セキュリティ
セキュリティ:記事リスト
セキュリティのカテゴリーには以下の記事がリストされています。
LinuxのSUID/SGID/スティッキービット入門|特殊パーミッションの仕組みと設定
「ls -l で出てくる rwsr-xr-x の s や、/tmp に付いている t は何を意味しているの」
通常の読み書き実行(rwx)は理解できても、この特殊な s や t でつまずく方は少なくありません。
これらは「特殊パーミッション」と呼ばれる仕組みで、SUID・SGID・スティッキービットの3種類があります。仕組みを正しく理解しておくと、権限まわりの動きが腑に落ち、セキュリティ上の落とし穴も避けられるようになります。
この記事では、SUID・SGID・スティッキービットそれぞれの意味と用途、chmod による記号指定と数値指定(4000・2000・1000)の両方の設定方法、passwd や /tmp の実例、そして設定時に必ず押さえておきたいセキュリティ上の注意点までを解説します。
動作確認は RHEL 9.4 / Ubuntu 24.04 LTS で行っています。
この記事のポイント
・ SUIDはファイル所有者の権限で実行させる仕組み(例:passwd)
・ SGIDはグループの権限継承、スティッキーは削除制限を行う
・ chmod は記号(u+s・g+s・+t)と数値(4000・2000・1000)で設定する
・ SUIDの付いたファイルは権限昇格の踏み台になり得るため要注意
sshd_configの設定ガイド|Port変更・rootログイン禁止・鍵認証設定の手順
この記事のポイント
・sshd_configは/etc/ssh/sshd_configにあり、変更後はsshdの再起動が必要
・Port・PermitRootLogin・PasswordAuthenticationの3つが最初に変えるべき設定
・AllowUsers/AllowGroupsで接続ユーザーをホワイトリスト管理できる
・sshd -t でsshd_configの構文チェックが可能。再起動前に必ず実行する
「デフォルトのまま運用していたら、rootでのログインが許可されていた」
LinuxサーバーのSSH設定は、運用開始後も後から変更を求められる場面が多い項目です。ポート番号の変更、rootログインの禁止、パスワード認証の無効化。セキュリティ要件が厳しくなるにつれて、sshd_configを何度も触ることになります。
この記事では、/etc/ssh/sshd_configの主要設定項目を解説します。RHEL 9 / AlmaLinux 9 / Ubuntu 22.04 LTS で動作確認済みの内容です。
Linuxのファイル権限完全ガイド|chmod・chown・umaskの基礎と実務でよく使う設定
こういう状況、サーバー管理の現場では日常茶飯事です。
ファイル権限(パーミッション)は、Linuxを扱う上で最初に身につけるべき基礎知識の一つ。
chmod・chown・umask の使い方を正しく理解しておけば、権限まわりのトラブルの9割は自分で解決できます。
この記事では、Linux のファイル権限の仕組みを基礎から解説し、
chmod・chown・umask の実践的な使い方から、SUID/SGID/Sticky Bit、ACL との組み合わせ、
よくある「Permission denied」エラーの対処まで、現場で役立つ内容を一通りカバーします。
この記事のポイント
・ パーミッションは「所有者/グループ/その他」の3区分で管理される
・ chmod 755 や chmod u+x などの数値・記号両方の書き方を習得する
・ umask はファイル新規作成時のデフォルト権限を決める設定値
・ SUID/SGID/Sticky Bit は誤設定するとセキュリティリスクになる
gpgコマンドでファイルを暗号化・復号する方法|鍵管理から実務活用まで
「バックアップを外部ストレージに保存するとき、暗号化しておきたい」
このような場面で頼りになるのが gpg コマンドです。GPG(GNU Privacy Guard)は OpenPGP 規格を実装した暗号化ツールで、RHEL・Ubuntu・CentOS など主要ディストリビューションに標準搭載されています。
この記事では、gpg コマンドを使ったファイルの暗号化・復号の手順を解説します。公開鍵暗号方式と共通鍵(パスフレーズ)暗号方式の両方をカバーし、鍵の生成・エクスポート・インポート、そしてバックアップ運用での実践例まで紹介します。
この記事のポイント
・gpg -c でパスフレーズによる簡易暗号化ができる
・gpg --gen-key で公開鍵ペアを生成し相手と安全に通信できる
・--armor オプションで ASCII 形式の可搬性のある暗号文を出力できる
・鍵のエクスポート・インポートで複数サーバー間の運用に対応できる
fail2banコマンドでブルートフォース攻撃を自動ブロックする方法|SSHの不正アクセス対策とトラブルシュートも
「/var/log/secure を見たら知らないIPから何千回もSSHを叩かれていた」
Linuxサーバーを公開した瞬間から、世界中のボットが自動でパスワードを試し続けます。
こうしたブルートフォース攻撃を自動でブロックするのが fail2ban です。
