するか、コマンドラインまたは GUI 設定ツールを使用します。

LogDenied を有効にすると、デフォルトルールの INPUT、FORWARD、および OUTPUT チェインの reject ルールおよび drop ルールと、ゾーンの最後の reject ルールおよび drop ルールの直前に、ロギングルールが追加されます。ここに設定できる値は、all、unicast、broadcast、multicast、および off です。デフォルト設定は off です。unicast、broadcast、multicast の設定では、リンク層のパケットタイプを一致させるのに pkttype 一致を使用します。all を使用すると、すべてのパケットがログに記録されます。

firewall-cmd で実際の LogDenied 設定を一覧表示するには、root で以下のコマンドを使用します。

~]# firewall-cmd --get-log-denied
off

LogDenied 設定を変更するには、root で以下のコマンドを実行します。

~]# firewall-cmd --set-log-denied=all
success

firewalld GUI 設定ツールを使用して LogDenied 設定を変更するには、firewall-config を起動し、Options メニューをクリックし、Change Log Denied を選択します。LogDenied ウィンドウが表示されます。メニューから LogDenied 設定を選択し、OK をクリックします。

5.18. その他のリソース

以下の情報ソースでは、firewalld に関する追加リソースが提供されています。

5.18.1. インストールされているドキュメント

firewalld(1) の man ページ - firewalld のコマンドオプションについて説明しています。
firewalld.conf(5) の man ページ - firewalld の設定に関する情報が含まれています。
firewall-cmd(1) の man ページ - firewalld コマンドラインクライアントのコマンドオプションについて説明しています。
firewall-config(1) の man ページ - firewall-config ツールの設定を説明します。
firewall-offline-cmd(1) の man ページ - firewalld オフラインのコマンドラインクライアントを説明します。
firewalld.icmptype(5) の man ページ - ICMP フィルタリングの XML 設定ファイルについて説明しています。
firewalld.ipset(5) の man ページ - firewalld IP セットの XML 設定ファイルを説明します。
firewalld.service(5) の man ページ - firewalld service の XML 設定ファイルについて説明しています。
firewalld.zone(5) の man ページ - firewalld ゾーン設定の XML 設定ファイルについて説明しています。
firewalld.direct(5) の man ページ - firewalld ダイレクトインターフェース設定ファイルについて説明しています。
firewalld.lockdown-whitelist(5) の man ページ - firewalld ロックダウンホワイトリストの設定ファイルについて説明しています。
firewalld.richlanguage(5) の man ページ - firewalld リッチ言語ルール構文を説明します。
firewalld.zones(5) の man ページ - ゾーンの全般的な説明と設定方法が説明されています。
firewalld.dbus(5) の man ページ - firewalld の D-Bus インターフェースを説明します。

5.18.2. オンラインのドキュメント

http://www.firewalld.org/ - firewalld ホームページ

第6章システム監査

Linux Audit システムは、システム上のセキュリティー関連情報を追跡する方法を提供します。事前設定ルールに基づき、Audit はシステム上で発生しているイベントについての情報をできるだけ多く記録するためのログエントリーを生成します。この情報は、セキュリティーポリシーの違反者と違反者によるアクションを判断する上でミッションクリティカルな環境で必須のものです。Audit は新たなセキュリティーをシステムに追加するわけではありません。システム上で使われているセキュリティーポリシーの侵害を発見するために使用されます。これらの侵害は、SELinux などの追加のセキュリティー対策でさらに防ぐことができます。

Audit がログファイルに記録できる情報のいくつかを、以下のリストで要約しています。

イベントの日時、タイプ、結果
サブジェクトとオブジェクトの機密性のラベル
イベントを開始したユーザーの ID とイベントの関連性
Audit 設定の全修正および Audit ログファイルへのアクセス試行
SSH、Kerberos、およびその他の認証メカニズムのすべての使用。
/etc/passwd のような、信頼できるデータベースへの変更。
システムからの情報のインポートおよびシステムへの情報のエクスポートの試行。
ユーザー ID、サブジェクトおよびオブジェクトラベル、その他の属性に基づく include または exclude イベント

Audit システムの使用は、多くのセキュリティー関連の認定における要件でもあります。Audit は、以下の認定またはコンプライアンスガイドの要件に合致するか、それを超えるように設計されています。

Controlled Access Protection Profile (CAPP)
Labeled Security Protection Profile (LSPP)
Rule Set Base Access Control (RSBAC)
NISPOM (National Industrial Security Program Operating Manual)
Federal Information Security Management Act (FISMA)
Payment Card Industry — Data Security Standard (PCI-DSS)
セキュリティー技術実装ガイド (STIG: Security Technical Implementation Guide)

