SCSAから学ぶセキュリティ管理

Transcript

1. SCSAから学ぶセキュリティ管理 釜山 公徳 (KAMAYAMA Masanori), SCSA 日本クラウドセキュリティアライアンス 運営委員 兼 クラウドセキュリティWGリーダー

2. はじめに守りたいモノを定義する。 セキュリティは投資である。

3. SCSAとは • Sun Certified System Administrator for Solaris の略称 •

   Solaris管理者の登竜門ともいえる認定資格 3 皆さん、 当然もってますよね？
4. None

5. インフラエンジニアやTAM、セキュリティリサー チャー、金融証券検査官、エバンジェリスト等を経 て、現在セキュリティアナリストとして従事。 外部活動の実績として、FISC有識者会議、日本ク ラウドセキュリティアライアンス、CompTIA等の 外部団体での活動実績あり。また、日経新聞社など のメディアからの取材対応、技術誌への寄稿なども。 5 自己紹介 ✓

   2018年3月14日- NISC あなたの守りたい「モノ」は何ですか？ど うやって守りますか？ ✓ セールスフォース利用企業で情報流出設定不備が盲点- 日本経済 新聞(nikkei.com) ✓ 特集公衆Wi-Fiは危険がいっぱい?! パスワードの盗聴を実験して みた|CiNii Research

6. インフラエンジニアやTAM、セキュリティリサー チャー、金融証券検査官、エバンジェリスト等を経 て、現在セキュリティアナリストとして従事。 外部活動の実績として、FISC有識者会議、日本ク ラウドセキュリティアライアンス、CompTIA等の 外部団体での活動実績あり。また、日経新聞社など のメディアからの取材対応、技術誌への寄稿なども。 6 自己紹介 ✓

   2018年3月14日- NISC あなたの守りたい「モノ」は何ですか？ど うやって守りますか？ ✓ セールスフォース利用企業で情報流出設定不備が盲点- 日本経済 新聞(nikkei.com) ✓ 特集公衆Wi-Fiは危険がいっぱい?! パスワードの盗聴を実験して みた|CiNii Research 主なSolarisの経験 • インフラの運用保守 • Solarisの導入構築 主な保有資格 • SCSA • JSAワイン検定ブロンズ/シルバー • 第三級/第四級アマチュア無線技士 • カラーコーディネーター検定3級 • パターンメーキング技術検定

7. 私のSun関連グッズ © 2010-2024 Cloud Security Alliance Japan Chapter 7

8. SUN教科書Solaris 10の章立て 第1部 / 試験番号310-200 1. UNIXオペレーティングシステム 2. Solaris 10のインストール

   3. システムのブートとシャットダウン 4. ファイルシステムの管理 5. ディスクの管理 6. ユーザーの管理 7. セキュリティの管理 8. ネットワークプリンタおよびシステム プロセスの管理 9. システムのバックアップとリストア 第2部 / 試験番号310-200 10. Solarisネットワーク環境 11. ネームサービスの管理 12. 仮想ファイルシステムとコアダンプの 管理 13. ストレージボリュームの管理 14. アクセス制御とシステムメッセージン グの管理 15. 高度なインストールの実行 © 2010-2024 Cloud Security Alliance Japan Chapter 8

9. システムアクセスの監視 パスワード管理 • logins –p • パスワード未設定のアカウントを確認 • /etc/default/passwd •

   パスワードに関するデフォルトの設定値を設定 • パラメーター • HISTORY：パスワード履歴数 • MAXWEEKS：有効期限の最大期間 • MINWEEKS：変更可能になる最小期間 • PASSLENGTH：最小文字数 • WARNWEEKS：パスワード失効前の警告表示期間 • passwd <username> [option] • d：パスワードを削除 • f：次回ログイン時にパスワード変更を強制する • l：アカウントをロックする • n：パスワード再設定の最低日数を指定 • s：パスワードアトリビュートを表示 • w：パスワード失効の警告 • z：パスワード変更の最大日数を指定 ログイン管理 • who • ログイン中のユーザーを確認 • オプション • b：前回のリブート時刻表示 • d：期限切れプロセスの表示 • H：出力に見出しを表示 • l：ログイン待ち状態にあるプロセスを表示 • q：ログイン中のユーザー数とユーザー名のみ表示。その他のオプ ションは無視される • r：ランレベルを表示 • last • /var/adm/wtmpxファイル（ログインログアウトを記録）の内容を 表示 • /var/adm/loginlog • ログインが失敗した場合に記録 • touch /var/adm/loginlogといったコマンドで、事前にファイルを 作成しておく必要がある。 • ログイン履歴を全部記録したい！ • /etc/default/login に”RETIRE=1”を追記する！ © 2010-2024 Cloud Security Alliance Japan Chapter 9

