1. はじめに
個人でサーバを立てる場合、やはりはじめにセキュリティーポリシーを明確にすべきと考える。サーバのセキュリティーの甘さで一番怖いのは自分のサーバを攻撃されダウンさせられることではない!むしろ自分のサーバが踏み台となり、他人のサーバを攻撃されることである!しかし、いくら守る体制を整えても、最近はLinuxサーバを中心に感染するウィルス、というよりワーム(メールで飛び込んでくるウィルス)が出始めてきた。とても、恐ろしい話である。
1) Webサイトの”index.html”等を書き換えてしまうもの
2) DNSサーバであるBINDのセキュリティーホールを突いて感染するもの
3) 感染すると、ルート権限を取られてしまいセキュリティー設定を改ざんする(要するに好き勝手なことをされる)
4) さらに、そのマシンが踏み台となり他のマシンの攻撃に利用されてしまうこのような、被害を受ける可能性がすべてのLinuxサーバにある。
sendmailの場合は、/var/spool/mailの各ユーザキューにメールがスプールされる。また、qmailの場合は、/homeの各ユーザディレクトリの中にメールスプールされる。メールに潜ませ、飛んでくるワームに対しては事前に防御できる方法はないのである。少なくても鯖側でそれを検出しぶっつ殺すソフトを導入すべきでないだろうか!?
2. セキュリティホールを利用して感染するワーム
名称 | 感染時に対象となるセキュリティーホール | こいつらがやらかす事 | 対策 |
Ramen | wu-ftpd・rcp.statd・lpd | index.htmlの改ざん、外部サーバへの攻撃等 | パッケージのアップデート (wu-ftp、nfs-utils、lpd) |
Lion | BIND | パスワードファイルの外部流出、他のサーバへの攻撃等 | BIND9へのパッケージのアップデート |
Adore | wu-ftpd・rpc.statd・BIND | psコマンドをこのワームを除くプログラムリストアップとする不正なものに書き換える、再侵入用のバックドアの設置、外部サーバへの攻撃等 | パッケージのアップデート (wu-ftp、nfs-utils、lpd、BIND) |
Slapper | OpenSSL(mod_ssl) | ウィルスは感染したコンピューターの中のメールアドレスやIPアドレスを探し、それを手がかりに次々と感染を広げていく。このバイナリコードは、IPアドレスをパラメータとして受け取り、このウィルスに感染しているコンピュータからなるP2Pネットワークを構築し、攻撃者の命令どおりに他のマシンに対してDDoS攻撃をしかけられるように準備する。その際すべてのシステムはUDPポート2002を空けて攻撃者の命令を受け取るようになっている | パッケージのアップデート (OpenSSL) |
表1
現在、表1のようなワームが発見されている。特徴は、いずれも外部サーバへの攻撃をやらかすとんでもない代物である。
3. ウィルスソフト Sophos Anti-Virus for Linuxの勧め
さて、このようなワームが進入した場合に事前に見知して殺すウィルスソフトがあるととても良いと思い探した結果、以前から知っていたが危機感を感じ今回導入に踏み切った。
それが、 Sophos Anti-Virus for Linux である。このソフトは、イギリスの Sophos社 が開発したソフトであり、30日間の試用が可能である。継続使用の場合は、別途ライセンス購入が必要となる。
動作条件は、Cライブラリがlibc6(glibc2.0以降)であることが前提となる。したがって、以下のコマンドでバージョンの確認を行ってほしい。
# rpm -q glibc
尚、Sophos社のAntiVirusは有償で結構高価であるため、お金がない俺みたいな貧乏人は FreeなclamAntiVirus をお勧めする。
4. Sophos Anti-Virus for Linuxのインストールと起動
パッケージは、 Sophos社 から試用版ダウンロード出来る。
まず、ダウンロード等でパッケージを入手したら、/tmpディレクトリにパッケージをコピーする。
# cd /tmp
# tar -xvf linux.intel.lib6.tar ← パッケージを解凍する(FreeBSDの場合は、freebsd.elf.tarが必要となる。但し、LinuxBaseをPortsからインストールしている場合は、Linuxのパッケージでも大丈夫である)次に、パスと環境変数の設定を行う。このソフトはroot権限で実行するため、rootの.bash_profileにパスと環境変数を定義すると良いだろう!
# cd ~/
# vi .bash_profile
# .bash_profile# Get the aliases and functionsif [ -f ~/.bashrc ]; then
. ~/.bashrc
fi
# User specific environment and startup programsPATH=$PATH:$HOME/bin
PATH=$PATH:/sbin
PATH=$PATH:/usr/local/bin
LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/lib
MANPATH=$MANPATH:/usr/local/man
ENV=$HOME/.bashrc
USERNAME=”root”export USERNAME ENV PATH
export PATH LD_LIBRARY_PATH MANPATH SAV_IDE
mesg n
追加作業が終わったら、結果反映!
# source ~/.bash_profile
次に、インストール開始!
# cd /tmp/sav-install
# ./install.sh -ni -v
インストールは、これで完了!
次に、ウィルス定義ファイルのダウンロードを行う。 ここ から最新の定義ファイルをダウンロードする。
すべてをまとめたzipファイルがあるはずなので、これをダウンロードした方が便利!
このファイルを、/usr/local/savディレクトリで解凍する。
# cd /usr/local/sav
# unzip XXXXXX.zip
これで、すべて準備完了!次に、起動方法は以下で行う。
ウィルスチェックを行う場合は、基本的に、
# sweep <チェックしたいディレクトリ>
たとえば、ルート以下すべてチェックしたい場合は、
# sweep /
で行う!
ウィルスを発見して、自動的に駆除させたい場合は、
# sweep / -di
と入力すると、ウィルスを発見すると同時に駆除を行う。ただし、実行ファイル形式の感染ファイルについてはウィルス駆除を行わない。プログラムの場合は、ウィルスを駆除すると動作しなくなることがあるからだ!(感染前の状態に戻らない!)
実行ファイルが感染した場合は、
# sweep / -remove
で一度実行ファイルを削除してその後、改めてその実行ファイルをインストールする。
ポイント:Anti-Virusを定期的に実行したい場合は、cronを使ってsweepモジュールの起動をスケジューリングすれば良いだろう!
以上で、ウィルス事とウィルスソフトの導入方法を説明してきたが、ウィルス及びクラック等の被害にあわないためにも万全の体制でサーバを運転したいものである。これからもセキュリティについては、日や考えて行きたい。謝辞 : この情報記載に当たってリンク等の了承を快く受けていただいたSophos日本支社営業担当様に感謝いたしますm(_ _)m。
以上
コメント