この記事では、fail2ban の仕組みから始まり、SSHの不正アクセスを遮断する実際の設定手順、よくあるトラブルの対処まで、RHEL 9.4 / Rocky Linux 9 / Ubuntu 24.04 LTS での動作確認済みの内容を解説します。
この記事のポイント
・fail2ban は認証失敗ログを監視し、閾値超過IPをfirewalldでブロックする
・設定は jail.local で行い、jail.conf は直接編集しない
・maxretry・findtime・bantime の3つが制御の核心
・ban状態の確認は fail2ban-client status sshd で即座に確認できる
続きを読む "fail2banコマンドでブルートフォース攻撃を自動ブロックする方法|SSHの不正アクセス対策とトラブルシュートも"
semanageコマンドでSELinuxのポリシーを管理する方法|fcontext・port・booleanの実践設定も
サーバー管理の現場でSELinuxを有効にしていると、こういった問題に頭を抱えることがあります。
ただ、SELinuxを無効化(disabled)してしまうのは最終手段です。
正しいポリシー設定さえ覚えれば、SELinuxを有効にしたままサービスをスムーズに動かせます。
そのために必要なのが
semanage コマンドです。この記事では、semanageコマンドの基本的な使い方から、ファイルコンテキスト・ポート・Booleanの実践的な設定手順を解説します。
RHEL 9.4 / AlmaLinux 9 / Rocky Linux 9で動作確認済みです。
この記事のポイント
・semanageはSELinuxポリシーを永続的に変更できる唯一のコマンド
・fcontext/port/booleanの3サブコマンドが現場で特に重要
・AVC deniedはaudit2allowで解析してから対処するのが鉄則
・chconは再起動で消えるため本番環境での使用は禁止
続きを読む "semanageコマンドでSELinuxのポリシーを管理する方法|fcontext・port・booleanの実践設定も"
ausearchコマンドでLinuxの監査ログを検索・分析する方法|aureportでのレポート生成と実務活用も
「ausearchって何を指定すれば目的のログが出てくるの?」
こうした疑問を持つ方は多いと思います。Linuxの監査ログ(auditd)は、セキュリティインシデントの追跡・コンプライアンス対応・権限変更の追跡など、現場で欠かせない仕組みです。しかし、膨大なログの中から必要な情報を絞り込む方法を知らないと、あっという間に作業が行き詰まります。
この記事では、ausearchコマンドを使った監査ログの検索方法と、集計レポートを生成するaureportコマンドの使い方を実践的に解説します。RHEL 9 / AlmaLinux 9での動作確認済みです。
この記事のポイント
・ausearch -m でイベントタイプを絞り込み、素早く原因ログを特定できる
・ausearch --start today でその日の監査ログだけを抽出できる
・aureport --failed でログイン失敗や権限エラーの集計レポートを作れる
・ausearch -i でUIDやシステムコール番号を人間が読めるテキストに変換できる
続きを読む "ausearchコマンドでLinuxの監査ログを検索・分析する方法|aureportでのレポート生成と実務活用も"
nftablesコマンドでLinuxのパケットフィルタリングを設定する方法|iptablesとの違いやRHEL9対応も
nftables は Linux カーネル 3.13 で導入されたパケットフィルタリングフレームワークで、RHEL 9 / Rocky Linux 9 / Ubuntu 22.04 以降ではデフォルトのファイアウォール基盤として採用されています。firewalld は内部でこの nftables を呼び出しており、直接 nft コマンドを操作することで、より細かいパケット制御が可能になります。
この記事では、nft コマンドの基本的な使い方から、テーブル・チェーン・ルールの構造、iptables からの移行方法、よく使う実務設定パターンまで解説します。実行環境は RHEL 9.4 / Rocky Linux 9 / Ubuntu 24.04 LTS で動作確認済みです。
この記事のポイント
・nft list ruleset で現在の全ルールをまとめて確認できる
・テーブル→チェーン→ルールの3層構造を理解すれば設定がシンプルになる
・/etc/nftables.conf に書いて systemctl enable nftables で永続化する
・iptables-translate コマンドで既存ルールを nftables 形式に変換できる
続きを読む "nftablesコマンドでLinuxのパケットフィルタリングを設定する方法|iptablesとの違いやRHEL9対応も"
firewall-cmdコマンドでポートを開放・管理する方法|ゾーン・サービス・永続化の使い分け
「RHEL/AlmaLinux系のファイアウォール設定をどう確認・変更すればいいのか分からない」
RHEL 9.4 / AlmaLinux 9.4 / Rocky Linux 9.4 で動作確認済みの解説です。
この記事では、
