Linux 管理者向けの 20 の便利なセキュリティ機能とツール


この記事では、すべてのシステム管理者が知っておくべき便利な Linux セキュリティ機能のリストを紹介します。また、システム管理者が Linux サーバーのセキュリティを確保するのに役立つ便利なツールもいくつか紹介します。

リストは次のとおりであり、特定の順序で編成されているわけではありません。

1. Linux ユーザーとグループの管理

Linux のユーザーとグループの管理は、システム管理の基本的でありながら非常に重要な側面です。ユーザーは、人または Web サーバー プロセスやファイルの所有者などのソフトウェア エンティティであることに注意してください。

正しいユーザー管理定義 (ユーザーのアカウントの詳細、ユーザーが属するグループ、ユーザーがアクセスできるシステムの部分、ユーザーが実行できるプログラム、パスワード組織のパスワード ポリシーの適用などを含むことができる) は、システム管理者が次のことを行うのに役立ちます。 Linux システム内のユーザーの安全なシステム アクセスと操作を保証します。

2.Linux PAM

PAM (Pluggable Authentication Modules) は、システム全体のユーザー認証のための強力で柔軟なライブラリ スイートです。 PAM に同梱されている関数の各ライブラリをアプリケーションで使用して、ユーザーの認証を要求できます。

これにより、Linux システム管理者は、アプリケーションがユーザーを認証する方法を定義できます。ただし、これは強力であり、理解、学習、および使用するのは非常に困難です。

3. サーバー/ホストベースのファイアウォール

Linux には、パケット フィルタリング機能、あらゆる種類のネットワーク アドレスとポート変換、サード パーティ拡張用の複数層の API などを提供する Netfilter サブシステムが付属しています。

firewalld、nftables (iptables の後継) などの最新の Linux ファイアウォール ソリューションはすべて、このサブシステムをパケット フィルタリングに使用して、Linux システムに出入りするネットワーク トラフィックを規制、保護、ブロックします。

4.Linux SELinux

もともと米国国家安全保障局 (NSA) によって開発されたプロジェクトである Secure Enhanced Linux (略して SELinux) は、高度な Linux セキュリティ機能です。

これは、Linux セキュリティ モジュール (LSM) を使用して Linux カーネルに統合されたセキュリティ アーキテクチャです。必須アクセス制御 (MAC) を提供することで、従来の Linux 随意アクセス制御 (DAC) モデルを補完します。

システム上のすべてのユーザー、アプリケーション、プロセス、およびファイルのアクセス権と移行権を定義します。これは、特定の Linux システムのインストールをどの程度厳格または緩和する必要があるかを指定するセキュリティ ポリシーを使用して、これらのエンティティの相互作用を管理します。

SELinux は、Fedora、CentOS-stream、Rocky Linux、AlmaLinux など、すべてではないにしてもほとんどの RHEL ベースのディストリビューションにプリインストールされています。

5.AppArmor

SELinux と同様に、AppArmor も強制アクセス制御 (MAC) セキュリティ モジュールであり、効果的で使いやすい Linux アプリケーション セキュリティ システムを提供します。 Debian、Ubuntu、openSUSE などの多くの Linux ディストリビューションには、AppArmor がインストールされています。

AppArmor と SELinux の主な違いは、これがパスベースであることです。これにより、強制モードと不平モードのプロファイルを混在させることができます。また、「インクルード ファイル」を使用して開発を容易にし、参入障壁がはるかに低くなります。

6. フェイルツーバン

失敗したログイン試行などを監視し、ファイアウォール ルールを更新して、そのような IP アドレスを指定された時間禁止します。

7. ModSecurity Web アプリケーション ファイアウォール (WAF)

Trustwave の SpiderLabs によって開発された ModSecurity は、無料でオープンソースの強力なマルチプラットフォーム WAF エンジンです。 Apache、NGINX、および IIS Web サーバーで動作します。 SQL インジェクションなどのさまざまな攻撃に対して適切なセキュリティを提供することで、システム管理者と Web アプリケーション開発者を支援します。 HTTP トラフィックのフィルタリングとモニタリング、ロギング、およびリアルタイム分析をサポートしています。

詳細については、以下をご覧ください。

  • Debian/Ubuntu に Nginx の ModSecurity をインストールする方法
  • Debian/Ubuntu で Apache を使用して ModSecurity を設定する方法

8. セキュリティログ

セキュリティ ログは、IT インフラストラクチャ全体または単一の Linux システムのセキュリティと安全性に特に関連するイベントを追跡するのに役立ちます。これらのイベントには、サーバーやアプリケーションなどへのアクセス試行の成功と失敗、IDS のアクティブ化、トリガーされたアラートなどが含まれます。

システム管理者は、効果的かつ効率的なログ管理ツールを特定し、セキュリティ ログ管理のベスト プラクティスを維持する必要があります。

9.OpenSSH

OpenSSH は、SSH ネットワーク プロトコルを使用したリモート ログイン用の主要な接続ツールです。コンピューター間のトラフィックを暗号化することでコンピューター間の安全な通信を可能にし、サイバー犯罪者による悪意のある活動を追放します。

