本ドキュメント(あるいは他の)のアドバイスに従っていて, システムへの侵入 を発見した場合にはどうすべきでしょうか? まず最初にすべきことは, 平静 を保つことです. あわてて行動すると, 侵入者にやられるよりも悲惨なことに なるかもしれません.
セキュリティが破られている最中であることに気づくと, 緊張する仕事を強い られることになるでしょう. あなたがどのように対処するかは, 重大な意味を 持ちうるからです.
それが物理的な攻撃であるのなら, あなたは家や会社, 研究室に何者か侵入し たことに気づいたということなのでしょう. まずは, このことをその場所の責 任者に知らせるべきです. 研究室ならば, 誰かがケースを開けようとしていた り, マシンをリブートしようとしているのを見つけたのかもしれません. この 場合には, あなたの権限と職務手順に基づいて, 相手を止めるか警備員に連絡 することになるでしょう.
ローカルのユーザがセキュリティを破ろうとしているのを見つけた場合には, まずは本当にその本人なのかどうか確認しましょう. その人がログインしてき ている元のサイトを調べましょう. そのサイトはその人が普段ログインしてく るところですか? 違うのならば, 非ネットワーク的な手段で連絡を取りましょ う. 例えば, その人のオフィスや家に電話したり直接赴いてから話をするので す. その人が自分がやったことを認めたら, 何をしようとしていたのか説明さ せたり, それをやめるように伝えます. 何もしていないとか, 全く身に覚えが 無いと言われた場合には, この事件は更に調査が必要でしょう. 告発を行う前 には, まず事件を調べて多くの情報を集めましょう.
ネットワークでの攻撃を見つけた場合には, まずは(可能ならば)ネットワークへの接続を切り離します. モデム接続ならばモデムケーブルを抜き, イーサネット接続ならばイーサネットケーブルを抜きましょう. これにより, より大きな被害を防ぐことができますし, 相手側にも発見に気づかせず, ネットワークの問題だと思わせることができるかもしれません.
ネットワーク接続を切り離せない場合(忙しいサイトや, マシンを物理的に操
作できない場合)には, 次善の策として, tcp_wrappers
や
ipfwadm
のようなツールを使って侵入者のサイトからのアクセスを
拒否しましょう.
侵入者と同じサイトのユーザを全て拒否することができない場合は,
ユーザアカウントをロックすべきです.
ユーザアカウントをロックするのは容易でないことには注意してください.
.rhosts
ファイル, FTP でのアクセス,
裏口になり得るホストには気を付けてください.
以上の処置(ネットワークの切断, 攻撃者のサイトからのアクセス拒否, アカ ウントの停止)の後は, これらのユーザのプロセスを全て止め, ログアウトさ せます.
攻撃者は戻ってこようとするでしょうから, その後しばらくは自分のサイトを 監視すべきです. おそらく, 別のアカウントや別のネットワークアドレスを使っ てくるでしょう.
既にシステムに侵入されてしまったことに気づいた場合や, 侵入に気づいて (願わくば)侵入者をシステムから追い出した場合にはどうすればいいでしょう か?
攻撃者がシステムに侵入した方法を調べることができたら, 今度はその穴を塞 がなければなりません. 例えば, そのユーザがログインする直前にいくつか FTP のエントリがあったとします. その場合には FTP のサービスを停止し, 新しいバージョンのサーバが出ていないか, あるいはセキュリティ関係のメー リングリストに修正方法が投稿されていないかを調べましょう.
全てのログファイルを調べ, セキュリティ関係のメーリングリストやウェブペー ジを調べ, 修正可能な新しい一般的な弱点が出ていないか調べます. Caldela のセキュリティ修正は http://www.caldera.com/tech-ref/security/ にあります. Red Hat はまだセキュリティ修正とバグ修正を分離していませんが, ディストリビュー ションの訂正は http://www.redhat.com/errata にあります.
Debian にはセキュリティのためのメーリングリストと WWW ページがあります. 詳しくは http://www.debian.org/security/ を見てください.
あるベンダがセキュリティ更新パッケージをリリースしていれば, ほぼ確実に 他の Linux ベンダもセキュリティ更新パッケージを出しているでしょう.
