第13回 NETMARK+iproute2+TDEフル活用でLIDS総仕上げ
面 和毅
サイオステクノロジー株式会社
インフラストラクチャービジネスユニット
Linuxテクノロジー部
OSSテクノロジーグループ
シニアマネージャ
2006/12/20
前回では、NETMARKとiproute2を組み合わせた場合のメリットについて説明し、最後に具体例としてsyslogdとiproute2を組み合わせた場合を説明しました。今回は、いままで説明してきたTDE/TPEと、前回取り上げたNETMARKとiptables/iproute2を組み合わせて、なるべくセキュアにサーバを構築してみましょう。
今回も説明のためにVMwareイメージを用いて解説を行いますので、実際に手元で設定ファイルを確認したい場合には以下のURLから今回の分のVMwareイメージをダウンロードしてください。
| 【atmarkIT VMware Images】 http://www.selinux.gr.jp/LIDS-JP/atmarkit.html |
rsync+iproute2でバックアップを
前回のVMwareとホストOSを使用したネットワーク上で、今度はiproute2とLIDSを組み合わせて、rsyncによるバックアップを取りたいと思います。
 |
| 図1 iproute2とLIDSを組み合わせてセキュアにバックアップを取得 |
図1のように、syslogサーバにrsyncでバックアップを取ることとします。rsyncはsshで接続し、rsyncによるパケットはsyslogサーバにルーティングすることとしますが、通常のSSHはsyslogサーバに対してのルーティングを持たないため、リモートログインができないようになっています。これを応用することにより、DMZに露出しているサーバを管理ネットワークからバックアップ/管理を行う際に、万が一このサーバがクラックされたとしても、管理ネットワークを通してそのほかのマシンに攻撃を展開していくことを防ぐことができます。
 |
| 図2 管理ネットワークマシンを踏み台にした攻撃を防ぐことができる |
1.rsyncパッケージのインストール
Debianではrsyncパッケージが用意されていますので、
| # apt-get install rsync |
で簡単にインストールすることが可能です。
2.SSHの公開鍵認証によるパスワード省略
まず、rsyncとSSHでバックアップを取るといっても、バックアップジョブが走るたびにパスワード(パスフレーズ)の入力が必要になるのでは現実的ではありません。SSHでのパスワード認証を省略させるには、
- 公開鍵認証(空のパスワードを使用)
- 公開鍵認証+ssh-agent
- ホストベース認証
などいくつかの方法があります。今回は空のパスワードを用いた公開鍵認証を使用することにします。テストのためrootでバックアップを行うことにしますが、一般ユーザーをバックアップに使用する場合でも同様の手順となります。
- まず、LIDSの入っているマシン(ホスト名lids)上で、RSAで公開鍵と秘密鍵のペアを作成します。パスワード(パスフレーズ)は、何も入力せずに空のままでEnterを押します。
| # ssh-keygen -t rsa |
- 次に、作成された公開鍵をsyslogサーバ上に転送し、「/root/.ssh/authorized_keys」としてコピーします。コピーしたら、ファイルの属性をchmodコマンドで600にしておきます。
- 次に、syslogサーバ上の/etc/ssh/sshd_configファイルを編集し、公開鍵認証を使用するように設定します(Debianでは、デフォルトで使用するように設定されています)。設定が終わったら、syslogサーバ上のsshdを再起動します。
- これで、パスワード入力を行うことなく、公開鍵認証を用いてSSHでログインができるようになっているはずです。
3.rsyncコマンドのACL設定
次に、LIDSを用いてrsyncコマンドがソケットを作成する際に特定のマーカーを付けるようにします。例として、「30」をrsyncにマークするようにします。LIDSを無効にするか、LFSを開いて、
| # lidsconf -A -s /usr/bin/rsync -o LIDS_SOCKET_NF_MARK 30 -j DISABLE |
とします。
このコマンドを実行するシェルは、ダウンロードしたイメージの、/root/scripts/client/lids.rsync.shとなります。
4.iproute2の設定
最後にiproute2で、30のマークが付いているパケットをsyslogサーバにルーティングするようにします。
| # ip rule add fwmark 30 table 20 |
|
1/3 |
 |
| Index | |
| NETMARK+iproute2+TDEフル活用でLIDS総仕上げ | |
 |
Page1 rsync+iproute2でバックアップを |
| Page2 rsync+iproute2のテスト さらにサンドボックス化 |
|
| Page3 VMwareとiproute2を組み合わせる |
|
セキュアOS「LIDS」入門 バックナンバー
- 第1回 なぜセキュアOSが必要なのだろうか
- 第2回 ファイルACLを用いたアクセス制御
- 第3回 権限を最小化するLinuxカーネルケーパビリティ
- 第4回 VMwareでLIDSに触れてみよう
- 第5回 「信頼されたPath」という考え方をLIDSで使う
- 第6回 TDEポリシーとアプリケーションのサンドボックス化
- 第7回 LIDSのACLをチューニングする
- 第8回 設定ファイルを更新するlidsconfコマンド
- 第9回 lidstoolsを使ってACLを設定する
- 第10回 ACL設定のステップバイステップ
- 第11回 NETMARKで不正な通信をシャットアウト
- 第12回 NETMARKとiproute2でトラフィックを完全掌握
- 第13回 NETMARK+iproute2+TDEでLIDS総仕上げ
 |
Security&Trust記事一覧 |
TechTargetジャパン
- Facebook タイムライン利用時の「鉄則」 (2012/2/9)
ユーザーインターフェイスの変更措置に伴い浮上した、Facebookの「過剰な情報提供」のリスクと対策とは - 無料サービスなら通信内容を記録してもいいの? (2012/1/13)
無料の公衆無線LANサービスが、ユーザーに無断で通信履歴を記録していたことが判明し、話題に - 攻撃はまるでレーザービーム (2011/12/26)
2011年に話題となった標的型攻撃は「人」という弱点ををねらい打ちにしました。では、人に教育さえしておけば防げるものなのでしょうか? - 見せたくないなら「持たせない」が鉄則! (2011/12/15)
逆コンパイル対策で難読化したのに、大事なデータが解析されちゃった? Androidアプリのセキュリティの道は深い
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。