Audit は以下でも認定されています。

National Information Assurance Partnership (NIAP) および Best Security Industries (BSI) による評価
Red Hat Enterprise Linux 5 における LSPP/CAPP/RSBAC/EAL4+ の認定
Red Hat Enterprise Linux 6 における Operating System Protection Profile / Evaluation Assurance Level 4+ (OSPP/EAL4+) の認定

使用例

ファイルアクセスの監視: Audit は、ファイルやディレクトリーがアクセス、修正、実行されたか、またはファイル属性が変更されたかを追跡することができます。これはたとえば、重要なファイルへのアクセスを検出し、これらのファイルが破損した場合に監査証跡を入手可能とする際に便利なものです。
システムコールの監視: Audit は、特定のシステムコールが使用されるたびにログエントリーを生成するように設定できます。これを使用すると、settimeofday や clock_adjtime、その他の時間関連のシステムコールを監視することで、システム時間への変更を追跡できます。
ユーザーが実行したコマンドの記録: Audit はファイルが実行されたかどうかを追跡できるので、特定のコマンドの実行を毎回記録するようにルールを定義することができます。たとえば、/bin ディレクトリー内の実行可能ファイルすべてについてルールを定義することができます。その結果できるログエントリーをユーザー ID で検索すると、ユーザーごとに実行されたコマンドの監査証跡を生成することができます。
システムのパス名実行の記録: ルールの呼び出し時にパスを inode に変換するファイルアクセスをウォッチする以外に、ルールの呼び出し時に存在しない場合や、ルールの呼び出し後にファイルが置き換えられた場合でも、Audit がパスの実行をウォッチできるようになりました。これにより、ルールは、プログラム実行ファイルをアップグレードした後、またはインストールされる前にも機能を継続できます。
セキュリティーイベントの記録: pam_faillock 認証モジュールは、失敗したログイン試行を記録することができます。Audit で失敗したログイン試行も記録するように設定すると、ログインを試みたユーザーについての追加情報が提供されます。
イベントの検索: Audit は ausearch ユーティリティーを提供します。これを使うと、ログエントリーをフィルターにかけ、いくつもの条件に基づく完全な監査証跡を提供することができます。
サマリーレポートの実行: aureport ユーティリティーを使うと、記録されたイベントのデイリーレポートを生成することができます。システム管理者は、このレポートを分析し、疑わしいアクティビティーをさらに調べることができます。
ネットワークアクセスの監視: iptables と ebtables ユーティリティーは Audit イベントを開始するように設定でき、これでシステム管理者はネットワークアクセスを監視できるようになります。

注記

システムのパフォーマンスは、Audit が収集する情報量によって影響される可能性があります。

6.1. Audit システムのアーキテクチャー

Audit システムは、ユーザー空間アプリケーションとユーティリティー、およびカーネル側のシステムコール処理という 2 つの主要な部分で構成されます。カーネルコンポーネントは、ユーザース空間アプリケーションからシステムコールを受け、以下のフィルターのいずれかでフィルター処理します。user、task、fstype、または exit。

システムコールが exclude フィルターを通過すると、前述のフィルターのいずれかに送られます。このフィルターは Audit ルール設定に基づいて、システムコールを Audit デーモンに送信してさらに処理します。

ユーザースペースの Audit デーモンはカーネルから情報を収集し、ログファイルエントリーを作成します。他のユーザースペースユーティリティーは、Audit デーモン、カーネル Audit コンポーネント、または Audit ログファイルと対話します。

audisp — Audit ディスパッチャーデーモンは Audit デーモンと対話し、イベントを他のアプリケーションに送信してさらに処理します。このデーモンの目的は、プラグインメカニズムを提供して、リアルタイムの分析プログラムが Audit イベントと対話できるようにすることです。
auditctl — Audit 制御ユーティリティーはカーネル Audit コンポーネントと対話し、ルールを管理するだけでなくイベント生成プロセスの多くの設定やパラメーターも制御します。
残りの Audit ユーティリティーは Audit ログファイルのコンテンツを入力として受け取り、ユーザーの要件に基づいて出力を生成します。たとえば、aureport ユーティリティーは記録された全イベントのレポートを生成します。

6.2. audit パッケージのインストール

Audit システムを使用するには、audit パッケージをシステムにインストールする必要があります。audit パッケージ (audit および audit-libs) はデフォルトで Red Hat Enterprise Linux 7 にインストールされます。このパッケージがインストールされていない場合は、root ユーザーとして以下のコマンドを実行して、Audit とその依存関係をインストールします。

