Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SCSAから学ぶセキュリティ管理
Search
Masanori KAMAYAMA
February 06, 2025
Technology
380
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
SCSAから学ぶセキュリティ管理
Masanori KAMAYAMA
February 06, 2025
More Decks by Masanori KAMAYAMA
See All by Masanori KAMAYAMA
ルクソールとツタンカーメン
masakamayama
1
1.4k
Microsoft Azure Well-Architected Framework でセキュアに
masakamayama
1
860
Other Decks in Technology
See All in Technology
Hatena Engineer Seminar 37 jj1uzh
jj1uzh
0
420
AIをフル活用してオンコール機能のプロトタイプを2日で作った話 / Building an AI-Powered On-Call Prototype in Just Two Days
nari_ex
0
170
AIエージェントとPhysical AIが拓く製造業の変革(ハノーバーメッセリキャップ)
iotcomjpadmin
0
210
打造你的 AI 工作流:Agent Skill + MCP 實戰工作坊
appleboy
0
480
ご挨拶「10周年を迎える共創ラボのこれまでとこれから」
iotcomjpadmin
0
180
AWS Summit 2026で見えたSIerにとっての Amazon Quickの位置づけ
maf_0521
0
160
デジタル・デザイン:次の50年を描く「進化する青写真」
y150saya
0
800
そのタスクオンスケですか?
poropinai1966
0
120
“ID沼入口” - 基本とセキュリティから始める、考え続けるためのID管理技術勉強会 告知&イントロ
ritou
0
380
「ビジネスがわかるエンジニア」とは何か?
ryooob
0
490
5分でわかるDuckDB Quack
chanyou0311
4
310
AWS Blocks を触ってみた/first-tach-aws-blocks
fossamagna
2
140
Featured
See All Featured
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.4k
A Guide to Academic Writing Using Generative AI - A Workshop
ks91
PRO
1
340
Fantastic passwords and where to find them - at NoRuKo
philnash
52
3.8k
Chasing Engaging Ingredients in Design
codingconduct
0
230
Claude Code のすすめ
schroneko
67
230k
Why Our Code Smells
bkeepers
PRO
340
58k
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
uxyall
0
340
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
162
16k
Fashionably flexible responsive web design (full day workshop)
malarkey
408
66k
Build your cross-platform service in a week with App Engine
jlugia
234
18k
The SEO identity crisis: Don't let AI make you average
varn
0
510
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
konakalab
0
480
Transcript
SCSAから学ぶセキュリティ管理 釜山 公徳 (KAMAYAMA Masanori), SCSA 日本クラウドセキュリティアライアンス 運営委員 兼 クラウドセキュリティWGリーダー
はじめに守りたいモノを定義する。 セキュリティは投資である。
SCSAとは • Sun Certified System Administrator for Solaris の略称 •
Solaris管理者の登竜門ともいえる認定資格 3 皆さん、 当然もってますよね?
None
インフラエンジニアやTAM、セキュリティリサー チャー、金融証券検査官、エバンジェリスト等を経 て、現在セキュリティアナリストとして従事。 外部活動の実績として、FISC有識者会議、日本ク ラウドセキュリティアライアンス、CompTIA等の 外部団体での活動実績あり。また、日経新聞社など のメディアからの取材対応、技術誌への寄稿なども。 5 自己紹介 ✓
2018年3月14日- NISC あなたの守りたい「モノ」は何ですか?ど うやって守りますか? ✓ セールスフォース利用企業で情報流出設定不備が盲点- 日本経済 新聞(nikkei.com) ✓ 特集公衆Wi-Fiは危険がいっぱい?! パスワードの盗聴を実験して みた|CiNii Research
インフラエンジニアやTAM、セキュリティリサー チャー、金融証券検査官、エバンジェリスト等を経 て、現在セキュリティアナリストとして従事。 外部活動の実績として、FISC有識者会議、日本ク ラウドセキュリティアライアンス、CompTIA等の 外部団体での活動実績あり。また、日経新聞社など のメディアからの取材対応、技術誌への寄稿なども。 6 自己紹介 ✓
2018年3月14日- NISC あなたの守りたい「モノ」は何ですか?ど うやって守りますか? ✓ セールスフォース利用企業で情報流出設定不備が盲点- 日本経済 新聞(nikkei.com) ✓ 特集公衆Wi-Fiは危険がいっぱい?! パスワードの盗聴を実験して みた|CiNii Research 主なSolarisの経験 • インフラの運用保守 • Solarisの導入構築 主な保有資格 • SCSA • JSAワイン検定ブロンズ/シルバー • 第三級/第四級アマチュア無線技士 • カラーコーディネーター検定3級 • パターンメーキング技術検定
私のSun関連グッズ © 2010-2024 Cloud Security Alliance Japan Chapter 7
SUN教科書Solaris 10の章立て 第1部 / 試験番号310-200 1. UNIXオペレーティングシステム 2. Solaris 10のインストール
3. システムのブートとシャットダウン 4. ファイルシステムの管理 5. ディスクの管理 6. ユーザーの管理 7. セキュリティの管理 8. ネットワークプリンタおよびシステム プロセスの管理 9. システムのバックアップとリストア 第2部 / 試験番号310-200 10. Solarisネットワーク環境 11. ネームサービスの管理 12. 仮想ファイルシステムとコアダンプの 管理 13. ストレージボリュームの管理 14. アクセス制御とシステムメッセージン グの管理 15. 高度なインストールの実行 © 2010-2024 Cloud Security Alliance Japan Chapter 8
システムアクセスの監視 パスワード管理 • logins –p • パスワード未設定のアカウントを確認 • /etc/default/passwd •
