Linuxの防護
だいたい重要なとこだけです
問題一覧
1
ファイルの完全性の検証
パッケージファイルやソースファイルをインターネットなどで入手した場合は、ファイルの「 ① 」や「 ② 」がないか、「 ③ 」を検証する必要があります。「 ③ 」の検証には「 ④ 」(「 ⑤ 」とも言う)を利用します。
改ざん, 欠損, 完全性, ハッシュ値, チェックサム
2
ハッシュ値の符号化方式と対応するコマンド
符号化の形式
MD5(128ビット) → 「 ① 」
SHA-256(256ビット) → 「 ② 」
SHA-512(512ビット) → 「 ③ 」
md5sum, sha256sum, sha512sum
3
ログの採取
RHEL9では、「 ① 」のコンポーネントである「 ② 」がログを採取します。また、標準的なログサービスデーモンである「 ③ 」を用いてログを採取することもできます。
ログを採取する範囲(「 ④ 」)を検討し、ログの「 ⑤ 」がないようにします。なるべく多く、詳細なログを採取する必要がありますが、必要な情報が膨大なログの中に埋もれてしまう可能性もあります。
systemd, journald, syslogd, ログレベル, 取りこぼし
4
ログディレクトリ名から正しいログの内容を選択してください。
/run/log/journal
journaldが収集したログ
5
ログディレクトリ名から正しいログの内容を選択してください。
/var/log/messages
システムのメインのログ
6
ログディレクトリ名から正しいログの内容を選択してください。
/var/log/secure
認証・セキュリティ関連のログ
7
ログディレクトリ名から正しいログの内容を選択してください。
/var/log/mallog
メール関連のログ
8
ログディレクトリ名から正しいログの内容を選択してください。
/var/log/boot.log
システム起動時のログ
9
ログディレクトリ名から正しいログの内容を選択してください。
/var/log/lastlog
最終ログインの記録。lastlogコマンドで参照する
10
ログディレクトリ名から正しいログの内容を選択してください。
/var/log/btmp
ログイン失敗履歴。lastbコマンドで参照する
11
ログディレクトリ名から正しいログの内容を選択してください。
/var/log/access_log
Apache(Webサーバー)のアクセスログ
12
ログディレクトリ名から正しいログの内容を選択してください。
/var/log/samba/smbd.log
Samba(ファイルサーバー)のログ
13
journaldログ保存先である「 ① 」ディレクトリはシステムの起動中(ランタイム)のみ使用できる保存領域で、実体は「 ② 」にあります。つまり、「 ③ 」すると消えてしまうので永続的なデータ保存には適しません。
このままだとログが消えてしまうので、「 ④ 」に渡して保存させるという役割分担をしています。
/run, メモリ上, シャットダウン, rsyslogd
14
/etc/rsyslog.conf
・rsyslogは収集したログを/etc/rsyslog.confファイルの「 ① 」に従い、そのログの出力先を決定します。そのため、rsyslogに送信されるログを集中的に管理することができます。
・rsyslog.confには収集するログの種類を表す「 ② 」と、ログの深刻度を表す「 ③ 」、出力する先を決定する「 ④ 」を指定します。
振り分けルール, ファシリティ, レベル, アクション
15
rsyslogの記述方法
・「ファシリティ. レベル」の書式にすることで指定したレベル以上のログを採取することができます。また、特定のレベルのみ出力を行う場合には「ファシリティ. 「 ① 」レベル」と記述します。なお、ログの取得を行わない場合は「 ② 」を指定します。
=, none
16
物理的セキュリティ対策の必要性1
・物理的セキュリティ対策とは、コンピュータや周辺機器などの「 ① 」や、マシンの「 ② 」などについて適切な対応を行うことです。
Linuxシステム上で十分な対策を行った場合でも、物理的セキュリティ対策を疎かにするとコンピュータのセキュリティは簡単に破られてしまいます。
ハードウェア設定, 設置場所
17
物理的セキュリティ対策の必要性2
・物理的対策とシステム起動時の設定