~]# yum install audit

6.3. `audit` サービスの設定

Audit デーモンは、/etc/audit/auditd.conf ファイルに設定できます。このファイルは、Audit デーモンの挙動を修正する設定パラメーターから構成されます。空の行とハッシュ記号 (#) に続くテキストは無視されます。詳細は、man ページの auditd.conf(5) を参照してください。

6.3.1. セキュアな環境用の `auditd` 設定

デフォルトの auditd 設定は多くの環境に適している必要がありますが、環境が、厳格なセキュリティーポリシーに対応する必要がある場合は、/etc/audit/auditd.conf ファイルの Audit デーモン設定に対して以下の設定が推奨されます。

log_file: 各マウントポイントには、Audit ログファイル (通常 /var/log/audit/) を保持するディレクトリーが必要になります。これにより、このディレクトリーの領域をその他のプロセスが使用しないようにし、Audit デーモンの残りのスペースの正確な検出を提供します。
max_log_file: 1 つの Audit ログファイルの最大サイズを指定します。Audit ログファイルを保持するパーティションで利用可能な領域をすべて使用するように設定する必要があります。
max_log_file_action: max_log_file に設定した制限に達すると発生するアクションを指定します。Audit ログファイルが上書きされないないようにするには、keep_logs に設定する必要があります。
space_left: space_left_action パラメーターに設定したアクションを発生させる、ディスクの空き領域サイズを指定します。この制限に達したときに管理者が十分対応できるだけの時間を設定する必要があります。space_left 値は、Audit ログファイルが生成される速度によって異なります。
space_left_action: space_left_action パラメーターは、email または exec など、適切な通知方法に設定することが推奨されます。
admin_space_left: admin_space_left_action パラメーターに設定したアクションが発生するディスクの空き領域の最小サイズ。管理者が実行するアクションのログを記録するのに十分なサイズを残す必要があります。
admin_space_left_action: single を、システムをシングルユーザーモードにし、監理者がディスク領域を解放できるようにします。
disk_full_action: Audit ログファイルを保持するパーティションで空き領域がない場合に発生するアクションを指定します。halt または single に設定する必要があります。このように設定すると、Audit がイベントをログに記録できなくなると、システムはシャットダウンまたはシングルユーザーモードで動作します。
disk_error_action: Audit ログファイルがあるパーティションでエラーが検出された場合に発生するアクションを指定します。このパラメーターは、ハードウェアの機能不全処理に関するローカルのセキュリティーポリシーによって、syslog、single、halt のいずれかに設定する必要があります。
flush: incremental_async に設定してください。ハードドライブと強制同期する前にディスクに送信できる記録数を決める freq パラメーターと合わせて機能します。freq パラメーターは、100 に設定してください。これらのパラメーターにより、アクティビティーが集中した場合に高いパフォーマンスを保ちつつ、Audit イベントデータがディスク上のログファイルと確実に同期されるようにします。

残りの設定オプションは、ローカルのセキュリティーポリシーにあわせて設定します。

6.4. `audit` サービスの起動

auditd を設定すると、サービスが開始して Audit 情報を収集し、ログファイルに保存します。root 権限で以下のコマンドを実行し、auditd を開始します。

~]# service auditd start

注記

service コマンドは、auditd デーモンと正しく対話する唯一の方法です。auid の値が正しく記録されるように service コマンドを使用する必要があります。systemctl コマンドは、enable と status の 2 つのアクションにのみ使用できます。

システムの起動時に auditd サービスが開始するように設定するには、以下を実行します。

~]# systemctl enable auditd

auditd では、service auditd action コマンドを使用して、他のアクションを実行できます。action は、以下のいずれかになります。

stop: auditd を停止します。
restart: auditd を再起動します。
reload または force-reload: /etc/audit/auditd.conf ファイルは、auditd の設定を再ロードします。
rotate: ログファイルを /var/log/audit/ ディレクトリーにローテートします。
resume: Audit イベントのログが一旦停止した後、再開します。たとえば、Audit ログファイルがあるディスクパーティションの未使用スペースが不足している場合などです。
condrestart または try-restart: auditd がすでに起動している場合にのみ、これを再起動します。
status: auditd の稼働状況を表示します。

6.5. Audit ルールの定義

Audit システムは、ログファイルで何を取得するかを定義する一連のルールで動作します。以下の Audit ルールのタイプを指定できます。

制御ルール: Audit システムの動作と、一部の設定を修正するのを許可します。
ファイルシステムのルール: ファイルの監視としても知られており、特定のファイルまたはディレクトリーへのアクセスを監査できます。
システムコールのルール: 指定したプログラムが作成するシステムコールのログを許可します。

