Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SCSAから学ぶセキュリティ管理
Search
Masanori KAMAYAMA
February 06, 2025
Technology
380
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
SCSAから学ぶセキュリティ管理
Masanori KAMAYAMA
February 06, 2025
More Decks by Masanori KAMAYAMA
See All by Masanori KAMAYAMA
ルクソールとツタンカーメン
masakamayama
1
1.4k
Microsoft Azure Well-Architected Framework でセキュアに
masakamayama
1
860
Other Decks in Technology
See All in Technology
AI時代のエンジニアキャリアについて今一度考える
sakamoto_582
1
1.1k
打造你的 AI 工作流:Agent Skill + MCP 實戰工作坊
appleboy
0
490
ループエンジニアリングでE2Eテストを実践
noriyukitakei
0
250
LiDAR SLAMの実装とセンサ融合 ~Lie群からContinuous-Time LIOまで~
naokiakai
1
930
背中から、背中へ /paying forward to community
naitosatoshi
0
210
AI Agentをシステムに組み込む前にゆるく向き合ってみる
hayama17
0
190
從觀望到全公司落地:AI Agentic Coding 導入實戰 — 流程整合與安全治理
appleboy
1
720
インフラ寄りSREでも 開発に踏み出せる〜境界を越えてユーザー体験に向き合いたい〜
sansantech
PRO
0
160
認証認可だけじゃない! ID管理の構成要素と ライフサイクルを意識しよう
ritou
1
460
Tech-Verse 2026_Keynote
lycorptech_jp
PRO
0
130
NDIAS CTF 2026 問題解説会資料
bata_24
0
170
本当の”仕事”を手放せる未来が見えた
mu7889yoon
0
220
Featured
See All Featured
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
133
19k
First, design no harm
axbom
PRO
2
1.2k
Product Roadmaps are Hard
iamctodd
55
12k
Imperfection Machines: The Place of Print at Facebook
scottboms
270
14k
Producing Creativity
orderedlist
PRO
348
40k
エンジニアに許された特別な時間の終わり
watany
107
250k
Exploring anti-patterns in Rails
aemeredith
3
430
Code Review Best Practice
trishagee
74
20k
Building AI with AI
inesmontani
PRO
1
1.1k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
340
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
32
3.6k
We Analyzed 250 Million AI Search Results: Here's What I Found
joshbly
1
1.4k
Transcript
SCSAから学ぶセキュリティ管理 釜山 公徳 (KAMAYAMA Masanori), SCSA 日本クラウドセキュリティアライアンス 運営委員 兼 クラウドセキュリティWGリーダー
はじめに守りたいモノを定義する。 セキュリティは投資である。
SCSAとは • Sun Certified System Administrator for Solaris の略称 •
Solaris管理者の登竜門ともいえる認定資格 3 皆さん、 当然もってますよね?
None
インフラエンジニアやTAM、セキュリティリサー チャー、金融証券検査官、エバンジェリスト等を経 て、現在セキュリティアナリストとして従事。 外部活動の実績として、FISC有識者会議、日本ク ラウドセキュリティアライアンス、CompTIA等の 外部団体での活動実績あり。また、日経新聞社など のメディアからの取材対応、技術誌への寄稿なども。 5 自己紹介 ✓
2018年3月14日- NISC あなたの守りたい「モノ」は何ですか?ど うやって守りますか? ✓ セールスフォース利用企業で情報流出設定不備が盲点- 日本経済 新聞(nikkei.com) ✓ 特集公衆Wi-Fiは危険がいっぱい?! パスワードの盗聴を実験して みた|CiNii Research
インフラエンジニアやTAM、セキュリティリサー チャー、金融証券検査官、エバンジェリスト等を経 て、現在セキュリティアナリストとして従事。 外部活動の実績として、FISC有識者会議、日本ク ラウドセキュリティアライアンス、CompTIA等の 外部団体での活動実績あり。また、日経新聞社など のメディアからの取材対応、技術誌への寄稿なども。 6 自己紹介 ✓
2018年3月14日- NISC あなたの守りたい「モノ」は何ですか?ど うやって守りますか? ✓ セールスフォース利用企業で情報流出設定不備が盲点- 日本経済 新聞(nikkei.com) ✓ 特集公衆Wi-Fiは危険がいっぱい?! パスワードの盗聴を実験して みた|CiNii Research 主なSolarisの経験 • インフラの運用保守 • Solarisの導入構築 主な保有資格 • SCSA • JSAワイン検定ブロンズ/シルバー • 第三級/第四級アマチュア無線技士 • カラーコーディネーター検定3級 • パターンメーキング技術検定
私のSun関連グッズ © 2010-2024 Cloud Security Alliance Japan Chapter 7
SUN教科書Solaris 10の章立て 第1部 / 試験番号310-200 1. UNIXオペレーティングシステム 2. Solaris 10のインストール
3. システムのブートとシャットダウン 4. ファイルシステムの管理 5. ディスクの管理 6. ユーザーの管理 7. セキュリティの管理 8. ネットワークプリンタおよびシステム プロセスの管理 9. システムのバックアップとリストア 第2部 / 試験番号310-200 10. Solarisネットワーク環境 11. ネームサービスの管理 12. 仮想ファイルシステムとコアダンプの 管理 13. ストレージボリュームの管理 14. アクセス制御とシステムメッセージン グの管理 15. 高度なインストールの実行 © 2010-2024 Cloud Security Alliance Japan Chapter 8
システムアクセスの監視 パスワード管理 • logins –p • パスワード未設定のアカウントを確認 • /etc/default/passwd •
