Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SCSAから学ぶセキュリティ管理
Search
Masanori KAMAYAMA
February 06, 2025
Technology
380
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
SCSAから学ぶセキュリティ管理
Masanori KAMAYAMA
February 06, 2025
More Decks by Masanori KAMAYAMA
See All by Masanori KAMAYAMA
ルクソールとツタンカーメン
masakamayama
1
1.4k
Microsoft Azure Well-Architected Framework でセキュアに
masakamayama
1
860
Other Decks in Technology
See All in Technology
そこにあるから地図ができる~位置を示す"モノ"を愉しむ~ - Interface 2026年6月号GPS特集オフ会 / interface_202606_GPS_offline
sakaik
1
200
スタートアップにおけるアジャイルの実践について #shibuyagile
murabayashi
3
2k
Kotlin 開発のツラミを爆破した話! / Explode the difficulty of Kotlin dev!
eller86
0
140
フルAIで個人開発して学んだあれこれ / yuruai vol.1
isaoshimizu
0
170
組織における AI-DLC 実践
askul
0
300
LiDAR SLAMの実装とセンサ融合 ~Lie群からContinuous-Time LIOまで~
naokiakai
1
930
AIをフル活用してオンコール機能のプロトタイプを2日で作った話 / Building an AI-Powered On-Call Prototype in Just Two Days
nari_ex
0
170
認証認可だけじゃない! ID管理の構成要素と ライフサイクルを意識しよう
ritou
1
460
テスト設計の本質を改めて考えてみる~生成AIを活用する時代だからこそ、作ったテストの説明性を高めよう~
yamasaki696
1
290
AIに障害切り分けを全部やってもらった。 。 。 。
estie
0
340
Tech-Verse 2026_Keynote
lycorptech_jp
PRO
0
130
しぶいSRE: サーバから見えない障害にどう向き合うか。ラストワンマイルのデバッグ実践 / Shibui SRE
kanny
0
360
Featured
See All Featured
AI: The stuff that nobody shows you
jnunemaker
PRO
8
760
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
madoxten
62
55k
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
aleyda
1
1.3k
The B2B funnel & how to create a winning content strategy
katarinadahlin
PRO
1
410
From Legacy to Launchpad: Building Startup-Ready Communities
dugsong
0
240
Jess Joyce - The Pitfalls of Following Frameworks
techseoconnect
PRO
1
180
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
141
35k
End of SEO as We Know It (SMX Advanced Version)
ipullrank
3
4.2k
Faster Mobile Websites
deanohume
310
32k
Building Flexible Design Systems
yeseniaperezcruz
330
40k
A brief & incomplete history of UX Design for the World Wide Web: 1989–2019
jct
2
410
Six Lessons from altMBA
skipperchong
29
4.3k
Transcript
SCSAから学ぶセキュリティ管理 釜山 公徳 (KAMAYAMA Masanori), SCSA 日本クラウドセキュリティアライアンス 運営委員 兼 クラウドセキュリティWGリーダー
はじめに守りたいモノを定義する。 セキュリティは投資である。
SCSAとは • Sun Certified System Administrator for Solaris の略称 •
Solaris管理者の登竜門ともいえる認定資格 3 皆さん、 当然もってますよね?
None
インフラエンジニアやTAM、セキュリティリサー チャー、金融証券検査官、エバンジェリスト等を経 て、現在セキュリティアナリストとして従事。 外部活動の実績として、FISC有識者会議、日本ク ラウドセキュリティアライアンス、CompTIA等の 外部団体での活動実績あり。また、日経新聞社など のメディアからの取材対応、技術誌への寄稿なども。 5 自己紹介 ✓
2018年3月14日- NISC あなたの守りたい「モノ」は何ですか?ど うやって守りますか? ✓ セールスフォース利用企業で情報流出設定不備が盲点- 日本経済 新聞(nikkei.com) ✓ 特集公衆Wi-Fiは危険がいっぱい?! パスワードの盗聴を実験して みた|CiNii Research
インフラエンジニアやTAM、セキュリティリサー チャー、金融証券検査官、エバンジェリスト等を経 て、現在セキュリティアナリストとして従事。 外部活動の実績として、FISC有識者会議、日本ク ラウドセキュリティアライアンス、CompTIA等の 外部団体での活動実績あり。また、日経新聞社など のメディアからの取材対応、技術誌への寄稿なども。 6 自己紹介 ✓
2018年3月14日- NISC あなたの守りたい「モノ」は何ですか?ど うやって守りますか? ✓ セールスフォース利用企業で情報流出設定不備が盲点- 日本経済 新聞(nikkei.com) ✓ 特集公衆Wi-Fiは危険がいっぱい?! パスワードの盗聴を実験して みた|CiNii Research 主なSolarisの経験 • インフラの運用保守 • Solarisの導入構築 主な保有資格 • SCSA • JSAワイン検定ブロンズ/シルバー • 第三級/第四級アマチュア無線技士 • カラーコーディネーター検定3級 • パターンメーキング技術検定
私のSun関連グッズ © 2010-2024 Cloud Security Alliance Japan Chapter 7
SUN教科書Solaris 10の章立て 第1部 / 試験番号310-200 1. UNIXオペレーティングシステム 2. Solaris 10のインストール
3. システムのブートとシャットダウン 4. ファイルシステムの管理 5. ディスクの管理 6. ユーザーの管理 7. セキュリティの管理 8. ネットワークプリンタおよびシステム プロセスの管理 9. システムのバックアップとリストア 第2部 / 試験番号310-200 10. Solarisネットワーク環境 11. ネームサービスの管理 12. 仮想ファイルシステムとコアダンプの 管理 13. ストレージボリュームの管理 14. アクセス制御とシステムメッセージン グの管理 15. 高度なインストールの実行 © 2010-2024 Cloud Security Alliance Japan Chapter 8
システムアクセスの監視 パスワード管理 • logins –p • パスワード未設定のアカウントを確認 • /etc/default/passwd •