Audit ルールは、以下に設定できます。

auditctl ユーティリティーを使用したコマンドライン。このルールはシステムの再起動後は永続化しません。詳細は「auditctl で監査ルールの定義」を参照してください。
/etc/audit/audit.rules ファイル。詳細は「永続的な Audit ルールの定義と /etc/audit/audit.rules ファイルでの制御」を参照してください。

6.5.1. auditctl で監査ルールの定義

auditctl コマンドを使うと、Audit システムの基本的な機能を制御し、どの Audit イベントをログ記録するかを決定するルールが定義できます。

注記

Audit サービスおよび Audit ログファイルと対話するすべてのコマンドは、root 権限が必要になります。これらのコマンドは、必ず root ユーザーとして実行してください。さらに、Audit サービスの設定には CAP_AUDIT_CONTROL が、ユーザーメッセージのロギングには CAP_AUDIT_WRITE が必要です。

制御ルールの定義

以下の制御ルールを使うと、Audit システムの動作が修正できます。

-b

カーネルにおける既存のAudit バッファの最大値を設定します。例を示します。

~]# auditctl -b 8192

-f

重大なエラーが検出された際に実行されるアクションを設定します。例を示します。

~]# auditctl -f 2

上記の設定では、重大なエラーが発生した際にカーネルパニックが起動されます。

-e

Audit システムを有効または無効にする、もしくは設定をロックします。例を示します。

~]# auditctl -e 2

上記のコマンドは、Audit 設定をロックします。

-r

1 秒あたりに生成されるメッセージ数を設定します。例を示します。

~]# auditctl -r 0

上記の設定では、生成されるメッセージ数は制限されません。

-s

Audit システムのステータスをレポートします。例を示します。

~]# auditctl -s
AUDIT_STATUS: enabled=1 flag=2 pid=0 rate_limit=0 backlog_limit=8192 lost=259 backlog=0

-l

読み込まれている Audit ルールすべてを一覧表示します。例を示します。

~]# auditctl -l
-w /etc/passwd -p wa -k passwd_changes
-w /etc/selinux -p wa -k selinux_changes
-w /sbin/insmod -p x -k module_insertion
⋮

-D

読み込まれている Audit ルールすべてを削除します。例を示します。

~]# auditctl -D
No rules

ファイルシステムルールの定義

ファイルシステムのルールを定義するには、以下の構文を使用します。

auditctl -w path_to_file -p permissions -k key_name

ここでは、

path_to_file は、監査対象のファイルもしくはディレクトリーになります。
permissions は、ログ記録されるパーミッションになります。
- r — ファイルまたはディレクトリーの読み取りアクセスです。
- w — ファイルまたはディレクトリーの書き込みアクセスです。
- x — ファイルまたはディレクトリーの実行アクセスです。
- a — ファイルまたはディレクトリーの属性を変更します。
key_name は、どのルールまたはルールセットが特定のログエントリーを生成したかを特定する際に役立つオプションの文字列です。

例6.1 ファイルシステムルール

/etc/passwd ファイルへのすべての書き込みアクセスとこのファイルのすべての属性変更をログ記録するルールを定義するには、以下のコマンドを実行します。

~]# auditctl -w /etc/passwd -p wa -k passwd_changes

-k オプションに続く文字列は任意のものであることに注意してください。

/etc/selinux/ ディレクトリー内の全ファイルへのすべての書き込みアクセスとこれらファイルのすべての属性変更をログ記録するルールを定義するには、以下のコマンドを実行します。

~]# auditctl -w /etc/selinux/ -p wa -k selinux_changes

Linux カーネルにモジュールを挿入する /sbin/insmod コマンドの実行をログ記録するルールを定義するには、以下のコマンドを実行します。

~]# auditctl -w /sbin/insmod -p x -k module_insertion

システムコールルールの定義

システムコールのルールを定義するには、以下の構文を使用します。

auditctl -a action,filter -S system_call -F field=value -k key_name

ここでは、

action および filter は、特定のイベントがログ記録されるタイミングを指定します。action は、always または never になります。filter は、イベントに適用するカーネルルール適合のフィルターを指定します。ルール適合フィルターは、task、exit、user、exclude のいずれかになります。これらフィルターの詳細は、「Audit システムのアーキテクチャー」の冒頭部分を参照してください。
system_call は、名前でシステムコールを指定します。システムコールの全一覧は、/usr/include/asm/unistd_64.h ファイルで確認できます。複数のシステムコールをひとつのグループにまとめて、-S オプションの後にそれらを指定することも可能です。
field=value では、指定されたアーキテクチャー、グループ ID、プロセス ID などに基づいて、ルールがイベントに合致するようさらに修正する追加オプションを指定します。利用可能なフィールドのタイプおよびその値の一覧は、man ページの auditctl(8) で確認できます。
key_name は、どのルールまたはルールセットが特定のログエントリーを生成したかを特定する際に役立つオプションの文字列です。