●「 ① 」できるサーバールーム及びサーバーラックにマシンを配置し、「 ② 」以外はマシンに触れられないようにする
●「 ③ 」や「 ④ 」などのリムーバブルメディアが利用できないように、各ドライブを無効にする
●「 ⑤ 」にパスワードを設定する
●「 ⑥ 」への変更時にパスワードを設定する
施錠, 許可された管理者, DVD-ROM, USBメモリ, システム起動時, 保守モード
18
ブートローダーのパスワード設定コマンドを入力してください。
grub2-setpassword
19
ブートローダーのパスワード設定
・ブートローダーのパスワードを設定すると、GRUB画面で「 ① 」キーを押した後にユーザー名とパスワードの入力を求められます。
・解除は「 ② 」を削除 ※ディストリビューションによりパスは異なる
e, /boot/grub2/user.cfg
20
アカウントの管理
・従来のUNIX/Linuxシステムでは、パスワード情報も含めすべてのユーザー情報を「 ① 」ファイルで管理していました。「 ① 」ファイルはすべてのユーザーが読み取り可能でなければならず、そのため、システムにアクセスできるユーザーであればすべてのユーザーの「 ② 」を参照することができました。
・ハッシュ化されたパスワードは、その文字列から元のパスワードに戻すことは不可能とされていますが、ハッシュ化パスワードの文字列を利用して元のパスワードを「 ③ 」することができます。
・そのため、現在ではシャドウパスワード機能を導入し、パスワード情報は「 ④ 」以外閲覧不可となる「 ⑤ 」ファイルで管理するように変更されました。
/etc/passwd, ハッシュ化パスワード, 推測, root, /etc/shadow
21
/etc/shadowファイルは、「:」で区切られた次の9つのフィールドで構成されています。
1 ユーザー名
2 「 ① 」
3 「 ② 」
4 パスワード変更不能日数
5 パスワード変更要求迄の日数
6 パスワード期限満了警告日数
7 「 ③ 」までの日数
8 アカウント期限満了の日付
9 将来の使用に予約
なお、シャドウパスワードの導入により、「 ④ 」が可能になります。
ハッシュ化パスワード, パスワードの変更日, アカウント無効, パスワードエージング
22
ログイン状況の把握
・アカウントが必要かどうか判断する際には、「 ① 」が参考になります。あまりログインしていないユーザーはパスワードが「 ② 」されていない可能性が高く、「 ③ 」により狙われやすくなります。
・ログインした履歴は「 ④ 」コマンド、ログインに失敗した履歴は「 ⑤ 」コマンドで確認することができます。
ログイン履歴, 長期間変更, 不正アクセス, last, lastb
23
アカウントのロック
・一時的にユーザーのログインを「 ① 」したり、各種サービスの提供を「 ② 」したりする場合には、アカウントをロックします。アカウントのロックは「 ③ 」コマンド、もしくは「 ④ 」コマンドを使用します。
禁止, 中止, passwd, usermod
24
アカウントのロック2
・アカウントロックは/etc/shadow内のパスワードフィールドの暗号化文字列を操作するため、独自に「 ① 」を持つ(システムアカウントのパスワードを使わない)アプリケーションでは利用できません。
認証機能
25
ログイン制限1
・通常、ログインを行わないユーザーに対しては前述のアカウントをロックする方法が考えられます。この場合直接のログインはできませんが、1⃣rootによる「 ① 」コマンドを利用したユーザー切り替え、2⃣「 ② 」を使用した、鍵によるログインは可能
su, ssh公開鍵認証
26
ログイン制限2
・メール、FTP、Sambaなどのサーバーとして各種サービスを提供する場合、システム上に「 ① 」が必要ですが、これらのアカウントはログインが禁止されているだけでなく、「 ② 」による切り替えも行えないように設定されています。
・これらのアカウント同様に、「 ② 」での切り替え及び公開鍵によるログインを禁止するには、ログインシェルとして「 ③ 」または「 ④ 」を設定します。
サービス起動用アカウント, su, /sbin/nologin, /bin/false
27
パスワードの期限設定
・シャドウパスワードを使用してアカウントの管理を行っている場合、「 ① 」機能が使用できます。
・「 ① 」機能は、ユーザーに対して「 ② 」にパスワード変更を強制することができるため、セキュリティの向上を図ることができます。