パスワードに関するデフォルトの設定値を設定 • パラメーター • HISTORY:パスワード履歴数 • MAXWEEKS:有効期限の最大期間 • MINWEEKS:変更可能になる最小期間 • PASSLENGTH:最小文字数 • WARNWEEKS:パスワード失効前の警告表示期間 • passwd <username> [option] • d:パスワードを削除 • f:次回ログイン時にパスワード変更を強制する • l:アカウントをロックする • n:パスワード再設定の最低日数を指定 • s:パスワードアトリビュートを表示 • w:パスワード失効の警告 • z:パスワード変更の最大日数を指定 ログイン管理 • who • ログイン中のユーザーを確認 • オプション • b:前回のリブート時刻表示 • d:期限切れプロセスの表示 • H:出力に見出しを表示 • l:ログイン待ち状態にあるプロセスを表示 • q:ログイン中のユーザー数とユーザー名のみ表示。その他のオプ ションは無視される • r:ランレベルを表示 • last • /var/adm/wtmpxファイル(ログインログアウトを記録)の内容を 表示 • /var/adm/loginlog • ログインが失敗した場合に記録 • touch /var/adm/loginlogといったコマンドで、事前にファイルを 作成しておく必要がある。 • ログイン履歴を全部記録したい! • /etc/default/login に”RETIRE=1”を追記する! © 2010-2024 Cloud Security Alliance Japan Chapter 9
システムセキュリティの確立 ユーザーの切り替えとセキュリティ の確立 • su • switch user • Rootから他のユーザーにスイッチす
るとパスワードが求められない。 スーパーユーザーでのログイン監視 • suコマンドの使用ログ • /var/adm/sulog:デフォルト • /etc/default/su:設定ファイル • エント リー:”SULOG=/var/adm/sulog” • スーパーユーザーのアクセス制限 • /etc/default/login:設定ファイル • エント リー:”CONSOLE=/dev/console” • CONSOLEの値を空欄にすると、root でのローカルログインができなくなる。 © 2010-2024 Cloud Security Alliance Japan Chapter 10
システムセキュリティの制御 ftpアクセスの制限 • /etc/ftpd/ftpusers • /etc/ftpd/ftphosts • allow hogehoge 10.0.100.100
1 • deny gbush 10.0.100.100 • /etc/shells • シェルを指定 .rhostsファイルに起因する巨大なセ キュリティリスク • $HOME/.rhosts • ホスト名とユーザー名のペア • 記載されているもののみログイン 可 • パスワードが要求されない • rhostsの無効化 • /etc/pam.confの pam_rhosts_auth.so.1をコメン ト © 2010-2024 Cloud Security Alliance Japan Chapter 11
システムセキュリティの制御 セキュアシェルの基礎 • sshdの起動 • /lib/svc/method/sshd • sshdの設定 • /etc/ssh/sshd_config
© 2010-2024 Cloud Security Alliance Japan Chapter 12
データへのアクセス制御 パーミッション、所有権、グループメ ンバーシップ • chgrp • グループ所有者を変更 • chmod •
パーミッションを変更 • chown • 所有者を変更 • ls • ファイルの情報を表示 特殊ファイルパーミッション (setuid、setgid、スティッキービット) © 2010-2024 Cloud Security Alliance Japan Chapter 13 • setuidパーミッション • 実行ファイルが起動ユーザーではなく所有者とし てプロセスが表示 • setgid • setuidのグループ版 • setuidとsetgidのセキュリティリスク • 所有者がrootの場合、通常rootのみが可能なファ イルに対し、実行ファイルを介してアクセスでき るようになる • スティッキービット • 所有者、特権ユーザーのみが削除可能になる • /tmpなどのパブリックディレクトリにある他のユー ザーのファイル削除を防止できる • chmodで設定 r 読み取り w 書き込み x 実行 - 拒否
おまけ 最近のSolarisの脆弱性 CVE-2023-22003 • Vulnerability in the Oracle Solaris product
of Oracle Systems (component: Utility). • Supported versions that are affected are 10 and 11. • Easily exploitable vulnerability allows unauthenticated attacker with logon to the infrastructure where Oracle Solaris executes to compromise Oracle Solaris. • Successful attacks require human interaction from a person other than the attacker. • Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle Solaris accessible data. • CVSS 3.1 Base Score 3.3 (Integrity impacts). CVSS Vector: (CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N). CVE-2024-20999 • Vulnerability in the Oracle Solaris product of Oracle Systems (component: Zones). • The supported version that is affected is 11. • Easily exploitable vulnerability allows high privileged attacker with logon to the infrastructure where Oracle Solaris executes to compromise Oracle Solaris. • While the vulnerability is in Oracle Solaris, attacks may significantly impact additional products (scope change). • Successful attacks of this vulnerability can result in takeover of Oracle Solaris. • CVSS 3.1 Base Score 8.2 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H). © 2010-2024 Cloud Security Alliance Japan Chapter 14 https://nvd.nist.gov/vuln/detail/cve-2023-22003 https://nvd.nist.gov/vuln/detail/cve-2024-20999
いつもセキュリティを ©2024 KAMAYAMA Masanori
© 2010-2024 Cloud Security Alliance Japan Chapter 16