[IT][勉強会] Linux女子部07 「firewalld&Linuxセキュリティ勉強会」に参加してきた。 #ljstudy

2014/03/20 10:14勉強会Firewalld,linux,Linux女子部,勉強会

RHEL 7から実装される予定であるiptablesの後継であるfirewalld、そして、改めてLinuxのセキュリティについて勉強する勉強会、Linux女子部07 「firewalld&Linuxセキュリティ勉強会」が渋谷で開催されたので参加してきました。

以下に自分がメモした内容を書いておきます。聞き取りミス、書き取りミスがあるかもしれませんがご容赦ください。

firewalld & Linuxセキュリティ勉強会

場所
東京都渋谷区桜丘町26番1号 (セルリアンタワー11階)

firewalld

講師
レッドハット株式会社 中井さん

  • RHEL7 betaがベース
  • iptablesの復習から
  • itpablesの基礎
  • RHEL7 beta の入手の仕方
    • レッドハットへリクエストが必要
  • firewalld とは?
    • NICポートごとにFirewallを設置する機能を提供
    • デフォルトでゾーンが用意されている
    • 特定のゾーンに所属させることができる
    • drop, block, trustedは変更はしないでください(変更できてしまうけど)
    • それ以外のゾーンについては設定変更して使用可能
    • オレオレゾーンを作りたい場合は、所定のディレクトリ/etc/firewalldに置いて使うようにする
    • 条件によってはfirewalldが入らない場合があるが、yumで導入することは可能
  • firewall-cmd で操作していく
    • ポート番号ではなくサービス名で指定する
    • 各サービスは/usr/lib/firewalld/services/にファイルとして格納されている
    • 最初から用意されているものだけで満足しろ。それで満足できない場合は、XMLファイルを作成しろ、という精神
    • 定義ファイルは、ファイル名がサービス名、ICMPタイプ名に対応
  • NICポートに対するゾーンの適用
  • 設定変更はそのままでは保存してくれない。–permanentを追加することで起動時から設定が有効になる
  • –Permanentありなし両方を実行する
  • 寸断なくする場合は、firewall-cmd –reloadを利用する方法もある
  • 送信元IPのサブネットに対するゾーンの適用することも可能
  • その他に「Rich Language」を使用して、より詳細な条件でのフィルタリングを設定することができます。
    • manページを読んでください
  • 将来的にはD-BUSのAPIを経由してFirewalldを適切に利用するようにしていく方向
  • firewalldは、ほぼすべてのチェーンを利用していますので、すべてのチェーンに対する設定を追っていく必要があります。
  • Red Hat Enterprise Linux 7.0 Beta Security Guide
    • 3.5. Using Firewalls
    • https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/7-Beta/html-single/Security_Guide/index.html#sec-Using_Firewalls

サーバセキュリティの基本を見直そう!

講師
レッドハット株式会社 藤田さん

  • 時間も限られているので当然浅く
  • レッドハットのドキュメント
    • http://docs.redhat.com/
    • セキュリティガイドは日本語版がある
    • 読むようにしましょう
    • FedoraのWikiもあるので読みましょう
  • 脆弱性のタイプ
    • RHELで扱う領域
  • エラータ
    • パッチってレッドハットは出したことはないよ
    • パッチは有償でも出していない
    • ソースコードに対するパッチを適用したバイナリ、rpmパッケージ。
    • エラータと呼ばれるドキュメントに紐付けられたrpmパッケージを出している
    • RHSA:redhat security advisary
      • セキュリティに関する。1,2営業日以内に対応
    • RHBA: bug advisary
      • バグ、不具合の修正に関する。マイナーバージョンでリリース。影響度が高い場合は非同期で出る場合もある
    • RHEA:Enhancement Advisary
      • 新機能、機能強化。まずまずマイナーバージョンでリリース
    • 重大度:Critical(1,2営業日), important, Moderate, Low
    • RHSAにはCVEが付く
    • yum-plugin-security:CVEで対応するものについては表示するようにする
    • 影響範囲の調査
      • rpm -q -changelog kernel
    • 蛇足
      • https://rhn.redhat.com/rpm/api(要アカウント)
    • repository
      • yum レポジトリが色々とあるけど・・・
      • 本番サーバに出所の分からないRPMはダメ、絶対
      • まずはRHEL公式
        • 新チャネルだけでなく、Optinalやsuplementaryなども探す
        • なければEPEL
  • トラフィック制御
    • 不要なサービス
      • 全部止めてから必要な物だけ動かす
      • そもそも不要なパッケージはインストールしない
      • 危険なサービス(telnet, ftp, etc)は利用しない
      • 何かポートは開いていないか?
      • minimalで導入するのも手
  • iptables/firewalld
    • ホストレベルのファイアウォール
    • iptables / ip6tables / ebtables
    • 次はnftablesの時代が来る?
  • TCPWrapper
    • libwrap.soにリンクされているバイナリで利用可能
  • xinetd
    • スーパーサービス
    • systemdが代替可能
  • 認証
    • パスワード
      • ちゃんとmkpasswdを使いましょう
      • expectパッケージが提供
      • 簡易チェッカー:cracklib-check
      • cracklibパッケージで提供
    • PAM:pluggable Athentication Module
  • 暗号化
    • ディスクの暗号化
      • LUKS
      • Anacondaでインストール時に暗号化
    • 通信の暗号化
      • Telnetダメ!
      • ssh / scp / sftp で
      • VPN
  • SELinux
    • RHはEnforcing状態でしかテストしていない
    • RHELに同梱されているソフトウェアはEnforcingで動くことが大前提
      • ISVが提供しているソフトウェアは知らない
    • chcon / restoreconする
      • デフォルトのファイルのラベルを見てラベルを貼る
      • ポリシーにしたがってラベルを貼り直す
      • setsebool / getsebool
  • 評価
    • Nessus 脆弱性スキャナー
      • 評価版ライセンスが利用可能
    • nmap ポートスキャナー
      • 外部からポートスキャンする
      • OSの種類を推測することも可能
  • GPS Global Professinal Services
    • コードレベルでの調査とか実装の手伝いとか
  • GLS Global Learning Services
    • 実技を含む講義テスト

しかし、GMOのオフィスは綺麗でした。あとGMOのVPSdであるConohaのクーポン券をいただくことが出来たので、を考えてみようかと思います。
GMOさん、マジGMO!

この記事を書いた人
kometchtech

kometchtech
うつ病を患いながら、IT業界の末席にいるおっさんエンジニア。科学計算をしたことがないのに、HPC分野にお邪魔している。興味のある分野で学習したことをblogにまとめつつ、うつ病の経過症状のメモも置いておく日々。じつはRouterboard User Group JPの中の人でもある。
Amazon欲しいものリスト / Arm板を恵んでくれる人募集中

Buy Me A Coffee

2014/03/20 10:14勉強会Firewalld,linux,Linux女子部,勉強会

Posted by kometchtech