LinuCレベル3 303試験の例題と解説
326.1ホストの堅牢化
LinuCレベル3 303試験の試験範囲から「326.1 ホストの堅牢化」についての例題を解いてみます。
chroot環境のメリットについて確認しておきましょう。
例題
サービスプロセスをchroot環境で動作させるメリットについて、説明として正しいものを選択してください。
- chroot環境のサービスプロセスは内部からのみ接続できるようになる
- プロセスのCPUタイムを制限することができる
- 万が一攻撃を受けた場合でも被害を指定の範囲内で抑えることができる
- chroot環境のサービスプロセスは外部から攻撃できなくなる
※この例題は実際の試験問題とは異なります。
解答と解説
正解は、「3. 万が一攻撃を受けた場合でも被害を指定の範囲内で抑えることができる」です。
chroot環境とは、指定されたディレクトリがルートディレクトリとなっている環境のことです。
Linuxのファイルシステムは、通常「/」がルートディレクトリとなっています。このルートディレクトリで動作していたサービスが攻撃され乗っ取られた場合、侵入者はファイルシステム全体に侵入することができてしまいます。
このような侵入を阻止するため、chrootでは『BINDサービスでは「/var/chroot」ディレクトリをルートディレクトリとする』というようにサービスプロセスのルートディレクトリを変更することができます。
chroot環境でプロセスを動作させることで、プロセスがアクセスできるファイルシステムを制限することができ、万が一攻撃を受けた場合でも被害を指定の範囲内で抑えることができます。
それでは、選択肢を見ていきます。
1.chroot環境のサービスプロセスは内部からのみ接続できるようになる
誤りです。
chroot環境のサービスプロセスも外部から接続することができます。
2.プロセスのCPUタイムを制限することができる
誤りです。
プロセスのCPUタイムを制限はulimitコマンドを用いて行います。chroot環境でなくてもプロセスのCPUタイムは制限することができます。
3.万が一攻撃を受けた場合でも被害を指定の範囲内で抑えることができる
正解です。
サービスプロセスが攻撃され乗っ取られた場合、chroot環境で動作しているプロセスであれば、アクセスできるファイルシステムを制限することができます。
そのため、被害を指定の範囲内で抑えることが可能です
4.chroot環境のサービスプロセスは外部から攻撃できなくなる
誤りです。
chroot環境で動いている場合でも、外部から攻撃を受けることがあります。攻撃を受けた場合に、被害を抑えるための工夫としてchroot環境を利用します。
システムのセキュリティを高めるだけなく、攻撃を受けた場合の想定も含め、セキュリティ対策の設定ができるようにしておきましょう。
例題作成者
株式会社デージーネット OSS研究室 橋本 知里