2014.03.19 linux joshi_security_public
8 likes•2,888 views
2014年3月19日のLinux女子部第7回勉強会資料。 セキュリティのおさらい。
![影響範囲の調査(続き)
RPMパッケージでの調査
# rpm -q --changelog kernel
!
[0000000]はbugzillaのID
http://bugzilla.redhat.com/0000000
10
* Fri Jan 10 2014 Petr Holasek <pholasek@redhat.com> [2.6.32-431.5.1.el6]
- [net] sctp: fix checksum marking for outgoing packets (Daniel Borkmann) [1046041 1040385]
- [kernel] ptrace: Cleanup useless header (Aaron Tomlin) [1046043 1036312]
- [kernel] ptrace: kill BKL in ptrace syscall (Aaron Tomlin) [1046043 1036312]](https://image.slidesharecdn.com/2014-140320042938-phpapp02/85/2014-03-19-linux-joshi_security_public-10-320.jpg)
![TCPWrapper
libwrap.soにリンクされているバイナリで利用可能
lddで確認
/etc/hosts.[deny ¦ allow]で設定
通常、denyはALL : ALL
allowで許可
ALL: LOCAL
ALL: 192.168.1.
postfix: ALL
16
# ldd /usr/sbin/sshd | grep libwrap
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f031e925000)](https://image.slidesharecdn.com/2014-140320042938-phpapp02/85/2014-03-19-linux-joshi_security_public-16-320.jpg)
2014.03.19 linux joshi_security_public
- 6. そもそもエラータって何? エラータ 6 ソース SPEC ファイル エラータ コンパイルRPM ビルド バイナリ RPM パッケージ SRPM パッケージ パッチ
- 7. 種類 RHSA:Red Hat Security Advisory 今回のお話の中心はこれ RHBA:Red Hat Bug Advisory バグ・不具合の修正 RHEA:Red Hat Enhancement Advisory 新規機能、機能強化 7
- 9. 影響範囲の調査 RHSAにはCVEが付く yum-plugin-security # yum list-sec cves! yum-security(8) 9
- 10. 影響範囲の調査(続き) RPMパッケージでの調査 # rpm -q --changelog kernel ! [0000000]はbugzillaのID http://bugzilla.redhat.com/0000000 10 * Fri Jan 10 2014 Petr Holasek <[email protected]> [2.6.32-431.5.1.el6] - [net] sctp: fix checksum marking for outgoing packets (Daniel Borkmann) [1046041 1040385] - [kernel] ptrace: Cleanup useless header (Aaron Tomlin) [1046043 1036312] - [kernel] ptrace: kill BKL in ptrace syscall (Aaron Tomlin) [1046043 1036312]
- 11. 蛇足 https://rhn.redhat.com/rpc/api エラータの情報をxmlrpcで得られる(要アカ) JSONだともっと良いんだけどなぁ 11 {'errata_update_date': '2/12/14', 'errata_topic': 'Updated mysql packages that fix several security issues and one bug arennow available for Red Hat Enterprise Linux 6.nnThe Red Hat Security Response Team has rated this update as having moderatensecurity impact. Common Vulnerability Scoring System (CVSS) base scores,nwhich give detailed severity ratings, are available for each vulnerabilitynfrom the CVE links in the References section.n', 'errata_type': 'Security Advisory', 'errata_severity': 'Moderate', 'errata_notes': '', 'errata_synopsis': 'Moderate: mysql security and bug fix update', 'errata_references': 'https://access.redhat.com/security/updates/classification/#moderatenhttp://www.oracle.com/technetwork/ topics/security/cpujan2014-1972949.html#AppendixMSQLnhttp://dev.mysql.com/doc/relnotes/mysql/5.1/en/ news-5-1-73.html', 'errata_last_modified_date': '2014-02-12 13:20:29.0', 'errata_issue_date': '2/12/14', 'errata_description': 'MySQL is a multi-user, multi-threaded SQL database server. It consists ofnthe MySQL server daemon (mysqld) and many client programs and libraries.nnThis update fixes several vulnerabilities in the MySQL database server.nInformation about these flaws can be found on the Oracle Critical PatchnUpdate Advisory page, listed in the References section. (CVE-2014-0386,nCVE-2014-0393, CVE-2014-0401, CVE-2014-0402, CVE-2014-0412, CVE-2014-0437,nCVE-2013-5908)nnA buffer overflow flaw was
- 14. 不要なサービス 全部止めてから必要なものだけ動かす # chkconfig --list | awk '{print "service "$1" off"}' > stop_all.sh! # chkconfig hoged on! そもそも不要なパッケージはインストールしない 危険なサービス(telnet, ftp etc.)は利用しない 何かポート開いてない? 14 # netstat -tanp | grep LISTEN