例6.2 システムコールのルール

システムで 64 ビットアーキテクチャーが使用され、プログラムがシステムコールの adjtimex または settimeofday を使用するたびにログエントリーを作成するルールを定義するには、以下のコマンドを実行します。

~]# auditctl -a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change

ユーザー ID が 1000 以上のシステムユーザーがファイルを削除したりファイル名を変更するたびに、ログエントリーを作成するルールを定義するには、以下のコマンドを実行します。

~]# auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete

-F auid!=4294967295オプションが、ログイン UID が設定されていないユーザーを除外するために使用されています。

システムコールルールの構文を使って、ファイルシステムのルールを定義することもできます。以下のコマンドでは、-w /etc/shadow -p wa ファイルシステムルールに似たシステムコールのルールが作成されます。

~]# auditctl -a always,exit -F path=/etc/shadow -F perm=wa

6.5.2. 実行可能なファイルルールの定義

実行可能なファイルルールを定義するには、以下の構文を使用します。

auditctl  -a action,filter [ -F arch=cpu -S system_call] -F exe=path_to_executable_file -k key_name

ここでは、

action および filter は、特定のイベントがログ記録されるタイミングを指定します。action は、always または never になります。filter は、イベントに適用するカーネルルール適合のフィルターを指定します。ルール適合フィルターは、task、exit、user、exclude のいずれかになります。これらフィルターの詳細は、「Audit システムのアーキテクチャー」の冒頭部分を参照してください。
system_call は、名前でシステムコールを指定します。システムコールの全一覧は、/usr/include/asm/unistd_64.h ファイルで確認できます。複数のシステムコールをひとつのグループにまとめて、-S オプションの後にそれらを指定することも可能です。
path_to_executable_file は、監査する実行可能ファイルへの絶対パスに置き換えてください。
key_name は、どのルールまたはルールセットが特定のログエントリーを生成したかを特定する際に役立つオプションの文字列です。

例6.3 実行可能なファイルルール

/bin/id プログラムのすべ手の実行をロギングするルールを定義するには、以下のコマンドを実行します。

~]# auditctl -a always,exit -F exe=/bin/id -F arch=b64 -S execve -k execution_bin_id

6.5.3. 永続的な Audit ルールの定義と `/etc/audit/audit.rules` ファイルでの制御

再起動後も持続するように Audit ルールを定義するには、/etc/audit/audit.rules ファイルにそのルールを直接追加するか、/etc/audit/rules.d/ ディレクトリーに置かれたルールを読み込む augenrules プログラムを使用します。/etc/audit/audit.rules ファイルは、そのルールを指定するコマンドと同じ auditctl 構文を使用します。空の行と、ハッシュ記号 (#) に続くテキストは無視されます。

また、auditctl コマンドは、以下のように -R オプションを使用して指定したファイルからルールを読み込むのに使用することもできます。

~]# auditctl -R /usr/share/doc/audit/rules/30-stig.rules

制御ルールの定義

ファイルに追加できるには、Audit システムの動作を修正する制御ルールのみ (-b、-D、-e、-f、-r、--loginuid-immutable、および --backlog_wait_time) です。このオプションの詳細は「制御ルールの定義」を参照してください。

例6.4 audit.rules の制御ルール

# Delete all previous rules
-D

# Set buffer size
-b 8192

# Make the configuration immutable -- reboot is required to change audit rules
-e 2

# Panic when a failure occurs
-f 2

# Generate at most 100 audit messages per second
-r 100

# Make login UID immutable once it is set (may break containers)
--loginuid-immutable 1

ファイルシステムおよびシステムコールのルールの定義

ファイルシステムおよびシステムコールのルールは、auditctl 構文を使用して定義されます。「auditctl で監査ルールの定義」の例は、以下のルールファイルで表示されます。

例6.5 audit.rules のファイルシステムおよびシステムコールのルール

-w /etc/passwd -p wa -k passwd_changes
-w /etc/selinux/ -p wa -k selinux_changes
-w /sbin/insmod -p x -k module_insertion

