Linux メモ (Linuxデスクトップをセキュアにする10の方法)

Security Linux

Linuxデスクトップをセキュアにする10の方法
http://japan.zdnet.com/article/20375413/

#1:スクリーンロックとログアウトは重要である

 多くの人々は、Linuxデスクトップがマルチユーザー環境であるということを忘れている。マルチユーザー環境ということは、あなたがデスクトップからログアウトした後、他の人がログインできるということである。このことはつまり、誰か他の人があなたのデスクトップを使用できるということだけでなく、作業を終えた際にあなたがデスクトップからログアウトできる(そしてそうするべきである)ということも意味している。もちろん、あなたにできることはログアウトだけではない。あなたしかそのシステムを使わないというのであれば、ログアウトの代わりにスクリーンロックを行うようにすることもできる。スクリーンロックを行うということは、パスワード入力を行わなければ再びデスクトップを使うことができないということを意味している。ログアウトとの違いは、スクリーンロックであればアプリケーションを稼働させたままにしておくことができるという点である。つまり、スクリーンロック時に稼働していたプログラムはスクリーンロック中も稼働し続け、スクリーンロックを解除した時点でも稼働しているというわけだ。これでLinuxデスクトップは、安全かつセキュアなものになるというわけである。

#2:ファイルやフォルダを隠すことは簡単な対策となる

 Linuxの世界では、ファイル名やフォルダ名を「.」で開始することで、それらを表示させないようにすることができる。つまりファイル閲覧ソフトウェアのファイル一覧では、「test」というファイル名は表示されるが、「.test」というファイル名は表示されない。こういったファイルやフォルダは、「ls -a」というコマンドを実行すれば表示されるが、ほとんどの人たちはそういったことを知らないのだ。このため、同僚に見られたくないファイルやフォルダがあるのであれば、ファイル名やフォルダ名の先頭にピリオドを付加すればよいということになる。こういったことを行うには、コマンドラインから「mv test .test」といったコマンドを入力すればよい。

#3:強固なパスワードが不可欠である

 Linux PCにおいて、あなたのパスワードは何よりも重要な黄金の鍵だと言える。しかし、そのパスワードを他人に漏らしたり、脆弱なパスワードを使用している場合、あなたの黄金の鍵は皆の黄金の鍵となってしまうおそれがある。そして、あなたがUbuntuのようなディストリビューションを使用している場合、Fedoraなどを使用している場合に比べると、そのパスワードによって格段に広範なアクセスが許されてしまうようになるはずだ。このため、パスワードは強固なものにしておかなければならない。なお、利用可能なパスワード生成器は(Automated Password Generatorを初めとして)数多くある。

#4:ファイル共有プログラムには危険がつきまとう
 多くのLinuxユーザーがファイル共有を行っていることは私も知っている。あなたが家庭でそのリスクを冒したいというのであれば、それはあなたの判断である。しかし職場においては、あなた自身(あるいはあなたの会社)が訴訟対象となる可能性を開くだけではなく、あなたの仕事用PCに保存されている機密データにアクセスしようとしている他のユーザーに対してその入り口を開いてしまうことにもなる。このため、ファイル共有ツールは原則としてインストールすべきではないのである。

#5:定期的にアップデートを行うことは良い習慣である

 LinuxWindowsとは違っている。Windowsの場合、セキュリティアップデートはMicrosoftがリリースしない限り入手できない(それには何カ月もかかる可能性がある)。これに対してLinuxの場合、セキュリティ上の欠陥が発見されて数時間、あるいは数十分以内にセキュリティアップデートを入手することができる。また、KDEGNOMEではいずれも、パネルに登録できるアップデート用のアプレットが用意されている。私はいつも、アップデートがリリースされた時点でそのことが通知されるよう、そういったアプレットを稼働させておくことを勧めている。セキュリティアップデートを先送りにしてはいけない。セキュリティアップデートは、それなりの理由があるからこそリリースされるのだ。

