Linuxのセキュリティ基礎

1. Linuxのセキュリティ原則

Linuxのセキュリティって、まずは「特権の最小化」としっかりしたアクセス制御の戦略が基本だよね。Linuxを多層防御の城と考えてみて。奥に進むほどチェックが増えるって感じ。でも最初に、セキュリティを支える3つの柱を見てみよう。

アクセス権限の分離：ユーザー、グループ、そしてroot

Linuxの安定性とセキュリティの秘密は、アクセス権限の厳格な分離だね。システムには3種類のオブジェクトがあるよ：

• ユーザー (users): 個別のアカウント。家族のパーティーに例えると、それぞれが自分の入場パスを持ってる感じ。
• グループ (groups): ユーザーのセット。一部のタスクでは、グループ全体で1つのパスを使えるよ。例えば「おばあちゃんの写真」の共有フォルダにアクセスするために。
• Root: 全権限を持つスーパーユーザー。RootはLinuxの世界のスーパーマンみたいなもの。何でもできるけど、同時に大きな責任も伴うよ。

Linuxはこのモデルを使って、ファイル、アプリ、システムの機能へのアクセスを制限してるんだ。もし悪意のある人が一般ユーザーとしてシステムに侵入しても、カーネルや重要なファイルを破壊することはできないよ。

特権の最小化

みんなにrootアクセスなんて配っちゃだめだよ。オフィスの全員が金庫の鍵を持ってたらどうなるか想像してみて。絶対に誰かが失くしちゃう。Linuxでは「ユーザーに必要なタスクを遂行するためだけの権限を与える」ってルールが効いてるんだ。

主要なセキュリティ脅威

• ウイルス: そうそう、Linuxも完璧な防御があるわけじゃないけど、システムの構造のおかげでウイルスが少ない。
• ネットワーク経由の攻撃: SSHの侵害、DDoS攻撃、DNSの偽装とか。
• ソフトウェアの脆弱性: 古いパッケージや安全でないライブラリは、侵入者の入り口になるよ。

---

2. 脅威の予防

では、Linuxサーバーが引き続き信頼できるツールであり、ハッカーの道具にならないようにする重要なステップを見てみましょう。

システムの定期的な更新

わかりやすい例: システムの更新はウィルス対策ソフトの更新のようなもの。更新なしでは、どんなに最新の保護でも新しい脅威には無力です。コマンド:

sudo apt update && sudo apt upgrade

でLinuxを常に最新の状態に保つことができます。

重要なファイルへのアクセス管理

他人の目から隠しておいたほうが良いファイルもあります。例えば、/etc/sudoersファイルは管理特権を持つユーザーのリストです。このファイルは、visudoを使って編集する必要があります。そうすることで、偶発的なエラーを防ぐことができます。

rootアクセスの制限

rootは力があるけど、使い過ぎは良くないよね。普段は通常ユーザーとして作業し、必要に応じてsudoで一時的に特権を取得するのがいいよ。

---

3. セキュリティツール

Linuxでセキュリティ対策に役立つツールはどれだろ？組み込みとサードパーティの解決策を見てみよう！

組み込みメカニズム

• firewalld と iptables: ネットワークトラフィックを管理するためのファイアウォール。難しそうに聞こえるけど、分解して説明するね！
• SELinux (Security-Enhanced Linux): どのプロセスがファイルにアクセスできるかを確認するための特別な拡張機能。
• ACL (Access Control Lists): 標準的なアクセス権の拡張バージョン。

外部ツール

• Lynis: セキュリティ監査ツール。
• OpenSCAP: システムがセキュリティ基準に準拠しているかどうかをチェックするツールセット。

パスワードポリシーの設定

君のパスワードってどれくらい強力かな...えっと、言わなくて大丈夫！ただし、信頼できるパスワードポリシーを最初から設定するほうがいいね。パスワードの最小長さや複雑さは、PAMで設定するよ。

sudo nano /etc/security/pwquality.conf

パラメータの例:

minlen = 12
minclass = 3

---

4. 実践例: 基本的なセキュリティ設定

さて、作業を始めよう！テスト用のシステムにシンプルなセキュリティポリシーを設定しよう。

ユーザーの登録

2人のユーザーを作成するよ：管理者と普通のユーザー。

sudo adduser admin
sudo adduser user1
sudo usermod -aG sudo admin

これでadminは管理者権限を持つようになり、user1は持っていない状態だね。

重要ファイルへのアクセス制御

Nginxの設定ファイルのアクセスを制限しよう：

sudo chmod 600 /etc/nginx/nginx.conf

ファイアウォールの操作

サーバーを保護するためにufw（Uncomplicated Firewall）をインストールして設定しよう：

sudo apt install ufw
sudo ufw enable

SSHとHTTPトラフィックだけを許可するよ：

sudo ufw allow 22
sudo ufw allow 80

確認を有効にしよう：

sudo ufw status

---

5. よくあるミス

セキュリティについて話すとき、何をすべきかを知るだけでなく、何を避けるべきかを理解することも重要です。

ミス 1: rootで作業する

初心者の多くが面倒がってrootアカウントで作業しがちです。これ危険なんだよね。間違いや攻撃がシステムに致命的な結果をもたらす可能性があるから。

ミス 2: パッケージを更新しない

ある管理者が言ってたけど、「唯一優れたサーバーは、更新されたサーバーだ」ってね。古いソフトウェアは攻撃にとって完璧な標的になるよ。

ミス 3: 安全でないパスワード

例えば"password123"みたいなやつ、超人気のパスワードだよね。そんなのを使う人にはならないで！

---

6. 実践的な応用: なぜ必要なの？

Linuxセキュリティの設定は、仕事だけでなく面接でも役立つよ。ファイアウォール、SELinux、アクセス権の設定の基本を知っていると、雇用主に良い印象を与えられるんだ。例えば、会社のサーバーをDDoS攻撃から守ったり、プロジェクトの共同作業に適した権限を設定したりできるよ。

もし開発に携わるなら、システムを守ることでコードが競合に渡らないし、顧客のデータを安全に保てるんだ。それは単なるハバロフスキーのパラノイアではなく、現代の業界においてリアルな必要性なんだよ。