出版
Linuxサーバーとデスクトップの徹底的なスキャンには、Lynis監査ツールをご利用ください。Lynisのインストールと使用方法をご確認ください。
企業ネットワーク上のすべてのシステムは、いずれ監査を受ける必要があります。なぜでしょうか?それは、いつ、どんなに些細な、あるいは明らかな問題を見逃してしまうか分からないからです。そうした問題によって、システムが詮索好きな監視の目にさらされる危険性があります。そうなると、企業データが危険にさらされる可能性があります。これは決して良いことではありません。
これを避けるには、すべてのシステムでセキュリティ監査を実行してください。Linuxシステムが鍛え抜かれた鋼鉄のように堅牢であると確信していても、決して偶然に任せてはいけません。そのため、これらのシステムも監査の対象に加えましょう。
では、Linuxシステムの監査には何を利用すればいいのでしょうか? 幸運なことに、CISOfyが開発したコマンドラインツールを使えば、簡単に監査できます。このツールはLynisと呼ばれ、ほぼすべてのUNIXベースシステム(Raspberry PiやQNAPのストレージデバイスも含む)をスキャンできます。Lynisはシステム上で数百ものセキュリティテストを実行し、問題点があればレポートを返すので、修正することができます。
Lynisはインストールなしでも実行できます。最新バージョンをダウンロードし、解凍して、実行ファイル(適切なオプション付き)を実行するだけです。Ubuntuシステムをお使いの場合は、最新のツールをインストールするためのリポジトリを追加できます。Ubuntu 16.04を実行しているマシンにLynisをインストールして実行してみましょう。
参照: Ubuntu Core 16: 安全なモノのインターネットのための Linux (ZDNet)
Lynisのインストール
Ubuntu システムに Lynis をインストールするには、次の手順に従う必要があります。
1. ターミナルウィンドウを開きます。2 .以下の内容を含む/etc/apt/sources.d/lynis.list
ファイルを作成します(RELEASE は Ubuntu(別名 xenial)のリリース番号です)。
deb https://packages.cisofy.com/community/lynis/deb RELEASE main
3. ファイルを保存して閉じます。4 . sudo apt-get update
コマンドで apt を更新します。5. sudo apt-get install lynisコマンドで Lynis をインストールします。6 . プロンプトが表示されたらインストールを承認します (パッケージを認証できないという警告が表示されます)。7 . インストールを完了します。
Lynis 監査を実行できるようになりました。
Lynisの使用
監査を開始するコマンドは次のとおりです。
sudo lynis audit system
コマンドが実行されると、結果が stdout (図 A ) に出力されるので、発生時に何が起こっているかを確認できます。
図A
スキャンが完了すると、Lynis は結果をログファイル /var/log/lynis.log にも書き込んでいます。この結果を調べて、ツールがシステムについて何を言っているかを確認できます。ログファイルの読み込みには多少時間がかかります(かなり長いです)。しかし、ファイルを読むことで得られる情報は、その時間をかけるだけの価値があります。
Ubuntu 16.04サーバーでLynisを実行したところ、特に注意すべき点は見つかりませんでした。Lynisは/etc/init.d/rcのデフォルトのumaskをより厳密に設定できることを検出し、検出された022ではなく027のumaskを提案しました。027のumask設定は、所有グループが新規作成されたファイルをすべて読み取れることを意味します。これにより、権限付与モデルがパーミッションビットではなく、グループ所有権に近づくことになります。これは将来的に問題を引き起こす可能性があるため、この特定のumaskは022のままにすることにしました。
必須ツール
システム管理者にとって、優れた監査ツールは業務を飛躍的に楽にしてくれます(あるいは、監査結果によっては難しくなることもあります)。Lynisは、システムとネットワークのセキュリティを真剣に考えるLinuxシステム管理者にとって必須のツールです。
このツールを試してみて、Linux システムの防御の穴が検出されるかどうかを確認してください。
こちらもご覧ください
- Sambaでユーザーセキュリティを管理する方法
- CentOSに高度な侵入検知環境をインストールする方法
- BestCryptを使ってファイルやフォルダを暗号化する方法
- MySQLのパスワードレス認証を設定する方法
- 情報セキュリティインシデント報告ポリシー
ジャック・ウォーレン
ジャック・ウォーレンは、TechRepublic、The New Stack、Linux New Mediaなどで受賞歴のあるライターです。20年以上にわたり様々なトピックを執筆し、オープンソースの熱心な推進者でもあります。ジャック・ウォーレンに関する詳細は、ウェブサイトjackwallen.comをご覧ください。