パスワードに関するデフォルトの設定値を設定 • パラメーター • HISTORY:パスワード履歴数 • MAXWEEKS:有効期限の最大期間 • MINWEEKS:変更可能になる最小期間 • PASSLENGTH:最小文字数 • WARNWEEKS:パスワード失効前の警告表示期間 • passwd <username> [option] • d:パスワードを削除 • f:次回ログイン時にパスワード変更を強制する • l:アカウントをロックする • n:パスワード再設定の最低日数を指定 • s:パスワードアトリビュートを表示 • w:パスワード失効の警告 • z:パスワード変更の最大日数を指定 ログイン管理 • who • ログイン中のユーザーを確認 • オプション • b:前回のリブート時刻表示 • d:期限切れプロセスの表示 • H:出力に見出しを表示 • l:ログイン待ち状態にあるプロセスを表示 • q:ログイン中のユーザー数とユーザー名のみ表示。その他のオプ ションは無視される • r:ランレベルを表示 • last • /var/adm/wtmpxファイル(ログインログアウトを記録)の内容を 表示 • /var/adm/loginlog • ログインが失敗した場合に記録 • touch /var/adm/loginlogといったコマンドで、事前にファイルを 作成しておく必要がある。 • ログイン履歴を全部記録したい! • /etc/default/login に”RETIRE=1”を追記する! © 2010-2024 Cloud Security Alliance Japan Chapter 9
システムセキュリティの確立 ユーザーの切り替えとセキュリティ の確立 • su • switch user • Rootから他のユーザーにスイッチす
るとパスワードが求められない。 スーパーユーザーでのログイン監視 • suコマンドの使用ログ • /var/adm/sulog:デフォルト • /etc/default/su:設定ファイル • エント リー:”SULOG=/var/adm/sulog” • スーパーユーザーのアクセス制限 • /etc/default/login:設定ファイル • エント リー:”CONSOLE=/dev/console” • CONSOLEの値を空欄にすると、root でのローカルログインができなくなる。 © 2010-2024 Cloud Security Alliance Japan Chapter 10
システムセキュリティの制御 ftpアクセスの制限 • /etc/ftpd/ftpusers • /etc/ftpd/ftphosts • allow hogehoge 10.0.100.100
1 • deny gbush 10.0.100.100 • /etc/shells • シェルを指定 .rhostsファイルに起因する巨大なセ キュリティリスク • $HOME/.rhosts • ホスト名とユーザー名のペア • 記載されているもののみログイン 可 • パスワードが要求されない • rhostsの無効化 • /etc/pam.confの pam_rhosts_auth.so.1をコメン ト © 2010-2024 Cloud Security Alliance Japan Chapter 11
システムセキュリティの制御 セキュアシェルの基礎 • sshdの起動 • /lib/svc/method/sshd • sshdの設定 • /etc/ssh/sshd_config
© 2010-2024 Cloud Security Alliance Japan Chapter 12
データへのアクセス制御 パーミッション、所有権、グループメ ンバーシップ • chgrp • グループ所有者を変更 • chmod •
パーミッションを変更 • chown • 所有者を変更 • ls • ファイルの情報を表示 特殊ファイルパーミッション (setuid、setgid、スティッキービット) © 2010-2024 Cloud Security Alliance Japan Chapter 13 • setuidパーミッション • 実行ファイルが起動ユーザーではなく所有者とし てプロセスが表示 • setgid • setuidのグループ版 • setuidとsetgidのセキュリティリスク • 所有者がrootの場合、通常rootのみが可能なファ イルに対し、実行ファイルを介してアクセスでき るようになる • スティッキービット • 所有者、特権ユーザーのみが削除可能になる • /tmpなどのパブリックディレクトリにある他のユー ザーのファイル削除を防止できる • chmodで設定 r 読み取り w 書き込み x 実行 - 拒否
おまけ 最近のSolarisの脆弱性 CVE-2023-22003 • Vulnerability in the Oracle Solaris product
of Oracle Systems (component: Utility). • Supported versions that are affected are 10 and 11. • Easily exploitable vulnerability allows unauthenticated attacker with logon to the infrastructure where Oracle Solaris executes to compromise Oracle Solaris. • Successful attacks require human interaction from a person other than the attacker. • Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle Solaris accessible data. • CVSS 3.1 Base Score 3.3 (Integrity impacts). CVSS Vector: (CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N). CVE-2024-20999 • Vulnerability in the Oracle Solaris product of Oracle Systems (component: Zones). • The supported version that is affected is 11. • Easily exploitable vulnerability allows high privileged attacker with logon to the infrastructure where Oracle Solaris executes to compromise Oracle Solaris. • While the vulnerability is in Oracle Solaris, attacks may significantly impact additional products (scope change). • Successful attacks of this vulnerability can result in takeover of Oracle Solaris. • CVSS 3.1 Base Score 8.2 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H). © 2010-2024 Cloud Security Alliance Japan Chapter 14 https://nvd.nist.gov/vuln/detail/cve-2023-22003 https://nvd.nist.gov/vuln/detail/cve-2024-20999
いつもセキュリティを ©2024 KAMAYAMA Masanori
© 2010-2024 Cloud Security Alliance Japan Chapter 16