10章 セキュリティ監視
監視とコンプライアンス
コンプライアンス的に関すべき項目は基本的に全部
ユーザ、コマンド、ファイルシステムの監査
Linux Audit Systemを使い行う
セキュリティのために作らており、syslogなどが動かないときでも、動作し続けられる様になっている
以下のように柔軟にイベントを設定できる
- すべてのsudoの実行、コマンド実行、誰が実行したのか
- ファイルアクセスや特定ファイルの実行、その時刻、誰によって変更されたのか
- ユーザー認証の試行と失敗
ホスト侵入探知システム(HIDS)
特定のホスト上で不正な行為をするものを検知する仕組み
例を上げると、ルートキットの探知など
ルートキットは本来許可されていないはずのコンピューターあるいはソフトウェアの領域にアクセスを有効にするように作られた、ソフトウェアのこと
(要はウイルスみたいなもの?)
rkhunterなどのツールで検知する
ネットワーク侵入検知システム(NIDS)
ネットワーク自体に対する驚異を検知する仕組み
ネットワークタップをネットワーク内に配置して生のトラフィックを確認することで動作する
ネットワークタップはネットワーク内に配置するハードウェアでそこを通過するすべてのトラフィックを傍受し、他の送るもの