NISTによるセキュリティロードマップ †
セキュリティ技術の基礎 †
SELinux †
フォルダやファイルのアクセス状態を確認する。
# ls -Z
シェアの状態を変更するには、下記のコマンドを実行する。
# chron -t <プログラムタイプ> <フォルダ及びファイル> -R
下記のフォルダの設定も変更する場合には-Rを利用する。
典型的な変更サンプル
# chcon -c -v -R -u system_u -r object_r -t textrel_shlib_t <soファイル>
※textrel_shlib_t のタイプは、shlib_t などほかにタイプの場合もあるので、いろいろやってみてもよい。
SELinuxの設定 †
最初に現在、SELinuxが設定されているか確認を行う。
# getenforce
「Enforcing」と表示されたら、SELinuxが有効になっている。
また設定の方法は以下のとおり
# setenforce enforcing <- SELinuxを有効にする。 # setenforce permissive <- SELinuxを無効にする。
起動時に自動設定するには、以下のとおり。
#emacs /etc/sysconfig/selinux SELINUX=enforcing <- これは有効時、無効時はdisabledを指定
※参考リンク
SELinuxのインストール †
ほとんどのディストリビューションでは、SELinuxのパッケージは入っているはずですが、何らかの理由によりインストールをしたい場合は以下を参考にしてください。
NSA の公式ページ
# wget http://www.nsa.gov/selinux/archives/libselinux-1.34.15.tgz # tar zxvf libselinux-1.34.15.tgz # wget http://www.nsa.gov/selinux/archives/libsepol-1.16.14.tgz # tar zxvf libsepol-1.16.14.tgz #
# cd libselinux-1.34.15
セキュリティの為の各種ツール †
セキュリティ情報 †
NSEC3 †
- NSECの大きな問題
- リスト構造をたどればドメインを芋づる式にたどることができる。一見すると公の情報なので問題ないように感じるのだが、いくつかのccTLDはプライバシ保護ポリシー対象であったり、無駄なトラフィックを生む(一種のDoS)
- 上記理由からそのドメインの構造がわかってしまい、ハッキングの補助になってしまう。
- NSEC3での対策
- FQDNを一方向性ハッシュ関数でハッシュ化し、それをBase32でエンコードしたデータを所有者名とし、そのドメイン名に基づき正規順序化(RFC 4034 6.1)し、NSECの時と同じように非存在性を示すための連鎖を作る。非存在の証明にはハッシュ値が使われるため、その値から元のドメイン名を知ることはできない。従って、DNS Walkingを事実上無効化できるということになる。
ebtables †
Ethernet Brigde Tableの略。Linuxを利用したブリッジルータを構築する際に利用されている。Centos 5.6 からパッケージに入るようになった。
System Security Services Daemon †
System Security Services Daemon (SSSD) は、Red Hat Enterprise Linux 6 から搭載された識別と認証の中央管理の為のサービス セットであり、中央化した識別と認証サービスは識別のローカルキャッシングを有効にして、サーバーへの接続が切断されたようなケースでも ユーザーが識別できるようになる。SSSD は、Red Hat Directory Server、Active Directory、OpenLDAP、389、Kerberos、及び LDAP を 含む多様な識別と認証のサービスをサポートする。
AESについて †
参考リンク †
参考リンク †
NIST-SecuritySchedule.gif