・パスワードの期限確認は、「 ③ 」コマンドに「 ④ 」オプションを指定します。
パスワードエージング, 定期的, chage, -l
28
パスワードの期限設定例においてそれぞれの設定に適したオプションを選択してください。
1⃣ user1のパスワードを変更なしで使用できる最長日数60日を設定
$ chage 「 ① 」 60 user1
2⃣ パスワード変更期限を過ぎてからアカウント無効化にするまでの日数30日を設定
$ chage 「 ② 」 30 user1
3⃣ アカウント失効日2025/12/31を設定
$ chage [ ③ 」 2025/12/31 user1
-M, -I, -E
29
sudoコマンドの導入
・sudoコマンドは、suコマンドの代替として使用できるコマンドです。
通常、管理者の権限でコマンド実行するにはsuコマンドを利用して「 ① 」に切り替える必要がありますが、この時「 ① 」の「 ② 」を事前に確認しておく必要があります。
このパスワードの運用方法を誤るとパスワードが第三者に漏洩する危険性があり、また複数の管理者が「 ① 」としてログインできるため、誰が「 ① 」で操作しているのかの特定が難しくなるなどの問題点があります。
sudoコマンドは予め「 ③ 」に対して「 ① 」権限の「 ④ 」を付与することにより、上記の問題点を解消することができます。
root, ログインパスワード, 特定のユーザー, 一部または全部
30
【suとsudoの比較】
______________________________
|__________| su sudo |
|設定の範囲 | ユーザー単位 | ユーザー単位、 |
| | | 「 ① 」 |
|__________|________|________ |
|入力するパスワード |rootのパスワード |sudoコマンドを |
| | |「 ② 」のパス |
| | |ワード |
|__________|________|________|
コマンド単位, 実行する
31
SUID(Set User ID)
・SUIDが設定されたファイルは、実行するユーザーに関わらずその「 ① 」の権限で実行されます。
ファイルの所有者
32
【chmodによるSUIDの設定書式】
chmodによるSUIDを設定するコマンドのオプションとして正しいものを2つ選択してください。
$chmod 「 ①,② 」 ファイル名
4xxx, u+s
33
SGID(Set Group ID)
・SGIDが設定されたファイルはSUIDと同様、そのファイルの「 ① 」の権限で実行されます。
・また、ディレクトリに設定することにより、その「 ② 」に作られるファイルやディレクトリの「 ① 」を固定します。
・通常、ファイルを作成したときのファイルの所有グループは作成者のプライマリグループと同一になりますが、SGIDが設定されたディレクトリでファイルを作成した場合、ファイルの所有グループはその「 ③ 」と同一になります。
所有グループ, ディレクトリ配下, ディレクトリの所有グループ
34
【chmodによるSGIDの設定書式】
chmodによるSGIDを設定するコマンドのオプションとして正しいものを2つ選択してください。
$chmod 「 ①,② 」 ファイル名
2xxx, g+s
35
スティッキービット
・スティッキービットが設定されていない通常のディレクトリにグループや他人の書き込み権を与えた場合、「 ① 」以外のユーザーによってファイルが「 ② 」される恐れがあります。
・スティッキービットが設定されたディレクトリでは、ファイルの作成は書き込み権を持つユーザーならば行うことができますが、ファイルの「 ② 」や「 ③ 」は、ファイルの所有者か、そのファイルがおかれている「 ④ 」に限定されます。
・/tmpディレクトリなど、「 ⑤ 」のユーザーが利用するディレクトリに有効な設定です。
作成者, 削除, ファイル名の変更, ディレクトリの所有者, 不特定多数
36
ACLとは
・ACL(Access Control List)とは、ファイルやディレクトリの標準的なアクセス権(所有者、グループ、その他に対する設定)に加えて、「 ① 」を実装した仕組みです。ACLを利用することにより、従来のアクセス制御に「 ② 」や「 ③ 」に対して追加のアクセス権を設定することができます。
柔軟なアクセス制御, 個別のユーザー, グループ
