ドキュメントほとんどのLinuxディストリビューションは、セキュリティアップデートのアナウンスメント用のメーリングリストサービスと、システムにアップデートを適用するためのツールを提供しています。Linux特有のセキュリティ問題は、Linuxsecurity.comで報告されています。
更新は継続的なプロセスなので、ほぼ毎日の習慣にする必要があります。
10.5.4. ファイアウォールとアクセスポリシー
10.5.4.1. ファイアウォールとは何ですか?
前のセクションでは、Linuxのファイアウォール機能について既に説明しました。ファイアウォールの管理はネットワーク管理者の業務の一つですが、ファイアウォールについていくつか知っておくべき点があります。
ファイアウォールとは、私たちと外界、特にインターネットとの間に保護壁として機能するものを指す曖昧な用語です。ファイアウォールは、この機能を提供する専用システムや特定のアプリケーションを指す場合もあります。また、ハードウェアとソフトウェアの様々な組み合わせを含むコンポーネントの組み合わせを指す場合もあります。ファイアウォールは、特定のシステムまたはネットワークへの出入りを許可するものを定義する「ルール」に基づいて構築されます。
不要なサービスを無効化した後、必要最低限の接続のみを許可するように、承認済みのサービスを制限します。例えば、在宅勤務の場合、オフィスと自宅間の特定の接続のみを許可し、インターネット上の他のマシンからの接続はブロックする必要があります。
10.5.4.2. パケットフィルタ
第一防衛線は パケットフィルターは、IPパケットの内容を調べ、その内容に基づいて判断を下すことができます。最も一般的なのはNetfilterパッケージで、 iptables Linux 用の次世代パケット フィルターであるコマンド。
新しいカーネルで最も注目すべき機能強化の1つは、 ステートフルインスペクション この機能では、パケットの内容を伝えるだけでなく、パケットが新規または既存のパケットに属しているか、または関連しているかを検出します。
接続。
Shoreline Firewall(略してShorewall)は、Linuxの標準ファイアウォール機能のフロントエンドです。詳細については、Netfilter/iptablesプロジェクトページをご覧ください。
10.5.4.3. TCPラッパー
TCPラッピングはパケットフィルターとほぼ同じ効果をもたらしますが、動作は異なります。ラッパーは実際に接続要求を受け入れ、設定ファイルを調べて接続要求を受け入れるか拒否するかを決定します。ネットワークレベルではなく、アプリケーションレベルで接続を制御します。
TCPラッパーは通常、 しねっと ホスト名とIPアドレスに基づくアクセス制御を提供します。さらに、これらのツールには、簡単に設定できるログ記録機能と使用状況管理機能も含まれています。
TCP ラッパーの利点は、接続中のクライアントがラッパーが使用されていることを認識せず、保護対象のアプリケーションとは別に動作することです。
ホストベースのアクセスは、 ホスト.allow および ホスト.拒否 ファイル。詳細については、TCPラッパーのドキュメントファイルを参照してください。 /usr/share/doc/tcp_wrappers[- /] or /usr/share/doc/tcp また、例が記載されているホストベースのアクセス制御ファイルのマニュアル ページにも記載されています。
10.5.4.4. プロキシ
プロキシは様々な機能を実行できますが、そのすべてがセキュリティと密接に関係しているわけではありません。しかし、仲介役であるという事実から、プロキシはアクセス制御ポリシーの適用、ファイアウォールを介した直接接続の制限、プロキシの背後にあるネットワークがインターネットにどのように見えるかの制御などに適しています。
プロキシは通常、パケットフィルタと組み合わせて使用されますが、単独で使用される場合もあります。プロキシは、より高度な制御を提供します。詳細については、ファイアウォールHOWTOまたはSquidのウェブサイトをご覧ください。
10.5.4.5. 個々のアプリケーションへのアクセス
サーバーによっては独自のアクセス制御機能を備えている場合があります。一般的な例としては、Samba、X Window、Bind、Apache、CUPSなどが挙げられます。提供したいサービスごとに、どの設定ファイルが適用されるかを確認してください。
10.5.4.6.ログファイル