Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SCSAから学ぶセキュリティ管理
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
Masanori KAMAYAMA
February 06, 2025
Technology
380
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
SCSAから学ぶセキュリティ管理
Masanori KAMAYAMA
February 06, 2025
More Decks by Masanori KAMAYAMA
See All by Masanori KAMAYAMA
ルクソールとツタンカーメン
masakamayama
1
1.4k
Microsoft Azure Well-Architected Framework でセキュアに
masakamayama
1
850
Other Decks in Technology
See All in Technology
日本 Fintech 未来予測レポート 2027〜2028年(オリジナル版)
8maki
0
1.5k
"何を作るか"を任される エンジニアは、どう育つのか
yutaokafuji
1
580
MCP Appsを作ってみよう
iwamot
PRO
4
500
Oracle AI Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
6
1.5k
Disciplined Vibes: Scaling AI-Assisted Engineering
sheharyar
0
130
Agentic Web
dynamis
1
200
Agent Skills設計で柔軟性と硬さのバランスが難しい話
nassy20
0
120
小さく始める AI 活用推進 ― 日経電子版 Web チームの事例/nikkei-tech-talk47
nikkei_engineer_recruiting
0
200
2026TECHFRESH畢業分享會 - 原生還是跨平台? App 開發踩坑實錄
line_developers_tw
PRO
0
750
AAIFに入ってみた ~内から見えるコミュニティ動向~
sato4
0
140
AI Engineering Summit Tokyo 2026 AIの前に、やることがある 〜医療データ企業の4フェーズ〜
dtaniwaki
0
2.5k
2026 TECHFRESH 畢業分享會 - AI-Native 重塑軟體工程與虛擬講師
line_developers_tw
PRO
0
740
Featured
See All Featured
The Power of CSS Pseudo Elements
geoffreycrofte
82
6.3k
Designing Experiences People Love
moore
143
24k
The agentic SEO stack - context over prompts
schlessera
0
810
A brief & incomplete history of UX Design for the World Wide Web: 1989–2019
jct
2
390
We Analyzed 250 Million AI Search Results: Here's What I Found
joshbly
1
1.4k
Primal Persuasion: How to Engage the Brain for Learning That Lasts
tmiket
0
360
Measuring & Analyzing Core Web Vitals
bluesmoon
9
860
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.5k
New Earth Scene 8
popppiees
3
2.3k
Done Done
chrislema
186
16k
Heart Work Chapter 1 - Part 1
lfama
PRO
7
36k
16th Malabo Montpellier Forum Presentation
akademiya2063
PRO
0
140
Transcript
SCSAから学ぶセキュリティ管理 釜山 公徳 (KAMAYAMA Masanori), SCSA 日本クラウドセキュリティアライアンス 運営委員 兼 クラウドセキュリティWGリーダー
はじめに守りたいモノを定義する。 セキュリティは投資である。
SCSAとは • Sun Certified System Administrator for Solaris の略称 •
Solaris管理者の登竜門ともいえる認定資格 3 皆さん、 当然もってますよね?
None
インフラエンジニアやTAM、セキュリティリサー チャー、金融証券検査官、エバンジェリスト等を経 て、現在セキュリティアナリストとして従事。 外部活動の実績として、FISC有識者会議、日本ク ラウドセキュリティアライアンス、CompTIA等の 外部団体での活動実績あり。また、日経新聞社など のメディアからの取材対応、技術誌への寄稿なども。 5 自己紹介 ✓
2018年3月14日- NISC あなたの守りたい「モノ」は何ですか?ど うやって守りますか? ✓ セールスフォース利用企業で情報流出設定不備が盲点- 日本経済 新聞(nikkei.com) ✓ 特集公衆Wi-Fiは危険がいっぱい?! パスワードの盗聴を実験して みた|CiNii Research
インフラエンジニアやTAM、セキュリティリサー チャー、金融証券検査官、エバンジェリスト等を経 て、現在セキュリティアナリストとして従事。 外部活動の実績として、FISC有識者会議、日本ク ラウドセキュリティアライアンス、CompTIA等の 外部団体での活動実績あり。また、日経新聞社など のメディアからの取材対応、技術誌への寄稿なども。 6 自己紹介 ✓
2018年3月14日- NISC あなたの守りたい「モノ」は何ですか?ど うやって守りますか? ✓ セールスフォース利用企業で情報流出設定不備が盲点- 日本経済 新聞(nikkei.com) ✓ 特集公衆Wi-Fiは危険がいっぱい?! パスワードの盗聴を実験して みた|CiNii Research 主なSolarisの経験 • インフラの運用保守 • Solarisの導入構築 主な保有資格 • SCSA • JSAワイン検定ブロンズ/シルバー • 第三級/第四級アマチュア無線技士 • カラーコーディネーター検定3級 • パターンメーキング技術検定
私のSun関連グッズ © 2010-2024 Cloud Security Alliance Japan Chapter 7
SUN教科書Solaris 10の章立て 第1部 / 試験番号310-200 1. UNIXオペレーティングシステム 2. Solaris 10のインストール
3. システムのブートとシャットダウン 4. ファイルシステムの管理 5. ディスクの管理 6. ユーザーの管理 7. セキュリティの管理 8. ネットワークプリンタおよびシステム プロセスの管理 9. システムのバックアップとリストア 第2部 / 試験番号310-200 10. Solarisネットワーク環境 11. ネームサービスの管理 12. 仮想ファイルシステムとコアダンプの 管理 13. ストレージボリュームの管理 14. アクセス制御とシステムメッセージン グの管理 15. 高度なインストールの実行 © 2010-2024 Cloud Security Alliance Japan Chapter 8
システムアクセスの監視 パスワード管理 • logins –p • パスワード未設定のアカウントを確認 • /etc/default/passwd •
