俺でも解るIPTABLESパケットフィルタリングとは: パケットのヘッダー部分を見て、 設定した条件(送信元IPアドレスや宛先IPアドレス、ポート番号など)と一致するかどうかを判 定して、 一致する場合は設定したアクション(転送、破棄、アドレス書き換えなど)を行うものである。 アドレス変換とは: パケットのヘッダー部分を見て、設定した条件と一致するかどうかを判定し、 一致する場合はヘッダーのIPアドレスやポート番号を書き換えるものである。
あなたのLinuxマシンをセキュアにするために知っておくべきiptablesのルール10選
文:Jack Wallen(Special to TechRepublic) 翻訳校正:村上雅章・野崎裕子 2009-03-03 08:00 iptablesをマスターするには時間がかかるものの、セキュリティに関する基本的なニーズを満たすことのできるいくつかのルールを知っておくだけで、あなたのLinuxシステムのセキュリティを向上させることができる。本記事では、その手始めとなる重要なルールを解説する。 iptablesは、Linuxマシンをセキュアにするための強力なツールだ。とは言うものの、その機能の多さには圧倒されてしまいがちである。そして、コマンドの構造をしっかりと理解し、マシンのどの部分をどのようにセキュアにすべきかを把握した後であっても、ややこしいことに変わりはない。しかし、iptablesの良いところは、極めて広いその適用範囲にある。このため、iptablesのルールのいくつかを
Linux/Unixのセキュリティ sudo vi/lessなどを禁止するときの対応策 sudo edit, sudo -e
セキュリティのためsudoコマンドを利用して、オペレーションを することがあると思います。このときにsudoersで実行可能な コマンドを限定することで、さらに安全になります。 そこで、出てくるのが、 sudo vi や sudo less がしたいとか 言われたりします。 sudo viを許可するとどうなりますか? viコマンドは、外部コマンドを実行することができるため、 sudo viで起動したroot権限を持つviは、root権限でコマンドを 実行することができます。viからコマンドが起動されるため、 sudoコマンドの設定の影響を受けません。 ようするに、何もかも許しているのとなんら変わりません。 lessも同様にコマンドを実行することができます。 sudo less file で実行したlessコマンドからcshを起動すれば、 root権限のシェルが起動されます。 このような任意
ユーザーの実行権限を柔軟に割り当てるsudoのリスクとメリット
使用上の注意 sudoの設定で注意すべき点は、想定の範囲外の権限を与えないようにすることである。当然ながらsuの実行を許してしまうと、実質的にそのユーザーにroot権限を与えたのと同じになってしまう。ある意味こうしたものは明白な設定ミスと見なせなくもないが、それよりも厄介なのは、ある程度の経験を積まないと気づきにくい形で微妙な罠が隠されていることだ。例えば「sudo less」を実行できるユーザーが!コマンドを使うと、そのほかのコマンドをroot権限で実行可能となってしまう場合がある(何故こうしたリスクが生じるかがピンと来ない読者は、lessのmanページにあるこの問題の解説を参照してほしい)。いずれにせよコマンドへのアクセス設定に関しては“転ばぬ先のつえ”的な姿勢で対処するのが肝要であり、SANS Instituteなどのセキュリティ問題を扱ったサイトを参考にして、この種のリスクにおいて
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
