セキュリティ日進月歩

情報セキュリティについてもうちょっと詳しくなるために。あとdocker

SELinuxに関してお勉強(CISSPのついで)

2018/1ぐらいまでをターゲットに、CISSPの勉強をしてます。ドメイン5でRBAC(ロールベースアクセス制御)が出て来たときに、「よくSELinuxとセットで語られますよ〜」と言われて、「あ、SELinuxって概要すらわかんね」って思ったので、さわりだけチェックしました。

 

やはりまずはwiki

https://ja.wikipedia.org/wiki/Security-Enhanced_Linux

Linuxディストリビューションではなく、モジュールである

 →へー

・アクセス制限は、ファイルではなく、プロセスごとにアクセス制限をかけるTE(Type Enforcement)という機能を併用している

 →へー

・日本における利用実績は少ない

 →海外は多いの?もしくは、「ロサンゼルスでは〜」みたいな欧米帰りな感じ?

SELinuxを無効化することが通常

 →過剰防衛なのか、時代が追いついてないのかってことですね

 

おおむねニュアンスはわかりました。

SELinux を使おう.使ってくれ. - Qiita

この辺りで、使い方が載っています。

要するに、centであれば、yumで入れて、モードをdisableからログだけモードか制御付きモードに切り替えて、あとは設定って感じですね。すると、例えばあるプロセスが乗っ取られても、よその権限を持つプロセスにはアクセスできなくなると、そういう感じですかね。たしかに設定は面倒そうです。

他には、「SELinuxやってる場合か!まず普通の設定をまともにできるようになれ!」っていう向きもあると思っていて、やはりまだそんなレベルじゃないのかもしれないですね。

 

てか、setenforce 0でdisableに出来るのであれば、乗っ取られたときに、setenforceはなんとしても守らないといけないですね。尤も、攻撃側としてはroot昇格ならぬ、setenforce奪取が一つの争点となるんでしょう。

 

結局、当初の目的の、肝心のRBAC(ロールベースアクセス制御)がまだわかっていないのでした。

maltegoとかいうツール(追って加筆)

(追って加筆)

Paterva社のmaltego

 

[何のツール?]

 

[価格は?]

 Maltego XL ・・・1800USD

 Maltego Classic・・・760USD

 Maltego CE(community edition)・・・free(機能制限がある?)

 

[使い方]

---起動フェーズ---

1.以下にアクセス

https://www.paterva.com/web7/index.php

2.downloadsをクリック

3.win,mac,linuxがある(僕はmac版のCE v4.0.11(2017/9/5当時))。

4..dmgを実行

5.registar hereからメルアド等入れて送信

6.メールが飛んでくるのでアクティベート

7.loginして完了

IPアドレスから国の特定

sshハニーポット「kippo」から取得したlogより、数多くの攻撃元のIPアドレスが手に入ったわけなんですね。1週間で300ほど。

これの攻撃元の国リストを作りたいと思って、調べていました。

 

まずはググると、いくつもサービスが出てきますね。

 

ネットワークチェックツール

http://mgt.jp/t/country

 

これは少し面倒なので、コマンドで何か無いかみましたところ、perlでありました。

 

IP::Country::Fast - IP割り当て国を調べる

http://www.ksknet.net/perl/ipcountryfast_i.html

 

また、「whois IPアドレス」で、countryの項を見るという方法もあるようです。

てか、whoisあまり意識して使った事なかったので、読み方あまり知らず、まずはここからですね。

 

sshハニーポット「kippo」を動かしはじめて4日ほど経つ

「kippo」導入から4日。2017年3月21日の夜をスタート地点として、ここまでで4日経つ。

 

丸々四日でどれだけのIPアドレスからのチャレンジが来たのか?

 

具体的には、kippo.logより、「New connection」のログについて、IPアドレスのuniqな個数を算出した。

 

143である。一日にしては、÷4で35ぐらいである。

 

ということは、普通にwebを公開している場合、sshを間違って開けていれば、宣伝していまいが、それくらいのアタックが来るということになる。例えばあまり対策をせずに有名ブロガーになってしまって、アクセス先が多くの人間に知れ渡っている場合、こんな数じゃないはずだ(イケハヤ氏のように、ヘイト値の高いブロガーなら攻撃者のテンションは計り知れない)。

 

つまり、sshを22番でわかりやすく開けているのはとても危険だ。

 

また、ログを見て行くと、パスワードに、「1234」とか、「system」とか、「passw@rd」とか、いわゆる辞書攻撃的なものが並ぶ。ありきたりなパスワードにしている場合、数日で突破されるだろう。

※「root/rasberrypi」とかいうのもあったが、これはラズパイのデフォとかなのかな?

 

まず思いつく調査項目として、何がなされているのか(攻撃手法)、どこからなされているのか(攻撃者情報)を調べたい。

SSHハニーポット「kippo」導入

「kippo」と呼ばれるsshハニーポットを導入した。初のハニーポットだ。

 

sshハニーポットというのは、攻撃者が22番ポートにsshをしてきたときに、実際に繋がっているかのように振る舞って、攻撃者のアプローチを採取するタイプのハニーポットだ。

 

背景としては、最近、フォレンジックというものに興味が出て来て、そのための材料を収集する仕組みを手に入れたいと思って、ハニーポットにも興味が向いた。ハニーポットでアタッカーの情報がざくざく入ってくる仕組みができれば、フォレンジック業にも良い影響を与えるに違いないと、そう考えている。

 

導入方法は、他のサイトを参照されたし。まさにその通りにやった。簡単だった。

詰まった所は、サイトによって不足するモジュールがあったりで、それを追加で入れたことぐらいだ。

 

1日ほど回してみたが、ログに特に音沙汰は無い。kippo様のせいではなかろうが、一筋縄では行かなさそうだ。ブロガー並みに、「ハニーポット向け集客」をするとかになるとすれば、それはそれで大変だ。