パスワードに関するデフォルトの設定値を設定 • パラメーター • HISTORY:パスワード履歴数 • MAXWEEKS:有効期限の最大期間 • MINWEEKS:変更可能になる最小期間 • PASSLENGTH:最小文字数 • WARNWEEKS:パスワード失効前の警告表示期間 • passwd <username> [option] • d:パスワードを削除 • f:次回ログイン時にパスワード変更を強制する • l:アカウントをロックする • n:パスワード再設定の最低日数を指定 • s:パスワードアトリビュートを表示 • w:パスワード失効の警告 • z:パスワード変更の最大日数を指定 ログイン管理 • who • ログイン中のユーザーを確認 • オプション • b:前回のリブート時刻表示 • d:期限切れプロセスの表示 • H:出力に見出しを表示 • l:ログイン待ち状態にあるプロセスを表示 • q:ログイン中のユーザー数とユーザー名のみ表示。その他のオプ ションは無視される • r:ランレベルを表示 • last • /var/adm/wtmpxファイル(ログインログアウトを記録)の内容を 表示 • /var/adm/loginlog • ログインが失敗した場合に記録 • touch /var/adm/loginlogといったコマンドで、事前にファイルを 作成しておく必要がある。 • ログイン履歴を全部記録したい! • /etc/default/login に”RETIRE=1”を追記する! © 2010-2024 Cloud Security Alliance Japan Chapter 9
システムセキュリティの確立 ユーザーの切り替えとセキュリティ の確立 • su • switch user • Rootから他のユーザーにスイッチす
るとパスワードが求められない。 スーパーユーザーでのログイン監視 • suコマンドの使用ログ • /var/adm/sulog:デフォルト • /etc/default/su:設定ファイル • エント リー:”SULOG=/var/adm/sulog” • スーパーユーザーのアクセス制限 • /etc/default/login:設定ファイル • エント リー:”CONSOLE=/dev/console” • CONSOLEの値を空欄にすると、root でのローカルログインができなくなる。 © 2010-2024 Cloud Security Alliance Japan Chapter 10
システムセキュリティの制御 ftpアクセスの制限 • /etc/ftpd/ftpusers • /etc/ftpd/ftphosts • allow hogehoge 10.0.100.100
1 • deny gbush 10.0.100.100 • /etc/shells • シェルを指定 .rhostsファイルに起因する巨大なセ キュリティリスク • $HOME/.rhosts • ホスト名とユーザー名のペア • 記載されているもののみログイン 可 • パスワードが要求されない • rhostsの無効化 • /etc/pam.confの pam_rhosts_auth.so.1をコメン ト © 2010-2024 Cloud Security Alliance Japan Chapter 11
システムセキュリティの制御 セキュアシェルの基礎 • sshdの起動 • /lib/svc/method/sshd • sshdの設定 • /etc/ssh/sshd_config
© 2010-2024 Cloud Security Alliance Japan Chapter 12
データへのアクセス制御 パーミッション、所有権、グループメ ンバーシップ • chgrp • グループ所有者を変更 • chmod •
パーミッションを変更 • chown • 所有者を変更 • ls • ファイルの情報を表示 特殊ファイルパーミッション (setuid、setgid、スティッキービット) © 2010-2024 Cloud Security Alliance Japan Chapter 13 • setuidパーミッション • 実行ファイルが起動ユーザーではなく所有者とし てプロセスが表示 • setgid • setuidのグループ版 • setuidとsetgidのセキュリティリスク • 所有者がrootの場合、通常rootのみが可能なファ イルに対し、実行ファイルを介してアクセスでき るようになる • スティッキービット • 所有者、特権ユーザーのみが削除可能になる • /tmpなどのパブリックディレクトリにある他のユー ザーのファイル削除を防止できる • chmodで設定 r 読み取り w 書き込み x 実行 - 拒否
おまけ 最近のSolarisの脆弱性 CVE-2023-22003 • Vulnerability in the Oracle Solaris product
of Oracle Systems (component: Utility). • Supported versions that are affected are 10 and 11. • Easily exploitable vulnerability allows unauthenticated attacker with logon to the infrastructure where Oracle Solaris executes to compromise Oracle Solaris. • Successful attacks require human interaction from a person other than the attacker. • Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle Solaris accessible data. • CVSS 3.1 Base Score 3.3 (Integrity impacts). CVSS Vector: (CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N). CVE-2024-20999 • Vulnerability in the Oracle Solaris product of Oracle Systems (component: Zones). • The supported version that is affected is 11. • Easily exploitable vulnerability allows high privileged attacker with logon to the infrastructure where Oracle Solaris executes to compromise Oracle Solaris. • While the vulnerability is in Oracle Solaris, attacks may significantly impact additional products (scope change). • Successful attacks of this vulnerability can result in takeover of Oracle Solaris. • CVSS 3.1 Base Score 8.2 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H). © 2010-2024 Cloud Security Alliance Japan Chapter 14 https://nvd.nist.gov/vuln/detail/cve-2023-22003 https://nvd.nist.gov/vuln/detail/cve-2024-20999
いつもセキュリティを ©2024 KAMAYAMA Masanori
© 2010-2024 Cloud Security Alliance Japan Chapter 16
masakamayama
8maki
yutaokafuji
iwamot
oracle4engineer
sheharyar
dynamis
nassy20
nikkei_engineer_recruiting
line_developers_tw
sato4
dtaniwaki
geoffreycrofte
moore
schlessera
jct
joshbly
tmiket
bluesmoon
kevinliebholz
popppiees
chrislema
lfama
akademiya2063
