[IT][勉強会] Linux女子部07 「firewalld&Linuxセキュリティ勉強会」に参加してきた。 #ljstudy

    Related Posts Plugin for WordPress, Blogger...
    Linux女子部07 「firewalld&Linuxセキュリティ勉強会」 - connpass /
    http://connpass.com/event/5259/

    RHEL 7から実装される予定であるiptablesの後継であるfirewalld、そして、改めてLinuxのセキュリティについて勉強する勉強会、Linux女子部07 「firewalld&Linuxセキュリティ勉強会」が渋谷で開催されたので参加してきました。

    以下に自分がメモした内容を書いておきます。聞き取りミス、書き取りミスがあるかもしれませんがご容赦ください。

    firewalld & Linuxセキュリティ勉強会

    場所
    東京都渋谷区桜丘町26番1号 (セルリアンタワー11階)

    firewalld
    講師
    レッドハット株式会社 中井さん
    • RHEL7 betaがベース
    • iptablesの復習から
    • itpablesの基礎
    • RHEL7 beta の入手の仕方
      • レッドハットへリクエストが必要
    • firewalld とは?
      • NICポートごとにFirewallを設置する機能を提供
      • デフォルトでゾーンが用意されている
      • 特定のゾーンに所属させることができる
      • drop, block, trustedは変更はしないでください(変更できてしまうけど)
      • それ以外のゾーンについては設定変更して使用可能
      • オレオレゾーンを作りたい場合は、所定のディレクトリ/etc/firewalldに置いて使うようにする
      • 条件によってはfirewalldが入らない場合があるが、yumで導入することは可能
    • firewall-cmd で操作していく
      • ポート番号ではなくサービス名で指定する
      • 各サービスは/usr/lib/firewalld/services/にファイルとして格納されている
      • 最初から用意されているものだけで満足しろ。それで満足できない場合は、XMLファイルを作成しろ、という精神
      • 定義ファイルは、ファイル名がサービス名、ICMPタイプ名に対応
    • NICポートに対するゾーンの適用
    • 設定変更はそのままでは保存してくれない。--permanentを追加することで起動時から設定が有効になる
    • --Permanentありなし両方を実行する
    • 寸断なくする場合は、firewall-cmd --reloadを利用する方法もある
    • 送信元IPのサブネットに対するゾーンの適用することも可能
    • その他に「Rich Language」を使用して、より詳細な条件でのフィルタリングを設定することができます。
      • manページを読んでください
    • 将来的にはD-BUSのAPIを経由してFirewalldを適切に利用するようにしていく方向
    • firewalldは、ほぼすべてのチェーンを利用していますので、すべてのチェーンに対する設定を追っていく必要があります。
    • Red Hat Enterprise Linux 7.0 Beta Security Guide
      • 3.5. Using Firewalls
      • https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/7-Beta/html-single/Security_Guide/index.html#sec-Using_Firewalls