現在はセキュリティ監査を行うプロジェクトがあります. このプロジェクトは, ユーザ空間で動作するユーティリティを組織的に全て検査して, セキュリティ的な弱点やオーバーフローの可能性がある部分を探す作業を行っています. このプロジェクトによるアナウンスを以下に引用します:
「我々は Linux 関連のソースコードの組織的な監査を行って OpenBSD と同じ くらい安全にしようとしています. 我々は既にいくつかの問題を明らかにして (そして修正して)いますが, まだまだ助力が必要です. このメーリングリスト は誰でも投稿できますし, セキュリティ関連の一般的な議論にも役立つリソー スです. このメーリングリストのアドレスは security-audit@ferret.lmh.ox.ac.uk です. 購読するには security-audit-subscribe@ferret.lmh.ox.ac.uk 宛に空メールを送ってくだ さい」
攻撃者を締め出さなければ, 彼らはまた戻ってくるでしょう. あなたのマシン に戻ってくるだけでなく, 同じ LAN にある他のマシンにも来るかもしれませ ん. 彼らがパケット盗聴プログラムを実行していたら, 大抵, 他のマシンにも アクセスできるようになっていることでしょう.
まず被害の見積りを行います. 何が壊されたのでしょうか?
Tripwire
のようなシステムの完全性をチェックするプログラムを
実行していれば, なにがやられたのか調べる助けとなるはずです.
さもなくば, 重要なデータを全て個別に確認しなければならないでしょう.
最近は Linux のシステムのインストールが簡単になったので, 設定ファイルを保存しておいてからディスクをフォーマットし直し, 再インストール, ユーザのファイルと設定ファイルを書き戻すという手順を考えてみてもよいでしょう. こうすれば, 新しくてきれいなシステムであることを保証できます. 破られたシステムからファイルのバックアップを行わなければならない場合は, バイナリを書き戻す時には特に注意しましょう. 侵入者がトロイの木馬を置いているかもしれないからです.
侵入者に root 権限を奪われた場合には, 再インストールも必須だと考えてく ださい. 加えて, 証拠を残しておきたいと思うでしょうから, 予備のディスク を金庫に保管しておくことも無駄ではないかもしれません.
その後は, どれだけ前にやられたのか, そして壊された成果はバックアップに 入っているのかどうかを心配しなければなりません. できるだけ新しいバック アップを使いましょう.
セキュリティの問題において, 定期的なバックアップは大変貴重なものです. システムが破壊された場合, 必要なデータをバックアップから書き戻すことが できます. もちろん攻撃者にとって価値のあるデータもありますから, 彼らは データを破壊するだけでなく, 盗んでしまうかもしれません. それでも最低限 こちら側にデータだけは残ります.
改竄されたファイルをバックアップから書き戻す前には, 過去に亙って複数のバックアップを必ず調べましょう. 侵入者がずっと前からファイルを壊しているかもしれないし, 壊されたファイルの正しいバックアップを取っているかもしれません!
もちろん, バックアップにまつわるセキュリティの問題もたくさんあります. バックアップは安全な場所に保管しましょう. 誰がバックアップに触れるのか を知っておきましょう. (もし攻撃者がバックアップを手に入れてしまったら, 知らないうちにあなたの持つ全てのデータにアクセスされてしまいます. )
さて, 侵入者を締め出して, システムを復旧させましたが, まだ全ては終わっ ていません. 侵入者が捕まることはまずありませんが, 攻撃を受けたことは報 告しておくべきです.
あなたのシステムに攻撃を行った攻撃者のサイトの管理者の連絡先に,
攻撃を受けたことを報告しましょう. この連絡先は whois
コマンドか,
InterNIC のデータベースで調べることができます.
適切なログのエントリと日時を相手にメールで送りましょう.
他にもわかっている侵入者の特徴があれば, それも知らせましょう.
メールを送った後に (気になるなら) 電話をすべきです.
その管理者があなたのサイトへの攻撃者に気づいたら,
今度はこの管理者が,
攻撃者がやってきているサイトの管理者に話ができるかもしれません.
腕の立つクラッカーは, クラックしたシステムを間にいくつか挟んで攻撃して くることがよくあります. その経路には自分達がシステムを破られたことさえ 知らないサイトも(たくさん)あります. ですから, クラッカーの本拠地を追跡 して突き止めることは困難です. 話をした管理者が役に立たなくても, その辺 りの配慮をしてあげましょう.
また, 自分が所属しているセキュリティ関連団体( CERT 等)や, お使いの Linux システム のベンダにも報告すべきです.