37
ACL情報を持つファイルのバックアップ
・ACL設定はファイルの拡張属性として保存されているため、「 ① 」でコピーやバックアップを行うと反映されません。
通常の操作
38
cpコマンドを用いてACL設定ごとコピーする場合の正しいオプションを選択してください。
$ cp 「 ① 」 testacl
-p
39
ポートスキャン
・インターネットに公開するサーバーなどは常に外部からの攻撃を受けることになるため、「 ① 」が開いている場合は「 ② 」を許してしまうことになります。どのポートに対し外部から接続可能であるかを確認する為にはポートスキャンを行います。
・ポートスキャンを実行できるコマンドには「 ③ 」や「 ④ 」コマンドがあります。
・ローカル上の公開しているLISTENポートを確認する場合は「 ⑤ 」コマンドを使用しますが、Linux上のファイアウォールやネットワーク機器のセキュリティ等を考慮し、実際に「 ⑥ 」から対象のホストに対しての通信の可否を確認するにはポートスキャンを行う必要があります。
不要なポート, 侵入, nmap, nc, ss, 外部
40
ネットワーク公開サービス
・ネットワーク上に公開しているサービスの一覧を出力するにはssコマンドに「 ① 」および「 ② 」を指定して実行します。
・nmapコマンドは「 ③ 」なサービスの確認を行います
・ssコマンドは「 ④ 」の公開ポートを確認する為に使用します。
-l, -p, 外部から接続可能, ローカル
41
自動起動するサービスの調査
・OSインストール時に不要なソフトウェアを極力省いた「 ① 」構成であったとしても、不要なサービスがインストールされ、「 ② 」が有効かされている場合があります。
・これらのサービスは「 ③ 」を消費するだけでなく、定期的なアップデート対象として管理しないことにより「 ④ 」に繋がるため、不要なものは「 ⑤ 」または「 ⑥ 」することを検討します。
・自動起動するサービス(ユニット)の一覧を確認するにはsystemctlコマンドに「 ⑦ 」サブコマンドを指定して実行します。
最小インストール, 自動起動設定, システムリソース, セキュリティホール, 削除, 自動起動を停止, list-unit-files
問題一覧
1
ファイルの完全性の検証
パッケージファイルやソースファイルをインターネットなどで入手した場合は、ファイルの「 ① 」や「 ② 」がないか、「 ③ 」を検証する必要があります。「 ③ 」の検証には「 ④ 」(「 ⑤ 」とも言う)を利用します。
改ざん, 欠損, 完全性, ハッシュ値, チェックサム
2
ハッシュ値の符号化方式と対応するコマンド
符号化の形式
MD5(128ビット) → 「 ① 」
SHA-256(256ビット) → 「 ② 」
SHA-512(512ビット) → 「 ③ 」
md5sum, sha256sum, sha512sum
3
ログの採取
RHEL9では、「 ① 」のコンポーネントである「 ② 」がログを採取します。また、標準的なログサービスデーモンである「 ③ 」を用いてログを採取することもできます。
ログを採取する範囲(「 ④ 」)を検討し、ログの「 ⑤ 」がないようにします。なるべく多く、詳細なログを採取する必要がありますが、必要な情報が膨大なログの中に埋もれてしまう可能性もあります。
systemd, journald, syslogd, ログレベル, 取りこぼし
4
ログディレクトリ名から正しいログの内容を選択してください。
/run/log/journal
journaldが収集したログ
5
ログディレクトリ名から正しいログの内容を選択してください。
/var/log/messages
システムのメインのログ
6
ログディレクトリ名から正しいログの内容を選択してください。
/var/log/secure
認証・セキュリティ関連のログ
7
ログディレクトリ名から正しいログの内容を選択してください。
/var/log/mallog
メール関連のログ
8
ログディレクトリ名から正しいログの内容を選択してください。
/var/log/boot.log
システム起動時のログ
9
ログディレクトリ名から正しいログの内容を選択してください。
/var/log/lastlog
最終ログインの記録。lastlogコマンドで参照する
10
ログディレクトリ名から正しいログの内容を選択してください。
/var/log/btmp