#6:ウイルス対策ソフトをインストールすることはLinuxでも有益である

 あなたが信じようと信じまいと、ウイルス対策ソフトはLinuxにおいても必要である。もちろん、ウイルスが「あなたの」Linuxマシン上で問題を引き起こす可能性はほとんどない。しかしあなたが、Windowsマシンを使用する他の人に宛てて電子メールを転送する場合、問題が引き起こされることもあるのだ。優れたウイルス対策ソフト(ClamAVなど)を用いることで、あなたのマシンから送信される電子メールには、後になってあなた(あるいはあなたの会社)を悩ませる可能性のある厄介なものが一切含まれていないということを保証できるようになるわけである。

#7:SELinuxというものが存在するのには理由がある
 SELinux(Security-Enhanced Linux)は米国家安全保障局NSA)によって開発された。それだけ言えば十分ではないだろうか?SELinuxでは、アプリケーションに対するアクセス制御をロックダウンできるようになっている。そして、それは非常にうまく機能するのだ。もちろん、SELinuxを使用することの代償を支払わなければならないこともある。場合によっては、システムのパフォーマンスが低下することもあるだろう。あるいは、インストールに苦労するアプリケーションに遭遇することもあるだろう。しかし、SELinux(あるいはApparmor)を採用することで得られるセキュリティ上の安心感は、こういった代償を払っても十分余りあるはずだ。なお、Fedoraのインストール中に、SELinuxを有効にすることができる。

#8:/homeは独立したパーティションに作成する方が安全である。
 Linuxのデフォルトインストールでは、/homeがシステムのルート直下に作成されるようになっている。もちろん、それでも問題はないが、1)それが標準となっているため、あなたのマシンに侵入した人は、あなたのデータが保管されている場所を正確に知っているということになり、2)マシンが壊れてしまった場合、あなたのデータは失われてしまう可能性がある。これらの問題を解決するには、/home以下を他のハードディスクあるいは他のパーティションに配置するという手がある(/homeのみを独立したパーティションに配置する)。これは心臓の弱い人には向かない作業であるものの、あなたがデータの安全性について強く懸念している場合には採用する価値のある策である。

#9:非標準のデスクトップを使用することには価値がある

 標準的な地位を確立していないデスクトップ(EnlightenmentBlackbox、Fluxboxなど)を採用することで、ルックアンドフィールが一新されるだけではなく、意図された用途以外では簡単に使用できないようにもなる。インターネットの閲覧さえできればいいマシンが必要になった時、私はそのマシンにFluxboxを導入した。その方法とは?簡単だ。使用したいアプリケーションのマウスメニュー(もしくはデスクトップアイコン)を1つ作成するだけだ。これだけで、コマンドラインに戻る方法(ログアウトするか、Ctrl-Alt-F*を押下する(*は現在使用しているデスクトップ以外の番号))を知らないユーザは、提供されているアプリケーション以外のものを起動することができなくなるはずである。大半のユーザーはこういったデスクトップの使用方法を知らないため、あなたのファイルにアクセスする方法など見当もつかないことだろう。これはシンプルな疑似セキュリティだと言える。

#10:サービスを停止することは最善の策である
 これはデスクトップマシンであり、サーバではない。ではなぜhttpdやftpd、sshdといったサービスを稼働させているのだろうか?そういったものはあなたにとって不要なものであるうえ、(あなたがロックダウンさせる方法を知っていない限り)セキュリティリスクにしかなり得ないはずである。このため、そういったものを稼働させてはいけないのだ。/etc/inetd.confファイルをチェックし、不要なサービスがすべてコメント化されていることを確認しておくべきである。

シンプルだが効果的

 あなたにとって、上記の内容はただの常識に思えたかもしれない--しかし、今まで思い付かなかったところにもセキュリティを向上させる鍵があると気付かれたことだろう。そして、もしもあなたがLinuxを使い始めてまだ間もないというのであれば、これらのヒントは、あなたのLinuxエクスペリエンスを優れたものにする手がかりとなるはずである。