Linux女子部07 「firewalld&Linuxセキュリティ勉強会」 (2014/03/19 19:00〜)
開催前のお願い。 今回は恵比寿開催ではありません。【渋谷 セルリアンタワー】です。ご注意下さい。 キャンセル待ちの方がいますので、参加できなくなった方は、すみやかにキャンセル処理をお願いします。 19時30分に1階ロビーの受付を終了します。...
RHEL 7から実装される予定であるiptablesの後継であるfirewalld、そして、改めてLinuxのセキュリティについて勉強する勉強会、Linux女子部07 「firewalld&Linuxセキュリティ勉強会」が渋谷で開催されたので参加してきました。
以下に自分がメモした内容を書いておきます。聞き取りミス、書き取りミスがあるかもしれませんがご容赦ください。
firewalld & Linuxセキュリティ勉強会
場所
東京都渋谷区桜丘町26番1号 (セルリアンタワー11階)
firewalld
講師
レッドハット株式会社 中井さん
- RHEL7 betaがベース
- iptablesの復習から
- itpablesの基礎
- RHEL7 beta の入手の仕方
- レッドハットへリクエストが必要
- firewalld とは?
- NICポートごとにFirewallを設置する機能を提供
- デフォルトでゾーンが用意されている
- 特定のゾーンに所属させることができる
- drop, block, trustedは変更はしないでください(変更できてしまうけど)
- それ以外のゾーンについては設定変更して使用可能
- オレオレゾーンを作りたい場合は、所定のディレクトリ/etc/firewalldに置いて使うようにする
- 条件によってはfirewalldが入らない場合があるが、yumで導入することは可能
- firewall-cmd で操作していく
- ポート番号ではなくサービス名で指定する
- 各サービスは/usr/lib/firewalld/services/にファイルとして格納されている
- 最初から用意されているものだけで満足しろ。それで満足できない場合は、XMLファイルを作成しろ、という精神
- 定義ファイルは、ファイル名がサービス名、ICMPタイプ名に対応
- NICポートに対するゾーンの適用
- 設定変更はそのままでは保存してくれない。–permanentを追加することで起動時から設定が有効になる
- –Permanentありなし両方を実行する
- 寸断なくする場合は、firewall-cmd –reloadを利用する方法もある
- 送信元IPのサブネットに対するゾーンの適用することも可能
- その他に「Rich Language」を使用して、より詳細な条件でのフィルタリングを設定することができます。
- manページを読んでください
- 将来的にはD-BUSのAPIを経由してFirewalldを適切に利用するようにしていく方向
- firewalldは、ほぼすべてのチェーンを利用していますので、すべてのチェーンに対する設定を追っていく必要があります。
- Red Hat Enterprise Linux 7.0 Beta Security Guide
- 3.5. Using Firewalls
- https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/7-Beta/html-single/Security_Guide/index.html#sec-Using_Firewalls
サーバセキュリティの基本を見直そう!
講師
レッドハット株式会社 藤田さん
- 時間も限られているので当然浅く
- レッドハットのドキュメント
- http://docs.redhat.com/
- セキュリティガイドは日本語版がある
- 読むようにしましょう
- FedoraのWikiもあるので読みましょう
- 脆弱性のタイプ
- RHELで扱う領域
- エラータ
- パッチってレッドハットは出したことはないよ
- パッチは有償でも出していない
- ソースコードに対するパッチを適用したバイナリ、rpmパッケージ。
- エラータと呼ばれるドキュメントに紐付けられたrpmパッケージを出している
- RHSA:redhat security advisary
- セキュリティに関する。1,2営業日以内に対応
- RHBA: bug advisary
- バグ、不具合の修正に関する。マイナーバージョンでリリース。影響度が高い場合は非同期で出る場合もある
- RHEA:Enhancement Advisary
- 新機能、機能強化。まずまずマイナーバージョンでリリース
- 重大度:Critical(1,2営業日), important, Moderate, Low
- RHSAにはCVEが付く
- yum-plugin-security:CVEで対応するものについては表示するようにする
- 影響範囲の調査
- rpm -q -changelog kernel
- 蛇足
- https://rhn.redhat.com/rpm/api(要アカウント)
- repository
- yum レポジトリが色々とあるけど・・・
- 本番サーバに出所の分からないRPMはダメ、絶対
- まずはRHEL公式
- 新チャネルだけでなく、Optinalやsuplementaryなども探す
- なければEPEL
- トラフィック制御
- 不要なサービス
- 全部止めてから必要な物だけ動かす
- そもそも不要なパッケージはインストールしない
- 危険なサービス(telnet, ftp, etc)は利用しない
- 何かポートは開いていないか?
- minimalで導入するのも手
- 不要なサービス
- iptables/firewalld
- ホストレベルのファイアウォール
- iptables / ip6tables / ebtables
- 次はnftablesの時代が来る?
- TCPWrapper
- libwrap.soにリンクされているバイナリで利用可能
- xinetd
- スーパーサービス
- systemdが代替可能
- 認証
- パスワード
- ちゃんとmkpasswdを使いましょう
- expectパッケージが提供
- 簡易チェッカー:cracklib-check
- cracklibパッケージで提供
- PAM:pluggable Athentication Module
- パスワード
- 暗号化
- ディスクの暗号化
- LUKS
- Anacondaでインストール時に暗号化
- 通信の暗号化
- Telnetダメ!
- ssh / scp / sftp で
- VPN
- ディスクの暗号化
- SELinux
- RHはEnforcing状態でしかテストしていない
- RHELに同梱されているソフトウェアはEnforcingで動くことが大前提
- ISVが提供しているソフトウェアは知らない
- chcon / restoreconする
- デフォルトのファイルのラベルを見てラベルを貼る
- ポリシーにしたがってラベルを貼り直す
- setsebool / getsebool
- 評価
- Nessus 脆弱性スキャナー
- 評価版ライセンスが利用可能
- nmap ポートスキャナー
- 外部からポートスキャンする
- OSの種類を推測することも可能
- Nessus 脆弱性スキャナー
- GPS Global Professinal Services
- コードレベルでの調査とか実装の手伝いとか
- GLS Global Learning Services
- 実技を含む講義テスト
しかし、GMOのオフィスは綺麗でした。あとGMOのVPSdであるConohaのクーポン券をいただくことが出来たので、を考えてみようかと思います。
GMOさん、マジGMO!
プロのための Linuxシステム構築・運用技術 (Software Design plus)
posted with AZlink at 2014.3.19
中井 悦司
技術評論社
売り上げランキング: 16396
技術評論社
売り上げランキング: 16396
Amazon.co.jp で詳細を見る
中井 悦司
技術評論社
売り上げランキング: 11548
技術評論社
売り上げランキング: 11548