- 15. ホストレベルのファイアウォール 中井さんの話を聞いちゃったから には設定せずにいられないはず というか、使ってますよね、普通。 iptables / ip6tables / ebtables 次はnftablesの時代が来ます 日経Linux2月号にちょろっと書 いた iptables / firewalld 15 8 2014.2 Nikkei Linux 「nftables」は、従来の「iptables」 や「ip6tables」などの置き換えを狙 ったものだ。Patrick McHardy氏 が2008年に単独で開発を始めたが、 数年間、開発が停滞していた。しか し、2012年から再開し、次期版のカ ーネル3.13で開発のメインラインに マージが予定されている。 nftablesの開発目的は、iptables やip6tablesの各種課題を解消する こと。具体的には、「カーネル空間 およびユーザー空間のコードの重複 によるメンテナンス性の低下」「パ ケットフィルタリングのルールが増 大した際の性能低下」「動的なフィ ルタリングが不可能」「ユーザー空 間の仕組みを修正するにはカーネル の変更が不可欠なこと」といった課 題を指す。 nftablesでは、ルールを記したテ ーブルをユーザーが定義する。この 定義を、netfilterのフックにアタッ チすることで、パケット処理を実施 する。カーネル空間とユーザー空間 の通信には「nfnetlink」ソケットが 使われ、ユーザー空間からはルール の追加(ADD)、削除(DELETE)、 ダンプ(DUMP)の3種類の操作の み可能だ。また、フィルタリングや ルーティング、 アドレス変換の ルールは、動作 中 に も 適 宜 変 更できる。 従 来 の 実 装 とnftablesの実 装を示すと図1 のようになる。 netfilter内にnftablesのモジュール が実装され、「libmnl」と「libnftabl es」を経由し、nftコマンドでルール を設定する。 最新のFedora 20では、「rawhi de」リポジトリーに「カーネル3.13」 「libmnl」「libnftables」がバイナリ パッケージとして用意されている。 これらをインストールし、nftコマ ンドのみをコンパイルして導入すれ ば、nftablesが使える(図2)。 nftコマンドには「ファイル」「コ マンドライン」「対話」の3つの実 行モードがある。図3では、IPv4の フィルターをファイルモードで有効 にした後、TCP80番ポートを宛先と するパケットをドロップするルール を2つのモードで設定している。 (レッドハット 藤田 稜) ルール増大による性能低下防止 稼働中にルールが変更可能 新しいパケットフィルター「nftables」が次期版のカーネル3.13にマージされ る予定だ。nftablesでは、フィルタリングルール増大による性能低下を防ぎ、 動的にルール変更ができるようになっている。なお、Fedora 20なら比較的 簡単にnftablesを試せる。 新パケットフィルター 「nftables」 Linuxレポート IPv4のフィルターを有効にする # nft -f nftables/files/nftables/ipv4-filter ❶コマンドラインモードの例 # nft add rule ip filter input tcp dport 80 drop # nft list table filter -a ❷対話モードの例 # nft -i nft> add rule ip filter input tcp dport 80 drop nft> list table filter ルール確認 図3 nftコマンド 「ファイルモード」「コマンドラインモード」「対話モード」の3つの実行モードがある。 ルール設定 ルール設定 ルール確認 $ su # yum install fedora-release-rawhide # yum-config-manager --disable fedora updates u pdates-testing # yum update yum kernel # yum install kernel-devel kernel-headers libmnl libnftables autoconf automake flex bison libmnl- devel libnftables-devel gmp-devel readline-deve l # yum-config-manager --enable rawhide # git clone git://git.netfilter.org/nftables # cd nftables # ./autogen.sh # ac_cv_func_malloc_0_nonnull=yes ac_cv_func_re alloc_0_nonnull=yes ./configure # make && make install # reboot 図2 nftablesの導入 Fedora 20にインストールする例 このマークで改行 図1 従来の実装とnftablesの実装 Fedoraで実装されているツール「firewalld」との関係も示した。なお、firewalld はnftablesには未対応。 system-config- firewall iptables (service) iptables(command) netfilter firewalld (daemon & service) firewall- config firewall- cmd nft(command) libnftables libmnl netfilter firewalld (daemon & service) nft_* 従来の実装 nftablesの実装 iptablesやip6tablesと の互換性を保てる
- 16. TCPWrapper libwrap.soにリンクされているバイナリで利用可能 lddで確認 /etc/hosts.[deny ¦ allow]で設定 通常、denyはALL : ALL allowで許可 ALL: LOCAL ALL: 192.168.1. postfix: ALL 16 # ldd /usr/sbin/sshd | grep libwrap libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f031e925000)
- 17. xinetd スーパーサービス systemdが代替可能 /etc/xinet.d/以下で個別サービスの設定 17 service tftp { disable = no socket_type = dgram protocol = udp wait = yes user = root server = /usr/sbin/in.tftpd server_args = -s /var/lib/tftpboot per_source = 11 cps = 100 2 flags = IPv4 } Connection Per Second で制御可能
- 18. 認証 パスワード PAM 18
- 22. ディスクの暗号化 LUKS:Linux Unified Key Setup-on-disk-format Anacondaでインストール時に暗号化 インストール後に暗号化 cryptsetupを利用 22
- 23. 通信の暗号化 telnet、ダメ、絶対! ssh / scp / sftpで VPN ipsec / xl2tpdで 23
- 25. SELinux chcon / restoreconする デフォルトのファイルのラベルを見てラベル貼る ポリシーに従ってラベルを貼り直す setseboolを活用する 一覧はgetsebool -a 25 # getsebool -a | grep httpd allow_httpd_anon_write --> off allow_httpd_mod_auth_ntlm_winbind --> off allow_httpd_mod_auth_pam --> off allow_httpd_sys_script_anon_write --> off httpd_builtin_scripting --> on httpd_can_check_spam --> off httpd_can_network_connect --> on ……
- 27. 宣伝 GPS:Global Professional Services コードレベルでの調査とか実装の手伝いとか GLS:Global Learning Services Red Hat Certified Engineerを始めとする実技を含む講 義・認定テスト セキュリティはRHCE + RHCSS http://jp-redhat.com/training/certification/#RHCSS ちょっと高いけど、受講したら絶対満足なはず! 27