-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change
-a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete

事前設定ルールのファイル

/usr/share/doc/audit/rules/ ディレクトリーでは、audit パッケージが各種の証明書基準にしたがって事前設定ルールのファイル一式を提供しています。

30-nispom.rules - NISPOM (National Industrial Security Program Operating Manual) の「Information System Security」の章で指定している要件を満たす Audit ルール設定
30-pci-dss-v31.rules - Payment Card Industry Data Security Standard (PCI DSS) v3.1 で指定されている要件を満たす Audit 設定です。
30-stig.rules - セキュリティー技術実装ガイド (STIG: Security Technical Implementation Guide) で設定された要件を満たす Audit ルール設定です。

これらの設定ファイルを使用するには、オリジナルの /etc/audit/audit.rules ファイルのバックアップを作成し、選択する設定ファイルをこの /etc/audit/audit.rules にコピーします。

~]# cp /etc/audit/audit.rules /etc/audit/audit.rules_backup
~]# cp /usr/share/doc/audit/rules/30-stig.rules /etc/audit/audit.rules

注記

Audit ルールには、順序付けができるように番号指定のスキームがあります。名前付けスキームに関する詳しい情報は /usr/share/doc/audit/rules/README-rules ファイルを参照してください。

永続ルールを定義する augenrules の使用

augenrules スクリプトは、/etc/audit/rules.d/ ディレクトリーに置いたルールを読み込み、そのルールを audit.rules ファイルにコンパイルします。このスクリプトは、自然のソート順に基づいて特定の順番で .rules で終わるすべてのファイルを処理します。このディレクトリーのファイルは、以下の意味を持つグループにまとめられます。

10 - カーネルおよび auditctl 設定
20 - 一般的なルールに該当してしまう可能性もあるが、ユーザー側で独自ルールを作成することも可能
30 - 主なルール
40 - 任意のルール
50 - サーバー固有のルール
70 - システムのローカルルール
90 - ファイナライズ (不変)

ルールは、一度に使用することを意味するものではありません。これらは、熟考された個々のポリシーであり、個々のファイルは /etc/audit/rules.d/ にコピーされます。たとえば、STIG 設定でシステムを設定するために、10-base-config、30-stig、31-privileged、および 99-finalize のルールをコピーします。

/etc/audit/rules.d/ ディレクトリーにルールを置いたら、--load ディレクティブに augenrules スクリプトを実行してロードします。

~]# augenrules --load
augenrules --load No rules
enabled 1
failure 1
pid 634
rate_limit 0
backlog_limit 8192
lost 0
backlog 0
enabled 1
failure 1
pid 634
rate_limit 0
backlog_limit 8192
lost 0
backlog 1

Audit ルールおよび augenrules スクリプトの詳細は、man ページの audit.rules(8) and augenrules(8) を参照してください。

6.6. Audit ログファイルについて

デフォルトでは、Audit システムはログエントリーを /var/log/audit/audit.log ファイルに保存します。ログローテーションが有効になっていれば、ローテーションされた audit.log ファイルは同じディレクトリーに保存されます。

下記の Audit ルールは、/etc/ssh/sshd_config ファイルの読み取りまたは修正の試行をすべてログ記録します。

-w /etc/ssh/sshd_config -p warx -k sshd_config

auditd デーモンが実行している場合は、たとえば以下のコマンドを使用して、Audit ログファイルに新しいイベントを作成します。

~]$ cat /etc/ssh/sshd_config

このイベントは audit.log ファイル内で以下のように見えます。

type=SYSCALL msg=audit(1364481363.243:24287): arch=c000003e syscall=2 success=no exit=-13 a0=7fffd19c5592 a1=0 a2=7fffd19c4b50 a3=a items=1 ppid=2686 pid=3538 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=1 comm="cat" exe="/bin/cat" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="sshd_config"
type=CWD msg=audit(1364481363.243:24287):  cwd="/home/shadowman"
type=PATH msg=audit(1364481363.243:24287): item=0 name="/etc/ssh/sshd_config" inode=409248 dev=fd:00 mode=0100600 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:etc_t:s0  objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=PROCTITLE msg=audit(1364481363.243:24287) : proctitle=636174002F6574632F7373682F737368645F636F6E666967

上記のイベントは 4 つのレコードで構成されており、タイムスタンプおよびシリアル番号を共有します。レコードは、type= キーワードで始まります。各レコードは、複数の name=value ペアから成り、各ペアは空白またはコンマで区切られています。以下で、上記のイベントを詳しく解析します。