10. システムセキュリティの確立 ユーザーの切り替えとセキュリティ の確立 • su • switch user • Rootから他のユーザーにスイッチす

    るとパスワードが求められない。 スーパーユーザーでのログイン監視 • suコマンドの使用ログ • /var/adm/sulog：デフォルト • /etc/default/su：設定ファイル • エント リー：”SULOG=/var/adm/sulog” • スーパーユーザーのアクセス制限 • /etc/default/login：設定ファイル • エント リー：”CONSOLE=/dev/console” • CONSOLEの値を空欄にすると、root でのローカルログインができなくなる。 © 2010-2024 Cloud Security Alliance Japan Chapter 10

11. システムセキュリティの制御 ftpアクセスの制限 • /etc/ftpd/ftpusers • /etc/ftpd/ftphosts • allow hogehoge 10.0.100.100

    1 • deny gbush 10.0.100.100 • /etc/shells • シェルを指定 .rhostsファイルに起因する巨大なセ キュリティリスク • ＄HOME/.rhosts • ホスト名とユーザー名のペア • 記載されているもののみログイン 可 • パスワードが要求されない • rhostsの無効化 • /etc/pam.confの pam_rhosts_auth.so.1をコメン ト © 2010-2024 Cloud Security Alliance Japan Chapter 11

12. システムセキュリティの制御 セキュアシェルの基礎 • sshdの起動 • /lib/svc/method/sshd • sshdの設定 • /etc/ssh/sshd_config

    © 2010-2024 Cloud Security Alliance Japan Chapter 12

13. データへのアクセス制御 パーミッション、所有権、グループメ ンバーシップ • chgrp • グループ所有者を変更 • chmod •

    パーミッションを変更 • chown • 所有者を変更 • ls • ファイルの情報を表示 特殊ファイルパーミッション (setuid、setgid、スティッキービット) © 2010-2024 Cloud Security Alliance Japan Chapter 13 • setuidパーミッション • 実行ファイルが起動ユーザーではなく所有者とし てプロセスが表示 • setgid • setuidのグループ版 • setuidとsetgidのセキュリティリスク • 所有者がrootの場合、通常rootのみが可能なファ イルに対し、実行ファイルを介してアクセスでき るようになる • スティッキービット • 所有者、特権ユーザーのみが削除可能になる • /tmpなどのパブリックディレクトリにある他のユー ザーのファイル削除を防止できる • chmodで設定 r 読み取り w 書き込み x 実行 - 拒否

14. おまけ 最近のSolarisの脆弱性 CVE-2023-22003 • Vulnerability in the Oracle Solaris product

    of Oracle Systems (component: Utility). • Supported versions that are affected are 10 and 11. • Easily exploitable vulnerability allows unauthenticated attacker with logon to the infrastructure where Oracle Solaris executes to compromise Oracle Solaris. • Successful attacks require human interaction from a person other than the attacker. • Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle Solaris accessible data. • CVSS 3.1 Base Score 3.3 (Integrity impacts). CVSS Vector: (CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N). CVE-2024-20999 • Vulnerability in the Oracle Solaris product of Oracle Systems (component: Zones). • The supported version that is affected is 11. • Easily exploitable vulnerability allows high privileged attacker with logon to the infrastructure where Oracle Solaris executes to compromise Oracle Solaris. • While the vulnerability is in Oracle Solaris, attacks may significantly impact additional products (scope change). • Successful attacks of this vulnerability can result in takeover of Oracle Solaris. • CVSS 3.1 Base Score 8.2 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H). © 2010-2024 Cloud Security Alliance Japan Chapter 14 https://nvd.nist.gov/vuln/detail/cve-2023-22003 https://nvd.nist.gov/vuln/detail/cve-2024-20999

15. いつもセキュリティを ©2024 KAMAYAMA Masanori

16. © 2010-2024 Cloud Security Alliance Japan Chapter 16