Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.3. サービスのセキュリティー保護

管理管理コントロールへのユーザーアクセスは、組織内のシステム管理者に対して重要な問題ですが、どのネットワークサービスが Linux システムを管理および操作するユーザーにとって、アクティブになっているネットワークサービスを監視しています。
Red Hat Enterprise Linux 7 の多くのサービスはネットワークサーバーです。ネットワークサービスがマシンで実行されている場合は、サーバーアプリケーション (デーモンと呼ばれる)が 1 つ以上のネットワークポートで接続をリッスンしています。これらのサーバーは、攻撃の潜在的な攻撃として扱う必要があります。

4.3.1. サービスのリスク

ネットワークサービスは、Linux システムに対するリスクを多数作成します。以下は、主な問題の一部です。
  • Den of Service Attacks(DoS): 要求でサービスをあふれると、サービス拒否攻撃によりシステムが、各リクエストのログを記録し、応答しなくなり、システムが使用できなくなる可能性があります。
  • Distributed Denial of Service Attack(DDoS) - 複数のセキュリティー侵害を受けたマシンを使用する DoS 攻撃のタイプで、サービスで調整された攻撃を指示し、リクエストにあふれるようにし、使用不可にします。
  • Script Vulnerability Attacks: サーバーがサーバー側のアクションを実行すると、Web サーバーは一般的に行うため、攻撃者が不適切に書き込まれたスクリプトを対象とする可能性があります。これらのスクリプトの脆弱性攻撃により、バッファーオーバーフローの条件を満たすか、攻撃者がシステム上のファイルを修正できる可能性があります。
  • buffer Overflow Attacks: ポート 1 から 1023 をリッスンするサービスは、管理者権限のいずれかで開始する必要があるか、CAP_NET_BIND_SERVICE 機能で設定する必要があります。プロセスがポートにバインドされ、これをリッスンしていると、権限または機能はドロップされることがよくあります。権限や機能が削除されておらず、アプリケーションに悪用可能なバッファーオーバーフローがある場合、攻撃者はデーモンを実行しているユーザーとしてシステムにアクセスできます。悪用可能なバッファーオーバーフローが存在するため、クラッカーは自動化ツールを使用して脆弱性のあるシステムを特定し、アクセスを受けたら、自動 rootkit を使用してシステムへのアクセスを維持します。
注記
バッファーオーバーフローの脆弱性の脅威は、x86 と互換性のあるユニプロセッサーカーネルおよびマルチプロセッサーカーネルがサポートする実行可能メモリーのセグメンテーションおよび保護テクノロジーである ExecShield によって、Red Hat Enterprise Linux 7 では軽減されます。ExecShield は、仮想メモリーを実行ファイルから分離し、実行不可能なセグメントに分割することで、バッファーオーバーフローのリスクを軽減します。実行セグメント(バッファーオーバーフローの悪用からインジェクトされた悪意のあるコードなど)外で実行しようとするプログラムコードはすべて、セグメンテーションフォールトをトリガーして終了します。
Execshield には、AMD64 プラットフォームおよび Intel® 64 システムでの No eXecute (NX)テクノロジーのサポートも含まれています。これらの技術は ExecShield と連動し、悪意のあるコードが 4KB の実行可能部分で実行されないようにし、バッファーオーバーフローの悪用による攻撃のリスクを軽減します。
重要
ネットワーク攻撃に対する公開を制限するには、未使用のサービスをすべてオフにする必要があります。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。