LinuCレベル3 303試験の例題と解説
326.1ホストの堅牢化
<326.1 ホストの堅牢化>
重要度 3
<説明>
一般的な脅威からLinuxが稼働するコンピュータをセキュアにすることができることが求められる。
<主要な知識範囲>
・BIOSとブートローダー(GRUB 2)強化の設定
・無用なソフトウェアとサービスの無効化
・セキュリティ関連のカーネル設定、特にASLR、Exec-Shield およびIP / ICMP の設定のためのsysctlの使用
・リソース使用量の制限
・chroot 環境での作業
・不要な機能権限の削除
・仮想化のセキュリティの有意性についての知識
<重要なファイル、用語、ユーティリティ>
・grub.cfg
・chkconfig, systemctl
・ulimit
・/etc/security/limits.conf
・pam_limits.so
・chroot
・sysctl
以下のsysctlのパラメータのうち、ASLR・Exec-Shieldに関するものを2つ選択せよ。
1. net.ipv4.ip_forward
2. kernel.exec-shield
3. net.ipv4.icmp_echo_ignore_all
4. kernel.randomize_va_space
※この例題は実際の試験とは異なります。
解答と解説
答えは「2. kernel.exec-shield と 4. kernel.randomize_va_space」 です。
ASLRやExec-Shieldを有効化するには、sysctlのkernel.exec-shieldとkernel.randomize_va_spaceという2つのパラメータを使用し、それぞれのパラメータの値を「kernel.exec-shield = 1」・「kernel.randomize_va_space =2」とすることで有効になります。
※値が0の場合は、無効化となります。
以下の操作例のように、/proc/sys/kernel/exec-shield・/proc/sys/kernel/randomize_va_spaceファイルに値を格納しても同じ結果が得られます。
-------
[root@CentOS6 ~]# echo 1 > /proc/sys/kernel/exec-shield
[root@CentOS6 ~]# cat /proc/sys/kernel/exec-shield
1
[root@CentOS6 ~]# echo 2 > /proc/sys/kernel/randomize_va_space
[root@CentOS6 ~]# cat /proc/sys/kernel/randomize_va_space
2
また、恒久的に設定を使用する場合は/etc/sysctl.confに設定を追記し、再起動を行うか、sysctl –pを使用して即時反映させます。
なお、net.ipv4.ip_forwardはLinuxでルーティングを有効化するパラメータ、net.ipv4.icmp_echo_ignore_allはICMPリクエストへのリプライを実施しないよう設定するパラメータとなります。
鯨井 貴博 氏(登録インストラクター、LPI-Japanアカデミック認定校 Zeus IT Camp)
※上記の解説とその内容については、例題作成者の監修・文責です。