ログイン失敗履歴。lastbコマンドで参照する
11
ログディレクトリ名から正しいログの内容を選択してください。
/var/log/access_log
Apache(Webサーバー)のアクセスログ
12
ログディレクトリ名から正しいログの内容を選択してください。
/var/log/samba/smbd.log
Samba(ファイルサーバー)のログ
13
journaldログ保存先である「 ① 」ディレクトリはシステムの起動中(ランタイム)のみ使用できる保存領域で、実体は「 ② 」にあります。つまり、「 ③ 」すると消えてしまうので永続的なデータ保存には適しません。
このままだとログが消えてしまうので、「 ④ 」に渡して保存させるという役割分担をしています。
/run, メモリ上, シャットダウン, rsyslogd
14
/etc/rsyslog.conf
・rsyslogは収集したログを/etc/rsyslog.confファイルの「 ① 」に従い、そのログの出力先を決定します。そのため、rsyslogに送信されるログを集中的に管理することができます。
・rsyslog.confには収集するログの種類を表す「 ② 」と、ログの深刻度を表す「 ③ 」、出力する先を決定する「 ④ 」を指定します。
振り分けルール, ファシリティ, レベル, アクション
15
rsyslogの記述方法
・「ファシリティ. レベル」の書式にすることで指定したレベル以上のログを採取することができます。また、特定のレベルのみ出力を行う場合には「ファシリティ. 「 ① 」レベル」と記述します。なお、ログの取得を行わない場合は「 ② 」を指定します。
=, none
16
物理的セキュリティ対策の必要性1
・物理的セキュリティ対策とは、コンピュータや周辺機器などの「 ① 」や、マシンの「 ② 」などについて適切な対応を行うことです。
Linuxシステム上で十分な対策を行った場合でも、物理的セキュリティ対策を疎かにするとコンピュータのセキュリティは簡単に破られてしまいます。
ハードウェア設定, 設置場所
17
物理的セキュリティ対策の必要性2
・物理的対策とシステム起動時の設定
●「 ① 」できるサーバールーム及びサーバーラックにマシンを配置し、「 ② 」以外はマシンに触れられないようにする
●「 ③ 」や「 ④ 」などのリムーバブルメディアが利用できないように、各ドライブを無効にする
●「 ⑤ 」にパスワードを設定する
●「 ⑥ 」への変更時にパスワードを設定する
施錠, 許可された管理者, DVD-ROM, USBメモリ, システム起動時, 保守モード
18
ブートローダーのパスワード設定コマンドを入力してください。
grub2-setpassword
19
ブートローダーのパスワード設定
・ブートローダーのパスワードを設定すると、GRUB画面で「 ① 」キーを押した後にユーザー名とパスワードの入力を求められます。
・解除は「 ② 」を削除 ※ディストリビューションによりパスは異なる
e, /boot/grub2/user.cfg
20
アカウントの管理
・従来のUNIX/Linuxシステムでは、パスワード情報も含めすべてのユーザー情報を「 ① 」ファイルで管理していました。「 ① 」ファイルはすべてのユーザーが読み取り可能でなければならず、そのため、システムにアクセスできるユーザーであればすべてのユーザーの「 ② 」を参照することができました。
・ハッシュ化されたパスワードは、その文字列から元のパスワードに戻すことは不可能とされていますが、ハッシュ化パスワードの文字列を利用して元のパスワードを「 ③ 」することができます。
・そのため、現在ではシャドウパスワード機能を導入し、パスワード情報は「 ④ 」以外閲覧不可となる「 ⑤ 」ファイルで管理するように変更されました。
/etc/passwd, ハッシュ化パスワード, 推測, root, /etc/shadow
21
/etc/shadowファイルは、「:」で区切られた次の9つのフィールドで構成されています。
1 ユーザー名
2 「 ① 」
3 「 ② 」
4 パスワード変更不能日数
5 パスワード変更要求迄の日数
6 パスワード期限満了警告日数
7 「 ③ 」までの日数
8 アカウント期限満了の日付
9 将来の使用に予約
なお、シャドウパスワードの導入により、「 ④ 」が可能になります。
ハッシュ化パスワード, パスワードの変更日, アカウント無効, パスワードエージング
22
ログイン状況の把握
