侵入されても, すぐ気付けばいい。 ハード・ディスクのバックアップをマメに取っていれば, ファイルを破壊されてもすぐ元に戻せるだろう。 最悪なのは侵入に気付かず, クラッカーたちの集会場兼, 違法ソフトウエアの闇取り引き市場兼, 他のサイトへ攻撃を仕掛ける前線基地となってしまうことである。
集会場くらいならマシンが少々重くなるくらいの被害で済むかもしれないが, 闇取り引きなどに使われてしまうと共犯者として逮捕されかねないし, 逮捕されなかったとしてもマシンを証拠品として押収されてしまう。 前線基地として使われたら被攻撃サイトから抗議メールが殺到してしまうだろう。 場合によっては莫大な損害賠償を求められることがあるかも知れない。
ファイルが侵入者によって書き換えられていないか調べるためのツールが tripwireである。 検査対象のファイル/ディレクトリごとに, 検査方法を指定できる。 例えば, 重要で書き換えが起こるはずのないファイルは, ファイルのハッシュ値を記録しておき, ハッシュ値が変化したら警告を出す, またlog のように常にサイズが増え続けるファイルは, サイズが減った時のみ警告を出すなどの設定が可能である。
毎日tripwire で検査した結果を管理者あてにメールで送るようにしておくと 良いだろう。 何人かで共同管理しているマシンでは, 他の管理者が何か変更を行なったか知るための手段としても使える。
言うまでもないことだがセキュリティに完全はなく, tripwire もまた万全ではない。 侵入者が tripwire のことを熟知している場合, 侵入の痕跡を消されてしまう可能性は残る。 特定のツールを過信せず, 総合的に監視することが重要である。
(仙石浩明)
本稿は日経Linux 創刊 2 号 (1999 年 11 月号) に掲載された、 特集 2: Linux サーバのセキュリティを高める, PART 2「フリーの定番ソフトを利用した 4 段階 Linux サーバ防御法 ---4 つの砦でクラッカーを撃退せよ---」を日経BP 社の許可を得て転載したものです。
Copyright(C)1999 by 仙石浩明 <sengoku@gcd.org>
無断転載を禁じます