LinuCレベル3 303試験の例題と解説
326.2ホストの侵入検知
LinuCレベル3 303試験の出題範囲から「326.2 ホストの侵入検知」についての例題を解いてみます。
このテーマは、ホスト(Linux)の監査と侵入検知に関する内容が含まれます。侵入されないことが第一ですが、万が一侵入された場合にもその事を検知したり痕跡から被害状況の把握をしたり、被害拡大の防止にもつながるのでしっかりと把握しておきましょう。
例題
AIDEは以下のうち、どの役割を担うソフトウェアか一つ選択せよ。
- FW
- IPS
- IDS
- メールセキュリティ
※この例題は実際の試験問題とは異なります。
解答と解説
正解は、「3.IDS」です。
AIDEは、IDS(Intrusion Detection System、侵入検知)を担うソフトウェアであり、その中でもホストOSへの侵入を検知するホスト型と呼ばれるものです。
ホストOS内において指定したファイルの情報を予めデータベース化しておき、それと比較することでファイルの改ざんがないかをチェックします。
[aideの操作例]
●データベースの作成
ubuntu@linucserver:/etc/aide$ sudo aide.wrapper --init
Start timestamp: 2022-11-27 06:47:57 +0000 (AIDE 0.16.1)
AIDE initialized database at /var/lib/aide/aide.db.new
.
.
省略
.
.
End timestamp: 2022-11-27 07:05:20 +0000 (run time: 17m 23s)●改ざんチェック
ubuntu@linucserver:/etc/aide$ sudo aide.wrapper --check
[sudo] password for ubuntu:
Start timestamp: 2022-11-27 07:33:31 +0000 (AIDE 0.16.1)
AIDE found differences between database and filesystem!! ///データベースとの違いを発見したとの意味です。
Verbose level: 6
Summary:
Total number of entries: 209347
Added entries: 9
Removed entries: 0
Changed entries: 9
.
.
省略
.
.●データベース更新 ※ソフトウェアインストールやファイル追加された場合などに実施します
ubuntu@linucserver:/etc/aide$ sudo aide.wrapper --update
Start timestamp: 2022-11-27 07:54:52 +0000 (AIDE 0.16.1)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new
Verbose level: 6
Summary:
Total number of entries: 210203
Added entries: 863
Removed entries: 0
Changed entries: 108
.
.
省略
.
.なお、正解以外の選択肢については、以下のような役割となります。
| FW | : | 特定IPアドレス・ポート番号などを用いた通信の許可・拒否を担う |
| IPS | : | 攻撃検知 & 防御(Protect)を担う |
| メールセキュリティ | : | ウィルスメール検知などメールに関するセキュリティ |
例題作成者
鯨井 貴博 (LinuCエヴァンジェリスト/登録インストラクター、LPI-Japanアカデミック認定校 ゼウスITトレーニングセンター)