・アカウントが必要かどうか判断する際には、「 ① 」が参考になります。あまりログインしていないユーザーはパスワードが「 ② 」されていない可能性が高く、「 ③ 」により狙われやすくなります。
・ログインした履歴は「 ④ 」コマンド、ログインに失敗した履歴は「 ⑤ 」コマンドで確認することができます。
ログイン履歴, 長期間変更, 不正アクセス, last, lastb
23
アカウントのロック
・一時的にユーザーのログインを「 ① 」したり、各種サービスの提供を「 ② 」したりする場合には、アカウントをロックします。アカウントのロックは「 ③ 」コマンド、もしくは「 ④ 」コマンドを使用します。
禁止, 中止, passwd, usermod
24
アカウントのロック2
・アカウントロックは/etc/shadow内のパスワードフィールドの暗号化文字列を操作するため、独自に「 ① 」を持つ(システムアカウントのパスワードを使わない)アプリケーションでは利用できません。
認証機能
25
ログイン制限1
・通常、ログインを行わないユーザーに対しては前述のアカウントをロックする方法が考えられます。この場合直接のログインはできませんが、1⃣rootによる「 ① 」コマンドを利用したユーザー切り替え、2⃣「 ② 」を使用した、鍵によるログインは可能
su, ssh公開鍵認証
26
ログイン制限2
・メール、FTP、Sambaなどのサーバーとして各種サービスを提供する場合、システム上に「 ① 」が必要ですが、これらのアカウントはログインが禁止されているだけでなく、「 ② 」による切り替えも行えないように設定されています。
・これらのアカウント同様に、「 ② 」での切り替え及び公開鍵によるログインを禁止するには、ログインシェルとして「 ③ 」または「 ④ 」を設定します。
サービス起動用アカウント, su, /sbin/nologin, /bin/false
27
パスワードの期限設定
・シャドウパスワードを使用してアカウントの管理を行っている場合、「 ① 」機能が使用できます。
・「 ① 」機能は、ユーザーに対して「 ② 」にパスワード変更を強制することができるため、セキュリティの向上を図ることができます。
・パスワードの期限確認は、「 ③ 」コマンドに「 ④ 」オプションを指定します。
パスワードエージング, 定期的, chage, -l
28
パスワードの期限設定例においてそれぞれの設定に適したオプションを選択してください。
1⃣ user1のパスワードを変更なしで使用できる最長日数60日を設定
$ chage 「 ① 」 60 user1
2⃣ パスワード変更期限を過ぎてからアカウント無効化にするまでの日数30日を設定
$ chage 「 ② 」 30 user1
3⃣ アカウント失効日2025/12/31を設定
$ chage [ ③ 」 2025/12/31 user1
-M, -I, -E
29
sudoコマンドの導入
・sudoコマンドは、suコマンドの代替として使用できるコマンドです。
通常、管理者の権限でコマンド実行するにはsuコマンドを利用して「 ① 」に切り替える必要がありますが、この時「 ① 」の「 ② 」を事前に確認しておく必要があります。
このパスワードの運用方法を誤るとパスワードが第三者に漏洩する危険性があり、また複数の管理者が「 ① 」としてログインできるため、誰が「 ① 」で操作しているのかの特定が難しくなるなどの問題点があります。
sudoコマンドは予め「 ③ 」に対して「 ① 」権限の「 ④ 」を付与することにより、上記の問題点を解消することができます。
root, ログインパスワード, 特定のユーザー, 一部または全部
30
【suとsudoの比較】
______________________________
|__________| su sudo |
|設定の範囲 | ユーザー単位 | ユーザー単位、 |
| | | 「 ① 」 |
|__________|________|________ |
|入力するパスワード |rootのパスワード |sudoコマンドを |
| | |「 ② 」のパス |
| | |ワード |
|__________|________|________|
コマンド単位, 実行する
31
SUID(Set User ID)
・SUIDが設定されたファイルは、実行するユーザーに関わらずその「 ① 」の権限で実行されます。
ファイルの所有者
