LinuCレベル3 303試験の例題と解説
326.1ホストの堅牢化
■トピックの概要
このトピックの内容は以下の通りです。
<326.1 ホストの堅牢化>
重要度 3
<説明>
一般的な脅威からLinuxが稼働するコンピュータをセキュアにすることができることが求められる。
<主要な知識範囲>
・BIOSとブートローダー(GRUB 2)強化の設定。
・無用なソフトウェアとサービスの無効化。
・セキュリティ関連のカーネル設定、特にASLR、Exec-Shield および IP / ICMP の設定のためのsysctlの使用。
・リソース使用量の制限。
・chroot 環境での作業。
・不要な機能権限の削除。
・仮想化のセキュリティの有意性についての知識。
<重要なファイル、用語、ユーティリティ>
・grub.cfg
・chkconfig, systemctl
・ulimit
・/etc/security/limits.conf
・pam_limits.so
・chroot
・sysctl
・/etc/sysctl.conf
■例題
/etc/security/limits.confの説明として適切なものを選択しなさい
1. limits.confは、カーネルパラメータを設定するファイルである
2. limits.confは、ユーザ・グループ毎のシステムリソースの制限を行うファイルである
3. limits.confは、プロセス毎のシステムリソースの制限を行うファイルである
4. limits.confの設定は、ulimitコマンドで反映する
※この例題は実際の試験問題とは異なります。
解答と解説
答えは「2. limits.confは、ユーザ・グループ毎のシステムリソースの制限を行うファイルである」です。
[書式]
---------------------------------------------------------------------------------------
<domain> <type> <item> <value>
domain … 制限の対象となるユーザIDやグループID等を設定します
type … hard/soft/-を設定します
hardの場合は、rootユーザが変更可能なリソース上限を設定することを意味します
softの場合は、一般ユーザが変更可能なリソース上限を設定することを意味します
-の場合は、hardとsoftに同一の値を設定することを意味します
item … 制限するリソースの属性を設定します。主な属性値は以下のとおりです。
[主な属性値]
nproc … domainが起動できるプロセス数の上限値
nofile … domainがオープンできるファイルディスクリプタの上限値
fsize … domainが作成できるファイルサイズの上限値
value … リソースの上限値を設定します
0の場合、無制限を意味します
---------------------------------------------------------------------------------------
例えば、apacheユーザが扱うファイルディスクリプタの上限値を変更する場合には、以下のように設定します。
[設定例]
---------------------------------------------------------------------------------------
apache - nofile 10240
---------------------------------------------------------------------------------------
その他の選択肢の解説は以下の通りです。
「1. limits.confは、カーネルパラメータを設定するファイルである」
カーネルパラメータの設定を行う設定ファイルは、/etc/sysctl.confです。
limits.confはシステムリソースの制限についての設定を行うファイルですので、この選択肢は誤りです。
「3. limits.confは、プロセス毎のシステムリソースの制限を行うファイルである」
limits.confはプロセス毎のリソース制限は行うことができないため、この選択肢は誤りです。
「4. limits.confの設定は、ulimitコマンドで反映する」
ulimitコマンドは、ユーザ毎の現在の制限値の参照や、一時的な制限値の変更を行うためのコマンドです。そのためこの選択肢は誤りです。
■例題作成者 株式会社デージーネット ソリューション開発部 森 彰吾 氏