サーバとしての用途だけでなく、デスクトップ環境でも無料で利用できるオープンソースのOSとして、Linuxは非常に魅力的です。ラズベリーパイなどのシングルボードコンピュータを利用して、プログラミングを学んだり、自宅サーバやお子さん向けの教育も楽しく進められる機会も増えています。今回はLinuxのセキュリティで知っておきたい基礎知識についてご説明します。
Linuxを学ぼうとする時、またはサービスのリソースや物理デバイスとして利用する時は、まずはLinuxが起動するか、GUIで扱えるかなどで悩むことが多いのではないでしょうか。GUI、デスクトップ環境が無事に起動した後は他のOSと同じようにブラウザをインストールしたり、FTPやメールクライアントなどを学ぶこともあるでしょう。
しかし、ネットワークに繋がっている状態なら、今一度root権限やユーザー設定など、本当の意味での基礎知識を確認することが大切です。最初に知っておきたい事柄について、ご紹介します。
Linuxにはユーザー設定があり、一番強い権限を持つのがrootです。一般的には常にroot権限で作業したりすることはありません。なぜなら、Linuxシステム内のファイルの閲覧・編集・削除、その他全てに対する権限があり、小さなミスでシステムそのものが動かなくなる可能性があるからです。rootシェルの無効化やttyの制限、不要なユーザーは極力削除、sudoを利用できるユーザーの見直しやパスワードに有効期限を設定するなどの対策を学んでおきましょう。Linuxに不慣れな場合ですと、rootにアクセス、ログインできなくならないように注意しましょう。
Linuxだけでなく他のOSでも言えることですが、システムやOS、ソフトウェアを最新の状態にすることはセキュリティの基礎と言えるでしょう。システムの不具合、脆弱性を悪用したサイバー攻撃は、せっかく修正パッチがあってもアップデートしていなければ効果がありません。アップデートの方法や、定期的に最新の情報をチェックする癖を付けたり、不具合があるソフトウェアの削除方法なども知っておくと良いでしょう。
Linuxは様々な形でログを残しています。不具合が起きた時や動作がおかしい時はセルフチェックできるようにすることも大切です。デーモンについても同様で、不要なサービスが勝手に動いていないかを把握することで、ウイルスに感染した時も気づける可能性があります。デーモンをチェックした時に利用していないものがあれば削除するなど、必要な機能のみを残し、不要な機能を排除すしましょう。可能な限り最小構成にするのもLinuxのセキュリティを高める有効な方法です。
Linuxにもウイルス対策ソフトがありますので、導入検討したほうが良いでしょう。Linuxをデスクトップ環境で利用するのであれば、ウイルス対策ソフトの導入を考えておきましょう。また、ファイアウォールについての知識も学んでおくことで、心配の種を少なくすることができます。
見落としがちなのがSSHやWi-Fiの設定です。SSHを利用していなければ無効化するほうが良いでしょう。また、Wi-Fiについてもワイヤレス機器の接続をしない場合や、アクセスポイントとして利用しなければ無効化しておくようにしましょう。
Linuxセキュリティ対策だけでなく、Webセキュリティ全般に言えることですが、既にパソコンやスマートフォンを利用されている方の多くが「自分がサイバー攻撃に遭うことはない」と考えています。悪意のある第三者は「無知な一般ユーザー」や「セキュリティ対策を意識しない個人」をサイバー攻撃の踏み台にしたり、個人情報を盗みやすい対象と考えています。それでは、どのような被害を受けてしまうのかチェックしておきましょう。
Linuxは設定や管理の仕方によっては、簡単にroot権限を奪われてしま可能性があります。rootが悪意のある第三者に奪われた場合、システムを自由に操作されてしまいます。
ある程度Linuxに慣れて、自宅サーバなどでWebページを構築、作成したとします。本人の知らないうちにスクリプトを仕込まれてしまい、別ページに誘導されることや、マルウェアを仕込まれて、感染者を増やす手伝いをしてしまうことも考えられます。
Linuxセキュリティは、自衛のために学び、意識することも重要ですが、他人の迷惑にならない為にも覚える必要があります。
Linuxセキュリティで知っておきたい基礎知識についてご説明しました。インターネットを安全に快適に利用するために、Linuxのセキュリティについて少しずつ学んでいきましょう。
webセキュリティ対策としておススメなのが「WAF」の導入です。
WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。
クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。
WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。
クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。
ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
(2018/6/6 執筆、2019/11/21修正・加筆)
この記事と一緒に読まれています
WordPressのセキュリティ対策で最低限抑えておきたいポイント
2019.10.02
セキュリティ対策
WordPressの脆弱性による被害事例と今すぐできる対策とは?
2019.06.03
セキュリティ対策
2019.09.10
セキュリティ対策
2020.02.14
セキュリティ対策
クラウド型WAFとアプライアンス(オンプレ)型WAF タイプ毎の違い
2020.03.09
セキュリティ対策
2019.12.08
セキュリティ対策