Linux（リナックス）資格王

　Lesson11では、Linuxのネットワークセキュリティの設定に関してお伝えします。ネットワークセキュリティでは、Linuxサーバで稼動している各サービスに対するセキュリティ設定をすることでアクセス制限をかけることができます。

　ネットワークセキュリティは、多少難しく感じますので苦手にされる方も多いようですが、とても重要な部分ですのでしっかりと理解を深めておく必要があります。

図１　TCP_wrapper

　Linuxで動作しているサービスへのアクセス制限として用いる手法は、大きく分けて２種類あります。１つがtcp_wrapper。もう１つがNetfilterになります。とぢらもそれぞれ特徴がありますが、サービスによって使い分けるのが一般的です。まずはそれぞれの特徴から見ていきます。

【TCP_wrapper】
　tcp_wrapperでは主にクライアントに対するアクセス制限に利用します。tcp_wrapperで制御できるサービスはlibwrap.soに対応するサービスとなります。
対応しているかどうかは下記コマンドで確認することが出来ます。

例）sshdがlibwrap.soに対応しているか確認する。
ldd `which sshd` | grep libwrap
　or
strings `which sshd` | grep libwrap

　実際のtcp_wrapperで制限をかける設定は、/etc配下のhosts.allowとhosts.denyの２つのファイルで実施します。
アクセスを許可する時はhosts.allow、逆に拒否する場合はhosts.denyに記述します。注意点としては、許可する設定のhosts.allowが先に読まれますので、仮にあるサービスに対してhosts.allowで全てを許可、hosts.denyで一部のホストを拒否としても、先に許可の方が読まれてしまいますので、拒否の設定は無効となってしまいます。

　設定例）192.168.0.0～255からのtelnetdアクセスを許可する。
許可のためhosts.allowに記述する。

in.telnetd:　192.168.0.

　192.168.0.0～255を指定する場合、192.168.0.となっていることに注意する。192.168.0.0/24のような記述方法は無効。

　Netfilterは、tcp_wrapperに比べ下位のレイヤーでアクセス制御が出来るため、処理速度が速くなる特徴があります。
設定はGUIツールのsystem-config-seculity-levelで設定する事が出来ますが、あくまでも最低限の設定しかできないため使用はあまり奨められていません。

　Netfilterの設定には、iptablesコマンドの使用が推奨されます。

　iptablesコマンドで設定した内容を反映させるには、service iptables saveとする必要があります。
RHCEの試験対策としては、iptablesでのアクセス拒否は問題で指定された部分のみを拒否する設定を心がけましょう。あるサービスを許可し、それ以外は拒否という設定をして、誤った設定をしてしまうと全てのアクセスが拒否されてしまう可能性がありますので注意が必要です。

当講座はRedHatEnterpriseLinuxの資格取得に向けた講座ですが、試験に関する内容に関しては一切記載しておりませんので、予めご了承下さい。

年々増えつづける労務問題、さらに破綻しつつあるとさえ言われる年金問題など企業そして雇用される人々の不安がなくなることはありません。安心して経営できる社会、安心して働く事の出来る会社を作っていかなければ日本の社会全体が萎縮してしまうのではないでしょうか？そんな問題を解決するのが社会保険労務士（社労士）の役割です。