ゼロから始めるLinuxセキュリティ

Snortを導入しただけでは、環境に則した侵入検知はできない。各種のログを基に、環境に適したシグネチャを作成しよう。

Tripwireに続き、ネットワーク型IDSである「Snort」の導入方法を紹介する。Snortを導入することにより、ホスト型IDSでは対応できない攻撃も検出可能になる。

IDSは、導入したからといってセキュリティが向上するわけではないし、日々の運用を怠ればまったく無意味だ。では、どのように運用すればよいのか？ 前回導入したTripwireの運用方法を解説する。

ファイルの改ざんに早く気付くことは極めて重要だ。Webコンテンツの改ざんはもちろん、コマンドを置き換えられてバックドアを仕掛けられることも考えられる。Tripwireは、こうした事態への即応体制を整えるための有用なツールだ。

「侵入させないこと」と並んで重要なのが、「侵入された場合の対処」である。しかし、何も対策を施していないシステムでは、侵入されたという事実に気付くのが難しい。IDSを導入して、最悪の事態にも迅速に対応できる体制を整えておこう。

ファイアウォールを構築したらサーバにアクセスできなくなった。あるいは、一見正しく動作しているようでもルールに抜け穴があれば意味がない。ファイアウォールの動作が本当に適切かどうか、各種のツールを利用してチェックしよう。

いよいよパケットフィルタリングの設定を始める。しっかりと不要なパケットをブロックできれば、ファイアウォールの内側の安全度はより向上する。パケットの性質やiptablesの動作をここでマスターしてほしい。

今回からiptablesの具体的な設定を解説する。iptablesの使い方はやや複雑だが、理屈を理解すれば難しいものではない。前半で紹介する知識を利用して、まずはNATを実現しよう。

前回まででホストレベルのセキュリティ対策を行った。今回からはネットワークレベルに目を向けよう。まずはiptablesを使ったパケットフィルタリング機能でファイアウォールを構築する。今回はiptablesを使うための準備について解説する。

今回は、前回から行っているホストレベルのセキュリティ対策を完成させる。Linuxでファイアウォールを構築するには、まずホストレベルのセキュリティが重要になる。セキュリティホールだらけのファイアウォールなど何の役にも立たないからだ。

正しく管理されていないLinuxにセキュリティなどないに等しい。しかし、どこから手をつければよいかすら分からない人も多いだろう。本連載ではLinuxのセキュリティ対策をインストール時点からファイアウォールやIDSの構築、ログ管理まで解説していく。