ウェブサイト検索

Linux 管理者のための 20 のセキュリティに関するヒントとツール


この記事では、すべてのシステム管理者が知っておくべき便利な Linux セキュリティ機能のリストを紹介します。また、システム管理者が Linux サーバーのセキュリティを確保するのに役立ついくつかの便利なツールも共有します。

リストは次のとおりであり、特定の順序で整理されているわけではありません。

1. Linux ユーザーとグループの管理

Linux ユーザーとグループの管理は、システム管理の基本的かつ非常に重要な側面です。ユーザーは、個人である場合もあれば、Web サーバー プロセスやファイルの所有者などのソフトウェア エンティティである場合もあることに注意してください。

正しいユーザー管理定義 (ユーザーのアカウントの詳細、ユーザーが属するグループ、ユーザーがアクセスできるシステムの部分、ユーザーが実行できるプログラム、パスワード組織のパスワード ポリシーの適用などが含まれる) は、システム管理者が次のことを行うのに役立ちます。 Linux システム内のユーザーの安全なシステム アクセスと操作を確保します。

2. Linux PAM

PAM (Pluggable Authentication Modules) は、システム全体のユーザー認証のための強力で柔軟なライブラリ スイートです。 PAM に同梱されている関数の各ライブラリは、アプリケーションでユーザーの認証を要求するために使用できます。

これにより、Linux システム管理者はアプリケーションがユーザーを認証する方法を定義できるようになります。ただし、これは強力であるため、理解し、学習し、使用するのは非常に困難です。

3. サーバー/ホストベースのファイアウォール

Linux には、パケット フィルタリング機能、あらゆる種類のネットワーク アドレスとポート変換、サードパーティ拡張機能用の複数層の API などを提供するネットフィルター サブシステムが付属しています。

UFW (Uncomplicated Firewall)、firewalld、nftables (iptables の後継) などの最新の Linux ファイアウォール ソリューションはすべて、パケット フィルタリングにこのサブシステムを使用して、 Linux システムに出入りするネットワーク トラフィックを保護し、ブロックします。

4. Linux SELinux

もともと米国国家安全保障局 (NSA) によって開発されたプロジェクトである Secure Enhanced Linux (略してSELinux) は、高度な Linux セキュリティ機能です。

これはLinux セキュリティ モジュール (LSM) を使用して Linux カーネルに統合されたセキュリティ アーキテクチャです。これは、必須アクセス制御 (MAC) を提供することで、従来の Linux 任意アクセス制御 (DAC) モデルを補完します。

システム上のすべてのユーザー、アプリケーション、プロセス、およびファイルのアクセス権と移行権を定義します。特定の Linux システムのインストールをどの程度厳密にするか、または緩くするかを指定するセキュリティ ポリシーを使用して、これらのエンティティの相互作用を管理します。

SELinux は、Fedora、CentOS-stream、Rocky Linux、AlmaLinux など、すべてではないにしてもほとんどの RHEL ベースのディストリビューションにプレインストールされています。

5. アプリアーマー

SELinux と同様、AppArmor も必須アクセス制御 (MAC) セキュリティ モジュールであり、効果的で使いやすい Linux アプリケーション セキュリティを提供します。システム。 Debian、Ubuntu、openSUSE などの多くの Linux ディストリビューションにはAppArmorがインストールされています。

AppArmorSELinux の主な違いは、パスベースであること、強制モード プロファイルとクレーム モード プロファイルの混合が可能であることです。また、開発を容易にするために「インクルード ファイル」も採用されており、さらに参入障壁がはるかに低くなります。

6. フェイル2バン

Fail2ban は、広く使用されているサーバー セキュリティ ツールで、ログイン試行の継続的な失敗などの悪意のあるアクティビティを示す IP アドレスのログ ファイルをスキャンし、そのような IP アドレスを指定された期間禁止するようにファイアウォール ルールを更新します。

7. ModSecurity Web アプリケーション ファイアウォール (WAF)

Trustwave の SpiderLabs によって開発された ModSecurity は、無料でオープンソースの強力なマルチプラットフォーム WAF エンジンです。 Apache、NGINX、および IIS Web サーバーで動作します。 SQL インジェクションなどのさまざまな攻撃に対して適切なセキュリティを提供することで、システム管理者や Web アプリケーション開発者を支援します。 HTTP トラフィックのフィルタリングと監視、ログ記録、およびリアルタイム分析をサポートします。

詳細については、以下をご覧ください。

  • Debian/Ubuntu に Nginx 用の ModSecurity をインストールする方法
  • Debian/Ubuntu で Apache を使用して ModSecurity をセットアップする方法

8. セキュリティログ

セキュリティ ログは、IT インフラストラクチャ全体または単一の Linux システムのセキュリティと安全性に特に関連するイベントを追跡するのに役立ちます。これらのイベントには、サーバーやアプリケーションなどへのアクセス試行の成功および失敗、IDS のアクティブ化、アラートのトリガーなどが含まれます。

システム管理者は、効果的かつ効率的なログ管理ツールを特定し、セキュリティ ログ管理のベスト プラクティスを守る必要があります。

9.OpenSSH

OpenSSH は、SSH ネットワーク プロトコルを使用したリモート ログインのための主要な接続ツールです。コンピュータ間のトラフィックを暗号化することでコンピュータ間の安全な通信を可能にし、サイバー犯罪者による悪意のある活動を排除します。

