Linuxは市場で最も安全なオペレーティングシステムであり、長年にわたり、オープンソースプラットフォームの最大のセールスポイントの一つでした。しかし、テクノロジーに関するあらゆることと同様に、犯罪者に追いつかれるのは時間の問題です。これは、あらゆるオペレーティングシステム、ソフトウェア、そしてサービスにおいて当てはまりました。現時点では、Linuxが悪意のあるソフトウェアから完全に保護されていると言うのは誤りでしょう。
悲しい真実ですが、ネットワークに接続されている限り、それは脆弱です。どのオペレーティングシステムを使用しているかは関係ありません。長く使用されているほど、標的になる可能性が高くなります。そしてLinuxも例外ではありません。
ここ数年、Linuxは標的にされ続けてきました。Linux OSを含むオープンソース技術が企業の存続を左右する今、これが現実のものとなったことは驚くべきことではなく、今後もなくなることはないでしょう。実際、私の推測では、Linux環境を標的とする悪意のあるソフトウェアの増加は、今後10年間で驚異的なペースで進むでしょう。
参照: 知っておくべきオープンソースと Linux の用語 40 選 (TechRepublic Premium)
幸いなことに、オープンソース開発者はこのようなマルウェア攻撃に非常に迅速に対応します。脆弱性が発見され、多くの場合、数時間または数日以内にパッチが当てられます。このような俊敏性は、オープンソースソフトウェアの美点の一つです。
しかし、ユーザーと管理者にも責任という重荷が課せられています。Linuxは「一度設定してしまえば、あとは放っておける」プラットフォームだと思いがちですが、実際は違います。簡単に言えば、Linuxはソフトウェアであり、ハッカーの心の奥底に潜む危険性を知りもせず、気にも留めません。ただ、その導入方法に従って動作するだけなのです。
そうは言っても、管理者とユーザーは、この悪意のあるソフトウェアの増加の波に負けないようにするために何ができるでしょうか?
Linux OSを安全にする方法
アップデート、アップデート、アップデート
Linuxシステムがひどく古くなったことに、どれほど何度も遭遇したか分かりません。アップデートを怠ると、オペレーティングシステムとインストールされたソフトウェアに脆弱性が蔓延する可能性があります。
定期的にアップデートを確認する習慣を身につけましょう。私はLinuxマシンで毎日アップデートを確認し、アップデートが利用可能になったらすぐに適用しています。これはデスクトップでは効果的な戦略です。サーバーの場合は、少なくとも週に1回はアップデートを確認し、必要に応じてサーバーを再起動できるタイミングでアップデートを適用するようにしてください。
適切な配布を選択する
Linuxディストリビューションは想像以上にたくさんあります。中にはニッチなものもありますが、ほとんどは汎用性があります。汎用OSをサーバーとして使用しないでください。
サーバー向けOSをお探しの場合は、Ubuntu Server、Debian Server、RHEL、SUSE、Fedora Server、AlmaLinux、Rocky Linuxといった既知のOSをお選びください。コンテナ向けのOSをお探しの場合は、Red Hat OpenShiftなどのコンテナ専用ディストリビューションをご検討ください。
デスクトップに関しては、Ubuntu、Linux Mint、Pop!_OS、Fedora など、メンテナンスが行き届いており、定期的に信頼できるアップデートをリリースするディストリビューションを使用することをお勧めします。
賢く責任を持って導入する
Linuxを導入する際は、あなた自身、そしてユーザーと管理チームがオペレーティングシステムに精通していることを確認してください。プラットフォームの細部まで理解することなく、あらゆるLinuxディストリビューションをあらゆる目的で導入できると安易に思い込み、すべてがうまくいくと決めつけてはいけません。Linuxのセキュリティについて学び、タスクに最適なツールを理解し、オペレーティングシステムに触れる必要がないと決めつけず、導入を進めましょう。
かつてはLinuxを「設定して放っておく」ことができました。しかし、そんな時代は過ぎ去りました。Linux環境を悪意のあるソフトウェアから安全に保護したいなら、情報を入手し、脆弱性に常に注意を払う必要があります。知識が豊富であればあるほど、より万全な準備ができます。
細かいログを読む
ログには豊富な情報が含まれており、Linuxでは膨大なログをスキャンできます。/var/logディレクトリを見れば、私の言っていることがよく分かるでしょう。問題は、システム上にログファイルがいくつあっても、読まなければ何の価値もないということです。
ログファイルを読む習慣をつけましょう。ログを手作業で確認したくない場合は、Graylog 2、Logcheck、Logwatch、Logstashなど、ログファイルの確認作業を代行してくれるツールを活用しましょう。
スキャンソフトウェアを使用する
Linuxでスキャンソフトウェアを使うという考えには長年鼻で笑っていました。でも今はどうでしょう?大賛成です。今すぐウイルス対策スキャナをインストールすべきだと言っているわけではありません(インストールしても問題ないですが)。しかし、管理者はルートキットスキャナをインストールし、メールサーバーをスキャンするツールを使うべきです。エンドユーザーもClamAVなどのツールを活用できますが、かなり手動操作が多いので、使い方をトレーニングする必要があります。
ユーザーアクセスを制限する
誰でもSSHでサーバーにアクセスできるようにしないでください。絶対にアクセスが必要なユーザーのみがSecure Shellを使用してサーバーにアクセスできるようにしてください。同時に、SSHキーアクセスのみを許可し、rootユーザーはSSH認証からロックアウトするポリシーを設定してください。これは絶対に必要です。
強力なパスワードポリシーを採用する
ユーザーについて言えば、Linuxでは強力なパスワードポリシーを設定する必要があります。その方法がわからない場合は、「Linuxでユーザーに安全なパスワードを作成させる方法」を読んで理解を深めてください。
定期的にペンテストを実行する
すべてのLinuxシステムでペネトレーションテストを実行する習慣を身につけましょう。Kali Linuxのような大規模なツールキットを使いこなせるようになるまでには確かに時間がかかりますが、これまで知られていなかったシステムの脆弱性を発見し、パッチを適用すれば、その努力は報われるでしょう。そうすれば、大惨事は回避できたと考えてください。
SELinuxを無効にせず、ファイアウォールを使用してください
RHELベースのディストリビューションでLinux管理者が最初に行うことの一つは、SELinuxを無効にすることではないでしょうか。絶対に、絶対に。SELinuxが存在するのには理由があります。確かに面倒なこともありますが、このサブシステムが提供するセキュリティは、その手間をかけるだけの価値があります。SELinuxについては学ぶべきことがたくさんありますが、このセキュリティシステムを絶対に必要なものだと考え始めるのが早ければ早いほど、SELinuxがあなたに不利に働くのではなく、あなたに有利に働くようになるでしょう。
同時に、ファイアウォールも活用しましょう。UFWやFirewallDなど、お使いのディストリビューションが使用しているツールの使い方を習得し、その仕組みを理解しましょう。無効にするのではなく、有効にしましょう。ファイアウォールは、データセキュリティの最後の砦となる可能性があります。なぜ無視するのでしょうか?
以上が、Linux上で悪意のあるソフトウェアを回避するための私の最良のアドバイスです。もちろんこれが全てではありませんが、あなたやあなたの会社が災難に見舞われるのを防ぐのに大いに役立つでしょう。
Jack Wallen によるビジネス プロフェッショナル向けの最新のテクノロジー アドバイスをすべて知るには、YouTube で TechRepublic の How To Make Tech Work を購読してください。