パスワードに関するデフォルトの設定値を設定 • パラメーター • HISTORY:パスワード履歴数 • MAXWEEKS:有効期限の最大期間 • MINWEEKS:変更可能になる最小期間 • PASSLENGTH:最小文字数 • WARNWEEKS:パスワード失効前の警告表示期間 • passwd <username> [option] • d:パスワードを削除 • f:次回ログイン時にパスワード変更を強制する • l:アカウントをロックする • n:パスワード再設定の最低日数を指定 • s:パスワードアトリビュートを表示 • w:パスワード失効の警告 • z:パスワード変更の最大日数を指定 ログイン管理 • who • ログイン中のユーザーを確認 • オプション • b:前回のリブート時刻表示 • d:期限切れプロセスの表示 • H:出力に見出しを表示 • l:ログイン待ち状態にあるプロセスを表示 • q:ログイン中のユーザー数とユーザー名のみ表示。その他のオプ ションは無視される • r:ランレベルを表示 • last • /var/adm/wtmpxファイル(ログインログアウトを記録)の内容を 表示 • /var/adm/loginlog • ログインが失敗した場合に記録 • touch /var/adm/loginlogといったコマンドで、事前にファイルを 作成しておく必要がある。 • ログイン履歴を全部記録したい! • /etc/default/login に”RETIRE=1”を追記する! © 2010-2024 Cloud Security Alliance Japan Chapter 9
システムセキュリティの確立 ユーザーの切り替えとセキュリティ の確立 • su • switch user • Rootから他のユーザーにスイッチす
るとパスワードが求められない。 スーパーユーザーでのログイン監視 • suコマンドの使用ログ • /var/adm/sulog:デフォルト • /etc/default/su:設定ファイル • エント リー:”SULOG=/var/adm/sulog” • スーパーユーザーのアクセス制限 • /etc/default/login:設定ファイル • エント リー:”CONSOLE=/dev/console” • CONSOLEの値を空欄にすると、root でのローカルログインができなくなる。 © 2010-2024 Cloud Security Alliance Japan Chapter 10
システムセキュリティの制御 ftpアクセスの制限 • /etc/ftpd/ftpusers • /etc/ftpd/ftphosts • allow hogehoge 10.0.100.100
1 • deny gbush 10.0.100.100 • /etc/shells • シェルを指定 .rhostsファイルに起因する巨大なセ キュリティリスク • $HOME/.rhosts • ホスト名とユーザー名のペア • 記載されているもののみログイン 可 • パスワードが要求されない • rhostsの無効化 • /etc/pam.confの pam_rhosts_auth.so.1をコメン ト © 2010-2024 Cloud Security Alliance Japan Chapter 11
システムセキュリティの制御 セキュアシェルの基礎 • sshdの起動 • /lib/svc/method/sshd • sshdの設定 • /etc/ssh/sshd_config
© 2010-2024 Cloud Security Alliance Japan Chapter 12
データへのアクセス制御 パーミッション、所有権、グループメ ンバーシップ • chgrp • グループ所有者を変更 • chmod •
パーミッションを変更 • chown • 所有者を変更 • ls • ファイルの情報を表示 特殊ファイルパーミッション (setuid、setgid、スティッキービット) © 2010-2024 Cloud Security Alliance Japan Chapter 13 • setuidパーミッション • 実行ファイルが起動ユーザーではなく所有者とし てプロセスが表示 • setgid • setuidのグループ版 • setuidとsetgidのセキュリティリスク • 所有者がrootの場合、通常rootのみが可能なファ イルに対し、実行ファイルを介してアクセスでき るようになる • スティッキービット • 所有者、特権ユーザーのみが削除可能になる • /tmpなどのパブリックディレクトリにある他のユー ザーのファイル削除を防止できる • chmodで設定 r 読み取り w 書き込み x 実行 - 拒否
おまけ 最近のSolarisの脆弱性 CVE-2023-22003 • Vulnerability in the Oracle Solaris product
of Oracle Systems (component: Utility). • Supported versions that are affected are 10 and 11. • Easily exploitable vulnerability allows unauthenticated attacker with logon to the infrastructure where Oracle Solaris executes to compromise Oracle Solaris. • Successful attacks require human interaction from a person other than the attacker. • Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle Solaris accessible data. • CVSS 3.1 Base Score 3.3 (Integrity impacts). CVSS Vector: (CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N). CVE-2024-20999 • Vulnerability in the Oracle Solaris product of Oracle Systems (component: Zones). • The supported version that is affected is 11. • Easily exploitable vulnerability allows high privileged attacker with logon to the infrastructure where Oracle Solaris executes to compromise Oracle Solaris. • While the vulnerability is in Oracle Solaris, attacks may significantly impact additional products (scope change). • Successful attacks of this vulnerability can result in takeover of Oracle Solaris. • CVSS 3.1 Base Score 8.2 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H). © 2010-2024 Cloud Security Alliance Japan Chapter 14 https://nvd.nist.gov/vuln/detail/cve-2023-22003 https://nvd.nist.gov/vuln/detail/cve-2024-20999
いつもセキュリティを ©2024 KAMAYAMA Masanori
© 2010-2024 Cloud Security Alliance Japan Chapter 16