32
【chmodによるSUIDの設定書式】
chmodによるSUIDを設定するコマンドのオプションとして正しいものを2つ選択してください。
$chmod 「 ①,② 」 ファイル名
4xxx, u+s
33
SGID(Set Group ID)
・SGIDが設定されたファイルはSUIDと同様、そのファイルの「 ① 」の権限で実行されます。
・また、ディレクトリに設定することにより、その「 ② 」に作られるファイルやディレクトリの「 ① 」を固定します。
・通常、ファイルを作成したときのファイルの所有グループは作成者のプライマリグループと同一になりますが、SGIDが設定されたディレクトリでファイルを作成した場合、ファイルの所有グループはその「 ③ 」と同一になります。
所有グループ, ディレクトリ配下, ディレクトリの所有グループ
34
【chmodによるSGIDの設定書式】
chmodによるSGIDを設定するコマンドのオプションとして正しいものを2つ選択してください。
$chmod 「 ①,② 」 ファイル名
2xxx, g+s
35
スティッキービット
・スティッキービットが設定されていない通常のディレクトリにグループや他人の書き込み権を与えた場合、「 ① 」以外のユーザーによってファイルが「 ② 」される恐れがあります。
・スティッキービットが設定されたディレクトリでは、ファイルの作成は書き込み権を持つユーザーならば行うことができますが、ファイルの「 ② 」や「 ③ 」は、ファイルの所有者か、そのファイルがおかれている「 ④ 」に限定されます。
・/tmpディレクトリなど、「 ⑤ 」のユーザーが利用するディレクトリに有効な設定です。
作成者, 削除, ファイル名の変更, ディレクトリの所有者, 不特定多数
36
ACLとは
・ACL(Access Control List)とは、ファイルやディレクトリの標準的なアクセス権(所有者、グループ、その他に対する設定)に加えて、「 ① 」を実装した仕組みです。ACLを利用することにより、従来のアクセス制御に「 ② 」や「 ③ 」に対して追加のアクセス権を設定することができます。
柔軟なアクセス制御, 個別のユーザー, グループ
37
ACL情報を持つファイルのバックアップ
・ACL設定はファイルの拡張属性として保存されているため、「 ① 」でコピーやバックアップを行うと反映されません。
通常の操作
38
cpコマンドを用いてACL設定ごとコピーする場合の正しいオプションを選択してください。
$ cp 「 ① 」 testacl
-p
39
ポートスキャン
・インターネットに公開するサーバーなどは常に外部からの攻撃を受けることになるため、「 ① 」が開いている場合は「 ② 」を許してしまうことになります。どのポートに対し外部から接続可能であるかを確認する為にはポートスキャンを行います。
・ポートスキャンを実行できるコマンドには「 ③ 」や「 ④ 」コマンドがあります。
・ローカル上の公開しているLISTENポートを確認する場合は「 ⑤ 」コマンドを使用しますが、Linux上のファイアウォールやネットワーク機器のセキュリティ等を考慮し、実際に「 ⑥ 」から対象のホストに対しての通信の可否を確認するにはポートスキャンを行う必要があります。
不要なポート, 侵入, nmap, nc, ss, 外部
40
ネットワーク公開サービス
・ネットワーク上に公開しているサービスの一覧を出力するにはssコマンドに「 ① 」および「 ② 」を指定して実行します。
・nmapコマンドは「 ③ 」なサービスの確認を行います
・ssコマンドは「 ④ 」の公開ポートを確認する為に使用します。
-l, -p, 外部から接続可能, ローカル
41
自動起動するサービスの調査
・OSインストール時に不要なソフトウェアを極力省いた「 ① 」構成であったとしても、不要なサービスがインストールされ、「 ② 」が有効かされている場合があります。
・これらのサービスは「 ③ 」を消費するだけでなく、定期的なアップデート対象として管理しないことにより「 ④ 」に繋がるため、不要なものは「 ⑤ 」または「 ⑥ 」することを検討します。
・自動起動するサービス(ユニット)の一覧を確認するにはsystemctlコマンドに「 ⑦ 」サブコマンドを指定して実行します。
最小インストール, 自動起動設定, システムリソース, セキュリティホール, 削除, 自動起動を停止, list-unit-files