多くの顧客に対する設定監査と侵入テストの結果、Linux でよくある設定エラーがいくつかまとめられました。これらの一般的なエラーを要約し、レビューすることで、将来、より多くの時間とリソースを節約することができ、さらに重要なこととして、システム管理者がサーバをより安全で信頼性の高いものにするのに役立つと信じています。
よくある5つの設定エラーを以下に示します:
homeディレクトリのパーミッション
システムのgetgidとsetuidプロシージャ。
グローバルに読み書き可能なファイル/ディレクトリを作る
脆弱性を含むサービスを使う
デフォルトのNFSマウントオプションまたは安全でないエクスポートオプション1.ユーザーの/homeディレクトリのパーミッション
ほとんどのLinuxディストリビューションでは、/homeディレクトリのデフォルトのパーミッションは755です。これは、システムにログインしているすべてのユーザーが、他のユーザーの/homeディレクトリにアクセスできることを意味します。管理者や開発者のような一部のユーザーは、パスワード、現在のサーバーや他のウェブ・サーバーにアクセスするためのキーなど、特定の機密情報を自分のユーザー・ディレクトリに保存することがあります。
2、システムのsetgidとsetuid手続き
ファイルの所有者がrootでsetuidビットが設定されている場合、そのファイルを実行するとroot権限で実行されます。つまり、攻撃者がファイルの脆弱性を見つけたり、意図しない方法でプログラムを実行したりすると、おそらくルート権限で自分が構築したコマンドを実行できるようになり、システム全体が危険にさらされることになります。
3.グローバルに読み取り/書き込み可能なファイル/ディレクトリ
グローバルに読み書き可能なファイルやディレクトリによって生じる問題は、不適切に設定されたユーザーホームディレクトリのパーミッションによって生じる問題と似ていますが、その影響範囲はシステム全体に及ぶ可能性があります。グローバルに読み取り可能なファイルの主な理由は、ファイルを作成する際のデフォルトの umask マスクが 0022 または 0002 であるためで、この誤った設定のために、機密情報を含む可能性のあるファイルを、システムにログオンしている誰もが読み取ることができます。また、ファイルがグローバルに書き込み可能であれば、誰でもファイルを変更することができるため、攻撃者が特定のファイルやスクリプトを変更して自身を隠したり、管理者がよく使用するスクリプトを変更して特定の機密コマンドを実行したりする機会を与えてしまう可能性があります。
4.不適切に構成されたサービスまたは設定
最小限の設定しかされていないサービスを実行すべきです。サービスによっては、誤った設定をしていたり、デフォルトの証明書や設定を使っていたりすることがよくあり、安全でない通信チャネルを使うことが非常に多く、サーバー攻撃のリスクを悪化させています。サービスを利用する際には、そのオプションや設定を見直し、安全に導入されているか、適切に設定されているかを確認する必要があります。しかし、ローカルにしかリッスンしない、あるいは特定のポートにしかリッスンしないのではなく、複数のポートにバインドされているサービスもよく見られます。
5.デフォルトのマウントオプションまたは安全でないエクスポートオプション
すべてのマウントのデフォルト・オプションは " rw, suid, dev, exec, auto, nouser, async" です。しかし、NFSプロトコルのような外部マウントされたファイルシステムのファイルにsuidビットやguidビットが設定されてしまうため、これらのデフォルトオプションを使用するのは不適切です。NFS共有をエクスポートする場合、no_root_squashオプションを設定しないことを推奨します。デフォルトは通常root_squashオプションですが、実際には変更されることがよくあります。no_root_squashオプションが設定されている場合、ユーザーがrootとしてログインすると、そのユーザーはこの共有ディレクトリのroot権限を持ち、何でもできるようになります。これらの不適切な設定は、デフォルトのままにしておくと、rootユーザがサーバにログインできるようになりますが、そもそもそのような権限を持つユーザがログインできるようにすべきではありませんでした。
これらの設定は、Linux サーバを設定する際に見落とされがちであり、攻撃者や悪意のあるユーザが不正に大量の情報にアクセスしたり、サーバ内の自分の特権を昇格させたりすることを可能にするのは、まさにこのような誤った設定なのです。しかし、寝ている間にサーバをXXOOされたくなければ、本腰を入れてシステムを強化しましょう。
