LinuCレベル3 303試験の例題と解説

326.1ホストの堅牢化

LinuCレベル3 303試験の試験範囲から「326.1 ホストの堅牢化」についての例題を解いてみます。

このテーマでは、Linuxにおけるセキュリティ強化のための仕組みや設定方法を把握しておきましょう。

■トピックの概要

<326.1 ホストの堅牢化>
重要度 3

<説明>
一般的な脅威からLinuxが稼働するコンピュータをセキュアにすることができることが求められる。

<主要な知識範囲>
・BIOSとブートローダー(GRUB 2)強化の設定
・無用なソフトウェアとサービスの無効化
・セキュリティ関連のカーネル設定、特にASLR、Exec-Shield およびIP / ICMP の設定のためのsysctlの使用
・リソース使用量の制限
・chroot 環境での作業
・不要な機能権限の削除
・仮想化のセキュリティの有意性についての知識

<重要なファイル、用語、ユーティリティ>
・grub.cfg
・chkconfig, systemctl
・ulimit
・/etc/security/limits.conf
・pam_limits.so
・chroot
・sysctl

・/etc/sysctl.conf

■例題

以下のsysctlのパラメータのうち、ASLR・Exec-Shieldに関するものを2つ選択せよ。

1. net.ipv4.ip_forward
2. kernel.exec-shield
3. net.ipv4.icmp_echo_ignore_all
4. kernel.randomize_va_space

※この例題は実際の試験とは異なります。


解答と解説

答えは「2. kernel.exec-shield と 4. kernel.randomize_va_space」 です。

ASLRやExec-Shieldは、バッファオーバーフロー(意図的にメモリ領域のバッファが溢れる状態を作り、任意のコードを実行可能となる)を防止するためのLinuxカーネルのセキュリティ機能です。

ASLRやExec-Shieldを有効化するには、sysctlのkernel.exec-shieldとkernel.randomize_va_spaceという2つのパラメータを使用し、それぞれのパラメータの値を「kernel.exec-shield = 1」・「kernel.randomize_va_space =2」とすることで有効になります。
※値が0の場合は、無効化となります。

以下の操作例のように、/proc/sys/kernel/exec-shield・/proc/sys/kernel/randomize_va_spaceファイルに値を格納しても同じ結果が得られます。

-------

[root@CentOS6 ~]# echo 1 > /proc/sys/kernel/exec-shield
[root@CentOS6 ~]# cat /proc/sys/kernel/exec-shield
1
[root@CentOS6 ~]# echo 2 > /proc/sys/kernel/randomize_va_space
[root@CentOS6 ~]# cat /proc/sys/kernel/randomize_va_space
2
 
また、恒久的に設定を使用する場合は/etc/sysctl.confに設定を追記し、再起動を行うか、sysctl –pを使用して即時反映させます。

なお、net.ipv4.ip_forwardはLinuxでルーティングを有効化するパラメータ、net.ipv4.icmp_echo_ignore_allはICMPリクエストへのリプライを実施しないよう設定するパラメータとなります。

■例題作成者・文責
鯨井 貴博 氏(登録インストラクター、LPI-Japanアカデミック認定校 Zeus IT Camp)
※上記の解説とその内容については、例題作成者の監修・文責です。
ページトップへ