firewall-cmd コマンドの基本的な使い方から、ポート開放・サービス許可・ゾーンの切り替え・永続化(--permanent)のルール、そして「設定したのにアクセスできない」時のトラブルシュートまで、現場で使える手順をまとめて解説します。この記事のポイント
・firewall-cmd --list-all で現在のゾーン設定を一括確認できる
・ポート開放は --add-port=8080/tcp --permanent で永続化する
・--permanent を付けた変更は --reload で反映する
・ゾーンの概念を理解すれば複数NICのサーバーも安全に扱える
sudoコマンドでroot権限を安全に実行する方法|visudoの設定からログ確認まで
「visudoで/etc/sudoersを編集したいけど、書き方がよくわからない」
Linuxサーバーを管理していると、一般ユーザーで作業中にroot権限が必要になる場面は頻繁にあります。そのたびに su でrootに切り替えるのはセキュリティ上のリスクが大きく、現場では sudo を使うのが鉄則です。
この記事では、
sudo コマンド の実践的な使い方を解説します。基本的な実行方法から visudo による /etc/sudoers の設定、ログ確認やトラブルシュートまで、実務で必要な操作をすべてカバーします。動作確認環境は RHEL 9.4 / Rocky Linux 9.4 です。
この記事のポイント
・sudo コマンド名 でroot権限のコマンドを安全に実行できる
・/etc/sudoers の編集は必ず visudo を使う
・sudo -l で自分に許可されたコマンドを確認できる
・sudo の実行ログは /var/log/secure で追跡できる
CentOS7でrootのSSHログインを無効化する
「rootでのSSH接続を許可したままサーバーを公開しているのが不安」
インターネットに公開するLinuxサーバーでは、rootアカウントへのSSH直接ログインを無効にするのはセキュリティの基本です。
rootパスワードが漏洩した場合や、ブルートフォース攻撃に対して脆弱になります。
この記事では、CentOS7 / RHEL7でrootのSSHログインを無効化する手順を解説します。
・
PermitRootLogin no を /etc/ssh/sshd_config に設定するだけで無効化できる・設定後は
systemctl restart sshd で反映が必要・無効化前に必ず一般ユーザー+sudo環境を整えてからロックアウトを防ぐ
CentOS7でfirewalldの確認と停止(ファイアウォール)
そんな疑問を持つ方は多いです。
CentOS7からファイアウォールの推奨ツールがiptablesからfirewalldに変わりました。
開発環境や内部ネットワーク専用サーバーでは、ファイアウォールを一時的に停止したい場面もあります。
この記事では、CentOS7のfirewalldの状態確認と停止方法を解説します。
・
firewall-cmd --list-services で許可されているサービスを確認できる・
systemctl stop firewalld で即時停止、systemctl disable firewalld で恒久停止・本番サーバーでは停止せず、必要なポートだけ開放するのが正しい対処
CentOS 7のバージョンアップ手順|yum updateの実行方法と注意点
「yum updateを実行しても大丈夫? サーバーが起動しなくなったりしない?」
OSのバージョンアップは、セキュリティパッチの適用やバグ修正のために定期的に行う必要があります。しかし、手順を誤るとシステムが起動しなくなるリスクもあります。
この記事では、CentOS 7のバージョンアップ手順と注意点を解説します。
yum updateの実行方法、カーネルをアップデート対象から除外する方法、事前のバックアップとテスト環境での確認手順まで、安全にバージョンアップするために必要な知識をまとめました。
※ CentOS 7は2024年6月30日にEOL(サポート終了)となりました。新規構築ではAlmaLinuxやRocky Linuxへの移行を推奨します。本記事はCentOS 7環境の保守・運用を行っている方向けの手順です。RHEL 9系(AlmaLinux 9/Rocky Linux 9)では
dnf update コマンドを使用してください。・
yum update でCentOS 7のパッケージを一括アップデートできる・本番環境の実行前はテスト環境で事前確認とバックアップが必須
・カーネルは除外してアップデートするのが安全
・CentOS 7はEOL済み。新規構築はAlmaLinux/Rocky Linuxを推奨
Linuxで一時的に管理者(root)にスイッチする
su コマンドでは管理者パスワードが必要ですが、sudo コマンドを使えば一般ユーザーのパスワードで一時的に管理者権限を行使できます。rootパスワードを共有せずに安全な権限管理が実現します。
この記事では、sudo の設定方法(visudo)と実際の使い方、セキュリティ上の注意点を解説します。
【この記事でわかること】
・sudo はrootパスワードを共有せずに管理者権限のコマンドを実行できる仕組み
・/etc/sudoers の編集には必ず visudo を使う(vi の直接編集は危険)
・パスワードキャッシュはデフォルト5分間有効
・NOPASSWD 設定は利便性が上がる反面、セキュリティリスクも高まるため慎重に