OpenSSH サーバーを保護するのに役立つガイドをいくつか紹介します。

  • OpenSSH サーバーを保護および強化する方法
  • 5 つの OpenSSH サーバーのベスト セキュリティ プラクティス
  • Linux で SSH パスワードレス ログインを設定する方法

10.OpenSSL

OpenSSL は一般的な汎用暗号化ライブラリであり、Secure Sockets Layer (SSL v2/v3) および Transport Layer Security (TLS v1) ネットワーク プロトコルと、それらに必要な関連暗号化標準を実装するコマンドライン ツールとして利用できます。

秘密鍵の生成、CSR (証明書署名要求) の作成、SSL/TLS 証明書のインストール、証明書情報の表示などによく使用されます。

11. 侵入検知システム (IDS)

IDS は、疑わしいアクティビティまたはポリシー違反を検出し、これらのアラートに基づいて検出されたときにアラートを生成する監視デバイスまたはソフトウェアです。システム管理者またはセキュリティ アナリスト、または関係者として、問題を調査して適切なアクションを実行できます。脅威を是正するために。

主に 2 種類の IDS があります。1 つのシステムを監視するために展開されるホストベースの IDS と、ネットワーク全体を監視するために展開されるネットワークベースの IDS です。

AIDE など、Linux 用のソフトウェアベースの IDS は多数あります。

12. Linux 監視ツール

組織の IT インフラストラクチャ内のさまざまなシステム、サービス、およびアプリケーションの可用性を確保するには、これらのエンティティをリアルタイムで監視する必要があります。

これを実現する最善の方法は、Icinga 2 などを使用することです。

13. Linux VPN ツール

VPN (Virtual Private Network の略) は、インターネットなどのセキュリティで保護されていないネットワークでトラフィックを暗号化するためのメカニズムです。パブリック インターネット経由で組織のネットワークに安全なインターネット接続を提供します。

このガイドを確認して、クラウドで VPN をすばやくセットアップしてください: Linux で独自の IPsec VPN サーバーを作成する方法

14. システムとデータのバックアップと復元ツール

データをバックアップすることで、計画外のイベントが発生した場合でも、組織は重要なデータを失うことはありません。復旧ツールを使用すると、データやシステムを以前の時点に復元して、組織があらゆる規模の災害から復旧するのに役立ちます。

Linux バックアップ ツールに関する役立つ記事を次に示します。

  • Linux システム向けの 25 の優れたバックアップ ユーティリティ
  • Linux サーバー向けの 7 つのベスト オープン ソース \ディスク クローン作成/バックアップ ツール
  • リラックスして回復 – Linux システムのバックアップと回復
  • Clonezilla を使用して Linux ディスクのクローンまたはバックアップを作成する方法

15. Linux データ暗号化ツール

暗号化はデータ保護における最高のセキュリティ技術であり、承認された関係者だけが保存または転送中の情報にアクセスできるようにします。セキュリティのために利用できる Linux システム用のデータ暗号化ツールは数多くあります。

16. Lynis – セキュリティ監査ツール

Lynis は、無料でオープンソースの柔軟で人気のあるホスト セキュリティ監査および脆弱性スキャンおよび評価ツールです。 Linux システムや、Mac OS X などの他の Unix ライクなオペレーティング システムで動作します。

17. Nmap – ネットワークスキャナー

Nmap (Network Mapper の略) は、ネットワーク探索またはセキュリティ監査用に広く使用されている無料のオープンソースの機能豊富なセキュリティ ツールです。クロスプラットフォームであるため、Linux、Windows、および Mac OS X で動作します。

18. ワイヤーシャーク

Wireshark は、完全な機能を備えた強力なネットワーク パケット アナライザーであり、後で/オフラインで分析するために保存できるパケットのライブ キャプチャを可能にします。
また、クロスプラットフォームであり、Linux ベースのオペレーティング システム、Mac OSX、Windows などの Unix ライクなシステムで実行されます。

19. 日東

Nikto は、Web サイト/アプリケーション、仮想ホスト、および Web サーバーをスキャンして既知の脆弱性と構成ミスを検出する、強力なオープンソースの Web スキャナーです。

テストを実行する前に、インストールされている Web サーバーとソフトウェアを識別しようとします。

20. Linux アップデート

最後になりましたが、システム管理者として、オペレーティング システムからインストール済みのパッケージやアプリケーションまで定期的にソフトウェア アップデートを実行し、最新のセキュリティ フィックスが確実に適用されるようにする必要があります。

$ sudo apt update         [On Debian, Ubuntu and Mint]
$ sudo yum update         [On RHEL/CentOS/Fedora and Rocky Linux/AlmaLinux]
$ sudo emerge --sync      [On Gentoo Linux]
sudo pacman -Syu          [On Arch Linux]
$ sudo zypper update      [On OpenSUSE]    

これですべてです。このリストは本来よりも短くなっています。そう思われる場合は、以下のフィードバック フォームから、読者に知っておいていただきたいその他のツールをお知らせください。