最初の記録

type=SYSCALL

type フィールドには、記録のタイプが記載されます。この例では、この記録がカーネルへのシステムコールで開始されたことを SYSCALL の値が示しています。

利用可能なすべてのタイプの値およびそれらの説明に関する一覧は、Audit 記録のタイプを参照してください。

msg=audit(1364481363.243:24287):

msg フィールドでは以下を記録しています。

audit(time_stamp:ID) の形式で、記録のタイムスタンプと一意の ID。複数の記録は、それらが同一の Audit イベントの一部として生成されている場合は、同じタイムスタンプと ID を共有できます。タイムスタンプは、Unix の時間フォーマット (1970 年 1 月 1 日 00:00:00 UTC からの秒数) を使用しています。
各種のイベント固有の name=value ペア。これは、カーネルもしくはユーザースペースアプリケーションが提供します。

arch=c000003e

arch フィールドには、システムの CPU アーキテクチャーについての情報が含まれます。c000003e という値は、十六進法でエンコードされています。ausearch コマンドで Audit 記録を検索する際は、-i または --interpret オプションを使うと自動的に十六進法の値がヒューマンリーダブルなものに変換されます。c000003e の値は、x86_64 として解釈されます。

syscall=2

syscall フィールドは、カーネルに送信されたシステムコールのタイプを記録します。2 という値は、/usr/include/asm/unistd_64.h ファイルにある、人間が可読可能なものに相当するものに一致します。このケースでは、2 は オープンな システムコールになります。ausyscall ユーティリティーを使用すると、システムコール番号を人間が可読可能なものに変換できることに注意してください。ausyscall --dump コマンドを実行すると、すべてのシステムコールとその番号一覧が表示されます。詳細情報は、man ページの ausyscall(8) を参照してください。

success=no

success フィールドは、その特定のイベントで記録されたシステムコールが成功したかどうかを記録します。このケースでは、コールは成功しませんでした。

exit=-13

exit フィールドには、システムコールが返した終了コードを指定する値が含まれています。この値は、システムコールによって異なります。以下のコマンドを使用すると、この値を人間が可読可能なものに変換できます。

~]# ausearch --interpret --exit -13

この例では、監査ログは、終了コード -13 で失敗したイベントが含まれていることが前提となります。

a0=7fffd19c5592, a1=0, a2=7fffd19c5592, a3=a

a0 から a3 までのフィールドは、このイベントにおけるシステムコールの最初の 4 つの引数を十六進法で記録します。これらの引数は、使用されているシステムコールによって異なります。ausearch ユーティリティーでこれらを変換できます。

items=1

items フィールドには、システムコールのレコードに続く PATH 補助レコードの数が含まれます。

ppid=2686

ppid フィールドには、親プロセス ID (PPID) を記録します。たとえば、2686 は、bash などの親プロセスの PPID です。

pid=3538

pid フィールドは、プロセス ID (PID) を記録します。このケースでは、3538 は、cat プロセスの PID でした。

auid=1000

auid フィールドは、loginuid である Audit ユーザー ID を記録します。この ID は、ログイン時にユーザーに割り当てられ、ユーザーの ID が変更した後でもすべてのプロセスに引き継がれます (たとえば、su - john コマンドでユーザーアカウントを切り替えた場合)。

uid=1000

uid フィールドは、解析したプロセスを開始したユーザーのユーザー ID を記録します。ユーザー ID は、ausearch -i --uid UID コマンドのユーザー名に解釈されます。

gid=1000

gid フィールドは、分析されているプロセスを開始したユーザーのグループ ID を記録します。

euid=1000

euid フィールドは、分析されているプロセスを開始したユーザーの実効ユーザー ID を記録します。

suid=1000

suid フィールドは、分析されているプロセスを開始したユーザーのセットユーザー ID を記録します。

fsuid=1000

fsuid フィールドは、分析されているプロセスを開始したユーザーのファイルシステムユーザー ID を記録します。

egid=1000

egid フィールドは、分析されているプロセスを開始したユーザーの実効グループ ID を記録します。

sgid=1000

sgid フィールドは、分析されているプロセスを開始したユーザーのセットグループ ID を記録します。

fsgid=1000

fsgid フィールドは、分析されているプロセスを開始したユーザーのファイルシステムグループ ID を記録します。

tty=pts0

tty フィールドは、分析されているプロセスが開始されたターミナルを記録します。

ses=1

ses フィールドは、分析されているプロセスが開始されたセッションのセッション ID を記録します。

comm="cat"

comm フィールドは、分析されているプロセスを開始するために使用されたコマンドのコマンドライン名を記録します。このケースでは、cat コマンドを使ってこの Audit イベントが開始されました。

