実はLinuxも危ない どうすれば「Linux＝安心なOS」になるのか？：Linuxを攻撃から守るには【後編】

Linuxだからといって「安全なOS」というわけではない。Linuxを狙う攻撃手法は多様化している。マルウェア感染や、攻撃による被害を抑止するために必要な対策とは。

[Jack Wallen，TechTarget]

　OS「Linux」について、「攻撃の標的になりにくい」という考えを持つことはお勧めできない。Linuxを狙う攻撃が顕著になりつつあるからだ。Linuxをベースにしたシステムにおけるマルウェア感染の防止や、攻撃による被害抑止につなげるには、どのような対策が必要なのか。権限管理やセキュリティポリシーなどの観点を含めて、具体的な対策を紹介する。

本当に「Linux＝安心なOS」にするための具体策はこれだ

併せて読みたいお薦め記事

連載：Linuxを攻撃から守るには

• 前編：「Linux＝安全なOS」ではない　狙われる当然の実態

Linuxを利用する際の注意点とは

• Windows信奉者が理解に苦しむ“Linux多過ぎ”問題
• 「Linuxベースのクラウドは危険」　VMwareが警告する納得の理由

　システム管理者はユーザーに適切な権限を与えると同時に、権限の悪用がないかどうかを監視しなければならない。複数のユーザーの権限を管理する方法の一つは特定のユーザーをひとまとめにする「グループ」の機能を使うことだ。ファイルやフォルダ（ディレクトリ）に対して特定のアクセス権を持つグループを作成し、グループにユーザーを追加する。対象のファイルやフォルダにアクセスする必要がなくなったユーザーは速やかにグループから削除する。

　ユーザーに権限を付与する際、「管理者ユーザー」と「一般ユーザー」を区別することが重要だ。管理者権限を必要としない一般ユーザーを管理者のグループに追加してはいけない。管理者権限を持つユーザーのアカウントが侵害されると、攻撃者はその管理者権限を使って攻撃の範囲を広げるようと試みる。

Linuxのセキュリティポリシー

　Linuxに対する攻撃を防ぐためには、強固なセキュリティポリシーを運用することが欠かせない。セキュリティポリシーを定める際のポイントは以下の通り。

• Linuxのセキュリティ機能「Security-Enhanced Linux」（SELinux）を有効にし、enforcing（実行）モードにする
• 強力なパスワードを使用する
• ファイアウォール機能を有効にし、その使用方法を習得する
• SSH（Secure Shell）接続を使ったrootユーザー（システム管理者）のログインを無効にする
• SSH接続で認証を使用する
• 不必要なSSH接続をブロックするために、不正アクセス防止ツール「fail2ban」を使用する
• rootユーザーアカウントを無効にし、管理者としてログインさせない
• 検証されていないソフトウェアをインストールしない

　Linuxディストリビューション（配布用パッケージ）の中にはサポートが終了した、あるいはこれから終了を迎えるものが存在する。そうしてサポート切れになったLinuxディストリビューションを利用し続ける企業があるが、そうした運用はお勧めできない。サポートが終了した後はセキュリティ対策を含むパッチ（修正プログラム）が提供されなくなるため、マルウェアを含む攻撃に対して脆弱（ぜいじゃく）になってしまうからだ。

　まずは使用しているLinuxディストリビューションのサポートが今後も続くのかどうか、もし続かないのであればいつ終了時期を迎えるのかを把握することが重要だ。場合によっては、3〜5年の延長サポートが用意されていることがあるので、その点も併せて確認するようにしよう。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。