OpenSSH サーバーを保護するのに役立ついくつかのガイドを次に示します。

  • OpenSSH サーバーを保護して強化する方法
  • OpenSSH サーバーのベスト セキュリティ プラクティス 5 つ
  • Linux で SSH パスワードレス ログインをセットアップする方法

10.OpenSSL

OpenSSL は、人気のある汎用暗号化ライブラリであり、Secure Sockets Layer (SSL v2/v3) と を実装するコマンドライン ツールとして利用できます。トランスポート層セキュリティ (TLS v1) ネットワーク プロトコルと、それに必要な関連暗号化標準。

これは、秘密キーの生成、CSR (証明書署名要求) の作成、SSL/TLS 証明書のインストール、証明書情報の表示などによく使用されます。

11. 侵入検知システム (IDS)

IDS は、不審なアクティビティやポリシー違反を検出し、これらのアラートに基づいて検出された場合にアラートを生成する監視デバイスまたはソフトウェアです。システム管理者やセキュリティ アナリスト、または関係者は、調査することができます。問題を解決し、脅威を修正するために適切な措置を講じます。

IDS には主に 2 種類があります。1 つは単一システムを監視するために導入されるホストベースの IDS、もう 1 つはネットワーク全体を監視するために導入されるネットワークベースの IDS です。

Linux には、Tripwire、Tiger、AIDE などのソフトウェアベースの IDS が多数あります。

12. Linux監視ツール

組織の IT インフラストラクチャ内のさまざまなシステム、サービス、アプリケーションの可用性を確保するには、これらのエンティティをリアルタイムで監視する必要があります。

これを実現する最善の方法は、Nagios、Zabbix、Icinga 2 などの問題検出、レポート、アラート生成機能を備えた Linux 監視ツールを使用することです。

13. Linux VPN ツール

VPN (Virtual Private Network の略) は、インターネットなどの安全ではないネットワーク上のトラフィックを暗号化するメカニズムです。パブリック インターネット経由で組織のネットワークへの安全なインターネット接続を提供します。

クラウドで VPN をすばやくセットアップするには、このガイドを参照してください: Linux で独自の IPsec VPN サーバーを作成する方法

14. システムおよびデータのバックアップおよび復元ツール

データをバックアップすると、計画外のイベントが発生した場合でも、組織は重要なデータを失うことがなくなります。回復ツールは、データやシステムを以前の時点に復元して、組織があらゆる規模の災害から回復できるように支援します。

Linux バックアップ ツールに関する役立つ記事をいくつか紹介します。

  • Linux システム向けの優れたバックアップ ユーティリティ 25 選
  • Linux サーバー向けのオープンソース「ディスク クローン作成/バックアップ」ツール 7 選
  • Relax-and-Recover – Linux システムのバックアップとリカバリ
  • Clonezilla を使用して Linux ディスクのクローンを作成またはバックアップする方法

15. Linux データ暗号化ツール

暗号化はデータ保護における主要なセキュリティ技術であり、許可された関係者のみが保存または転送中の情報にアクセスできるようにします。セキュリティのために利用できる Linux システム用のデータ暗号化ツールが多数提供されています。

16. Lynis – セキュリティ監査ツール

Lynis は、無料のオープンソースで柔軟な、人気のあるホスト セキュリティ監査および脆弱性スキャンおよび評価ツールです。 Linux システムや、Mac OS X などの他の Unix 系オペレーティング システム上で動作します。

17. Nmap – ネットワークスキャナー

Nmap (ネットワーク マッパーの略) は、ネットワーク探索またはセキュリティ監査用に広く使用されている、無料のオープンソースで機能が豊富なセキュリティ ツールです。クロスプラットフォームなので、Linux、Windows、Mac OS X 上で実行できます。

18. ワイヤーシャーク

Wireshark は、完全な機能を備えた強力なネットワーク パケット アナライザーであり、パケットのライブ キャプチャを可能にし、後でオフラインで分析するために保存できます。

また、クロスプラットフォームであり、Linux ベースのオペレーティング システム、Mac OSX、Windows などの Unix 系システム上で実行されます。

19. ニクト

Nikto は、Web サイト/アプリケーション、仮想ホスト、Web サーバーをスキャンして既知の脆弱性や構成ミスを検出する、強力なオープンソース Web スキャナーです。

テストを実行する前に、インストールされている Web サーバーとソフトウェアを識別しようとします。

20. Linux アップデート

最後に重要なことですが、システム管理者は、オペレーティング システムからインストールされているパッケージやアプリケーションに至るまで、定期的なソフトウェア更新を実行して、最新のセキュリティ修正が適用されていることを確認する必要があります。

sudo apt update         [On Debian, Ubuntu and Mint]
sudo yum update         [On RHEL/CentOS/Fedora and Rocky Linux/AlmaLinux]
sudo emerge --sync      [On Gentoo Linux]
sudo pacman -Syu          [On Arch Linux]
sudo zypper update      [On OpenSUSE]    

私たちがあなたに提供したのはこれだけです。このリストは必要以上に短いです。そうお考えの場合は、以下のフィードバック フォームを使用して、読者に知ってもらう価値のあるツールをさらに共有してください。