    サーバセキュリティの基本を見直そう!
    講師
    レッドハット株式会社 藤田さん
    • 時間も限られているので当然浅く
    • レッドハットのドキュメント
      • http://docs.redhat.com/
      • セキュリティガイドは日本語版がある
      • 読むようにしましょう
      • FedoraのWikiもあるので読みましょう
    • 脆弱性のタイプ
      • RHELで扱う領域
    • エラータ
      • パッチってレッドハットは出したことはないよ
      • パッチは有償でも出していない
      • ソースコードに対するパッチを適用したバイナリ、rpmパッケージ。
      • エラータと呼ばれるドキュメントに紐付けられたrpmパッケージを出している
      • RHSA:redhat security advisary
        • セキュリティに関する。1,2営業日以内に対応
      • RHBA: bug advisary
        • バグ、不具合の修正に関する。マイナーバージョンでリリース。影響度が高い場合は非同期で出る場合もある
      • RHEA:Enhancement Advisary
        • 新機能、機能強化。まずまずマイナーバージョンでリリース
      • 重大度:Critical(1,2営業日), important, Moderate, Low
      • RHSAにはCVEが付く
      • yum-plugin-security:CVEで対応するものについては表示するようにする
      • 影響範囲の調査
        • rpm -q -changelog kernel
      • 蛇足
        • https://rhn.redhat.com/rpm/api(要アカウント)
      • repository
        • yum レポジトリが色々とあるけど・・・
        • 本番サーバに出所の分からないRPMはダメ、絶対
        • まずはRHEL公式
          • 新チャネルだけでなく、Optinalやsuplementaryなども探す
          • なければEPEL
    • トラフィック制御
      • 不要なサービス
        • 全部止めてから必要な物だけ動かす
        • そもそも不要なパッケージはインストールしない
        • 危険なサービス(telnet, ftp, etc)は利用しない
        • 何かポートは開いていないか?
        • minimalで導入するのも手
    • iptables/firewalld
      • ホストレベルのファイアウォール
      • iptables / ip6tables / ebtables
      • 次はnftablesの時代が来る?
    • TCPWrapper
      • libwrap.soにリンクされているバイナリで利用可能
    • xinetd
      • スーパーサービス
      • systemdが代替可能
    • 認証
      • パスワード
        • ちゃんとmkpasswdを使いましょう
        • expectパッケージが提供
        • 簡易チェッカー:cracklib-check
        • cracklibパッケージで提供
      • PAM:pluggable Athentication Module
    • 暗号化
      • ディスクの暗号化
        • LUKS
        • Anacondaでインストール時に暗号化
      • 通信の暗号化
        • Telnetダメ!
        • ssh / scp / sftp で
        • VPN
    • SELinux
      • RHはEnforcing状態でしかテストしていない
      • RHELに同梱されているソフトウェアはEnforcingで動くことが大前提
        • ISVが提供しているソフトウェアは知らない
      • chcon / restoreconする
        • デフォルトのファイルのラベルを見てラベルを貼る
        • ポリシーにしたがってラベルを貼り直す
        • setsebool / getsebool
    • 評価
      • Nessus 脆弱性スキャナー
        • 評価版ライセンスが利用可能
      • nmap ポートスキャナー
        • 外部からポートスキャンする
        • OSの種類を推測することも可能
    • GPS Global Professinal Services
      • コードレベルでの調査とか実装の手伝いとか
    • GLS Global Learning Services
      • 実技を含む講義テスト


    しかし、GMOのオフィスは綺麗でした。あとGMOのVPSdであるConohaのクーポン券をいただくことが出来たので、を考えてみようかと思います。
    GMOさん、マジGMO!




    Pagination

    Trackback

    Trackback URL

    http://kometchtech.blog.fc2.com/tb.php/1405-5e82f3fa

    Comment

    Post Your Comment

    コメント登録フォーム
    公開設定

    Utility

    Profile

    kometch

    Author:kometch
    なんちゃってエンジニアです。
    2009年10月から業務都合により大阪勤務になりました。
    2010年1月、HYBRID W-ZERO3を購入しました。
    2010年11月、HTC Desire HDを購入しました。
    2012年2月、都内の会社に転職しました。
    2012年5月、HTC One Xを購入しました。
    2012年8月、事情により休職しました。
    2012年8月、SONY Xperia SXを購入しました。
    2013年1月、一身上の都合により退職しました。
    2014年3月、都内の会社に就職しました。
    2016年8月、HPC系の会社に転職しました。

    Amazonほしい物リスト
    何か問題などありましたら、こちらまで。 Twitter:@kometchtech follow us in feedly

    カレンダー

    05 | 2017/06 | 07
    - - - - 1 2 3
    4 5 6 7 8 9 10
    11 12 13 14 15 16 17
    18 19 20 21 22 23 24
    25 26 27 28 29 30 -

    全記事(数)表示

    全タイトルを表示

    バロメーター

    カテゴリー

    カテゴリークラウド

    アーカイブ

    検索フォーム

    FC2カウンター

    現在の閲覧者数

    現在の閲覧者数:

    Amazon アフィリエイト

    スポンサードリンク

    Latvia Time

    IPv4/IPv6

    月間ページランキング

    ブログパーツ

    サイトランキング

    スポンサードリンク