exe="/bin/cat"

exe フィールドは、分析されているプロセスを開始するために使用された実行可能ファイルへのパスを記録します。

subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

subj フィールドは、分析されているプロセスの実行時にラベル付けされた SELinux コンテンツを記録します。

key="sshd_config"

key フィールドは、Audit ログでこのイベントを生成したルールに関連付けられている管理者による定義の文字列を記録します。

2 番目の記録

type=CWD: 2 番目の記録では、type フィールドの値は、現在の作業ディレクトリーである CWD になります。このタイプは、最初の記録で指定されているシステムコールを開始したプロセスが実行されている作業ディレクトリーの記録に使われます。
この記録の目的は、相対パスが関連する PATH 記録に保存された場合に、現行プロセスの位置を記録することにあります。この方法により、このプロセスの絶対パスが再構築可能になります。
msg=audit(1364481363.243:24287

Red Hat Training

セキュリティーガイド

RHEL サーバーとワークステーションをセキュアにする概念と手法

Mirek Jahoda

Stephen Wadeley

Robert Krátký

Martin Prpič

Ioanna Gkioka

Tomáš Čapek

Yoana Ruseva

Miroslav Svoboda

第1章 セキュリティーの概要

1.1. コンピューターセキュリティーとは

1.1.1. セキュリティーの標準化

1.1.2. 暗号化ソフトウェアおよび認定

1.2. セキュリティーコントロール

1.2.1. 物理的コントロール

1.2.2. 技術的コントロール

1.2.3. 管理者コントロール

1.3. 脆弱性のアセスメント

1.3.1. アセスメントとテストの定義

1.3.2. 方法論の確立

1.3.3. 脆弱性アセスメントのツール

1.3.3.1. Nmap を使用したホストのスキャン

1.3.3.1.1. Nmap の使用

1.3.3.2. Nessus

1.3.3.3. OpenVAS

1.3.3.4. Nikto

1.4. セキュリティーへの脅威

1.4.1. ネットワークセキュリティーへの脅威

セキュリティーが十分ではないアーキテクチャー

ブロードキャストネットワーク

集中化サーバー

1.4.2. サーバーセキュリティーへの脅威

未使用のサービスと開かれたポート

パッチが適用されないサービス

管理における不注意

本質的に安全ではないサービス

1.4.3. ワークステーションおよび家庭用 PC のセキュリティーに対する脅威

不適切なパスワード

脆弱なクライアントアプリケーション

1.5. 一般的な不正使用と攻撃

第2章 インストール時におけるセキュリティーのヒント

2.1. BIOS のセキュア化

2.1.1. BIOS パスワード

2.1.1.1. 非 BIOS ベースのシステム

2.2. ディスクのパーティション設定

2.3. 必要なパッケージの最小限のインストール

2.4. インストールプロセス時のネットワーク接続の制限

2.5. インストール後の手順

2.6. その他のリソース

第3章 システムを最新の状態に保つ

3.1. インストール済みソフトウェアのメンテナンス

3.1.1. セキュリティーの更新の立案と設定

3.1.1.1. Yum のセキュリティー機能の使用

3.1.2. パッケージの更新とインストール

3.1.2.1. 署名パッケージの検証

3.1.2.2. 署名パッケージのインストール

3.1.3. インストールされた更新による変更の適用

3.2. Red Hat カスタマーポータルの使用

3.2.1. カスタマーポータルでセキュリティー更新を見る

3.2.2. カスタマーポータルページでの CVE への移動

3.2.3. 問題の影響度の分類について

3.3. その他のリソース

インストールされているドキュメント

オンラインのドキュメント

Red Hat カスタマーポータル

関連項目

第4章 ツールとサービスを使用したシステム強化

4.1. デスクトップのセキュリティー

4.1.1. パスワードのセキュリティー

4.1.1.1. 強固なパスワードの作成

4.1.1.2. 強固なパスワードの強制

4.1.1.3. パスワードエージングの設定

4.1.2. アカウントのロック

authconfig でのカスタム設定の保持

nullok オプションの削除

4.1.3. セッションのロック

4.1.3.1. vlock を使った仮想コンソールのロック

4.1.4. リムーバブルメディアの読み取り専用マウントの強制

第1章セキュリティーの概要

第2章インストール時におけるセキュリティーのヒント

第3章システムを最新の状態に保つ

第4章ツールとサービスを使用したシステム強化

`nullok` オプションの削除

4.3.6.3. `/var/yp/securenets` ファイルを編集する