/* * rootになろう! * */ ■システム防御その8 shell が利用できるプロバイダーというのがあります。これはサーバーになっているUNIX 上(NTでもtelnetで入れるときもある)でコマンド等を実行できる環境です。たいていte lnetで入って cgiのディバックなどのために公開しているのです。これは、非常に大きな セキュリティーホールになりうるものです。 あることをすることによってroot(管理者権限)を得ることができます。こうなると(知 識と技術があれば)何でもできます。システムを停止させようが踏み台にしようが、内部 のネットワークを探ろうが、ファイルをすべて消すなんて芸のないこともできます。 プロバイダーではかなり制限がきついのですが、企業ではそこまで金が回らないためにや りやすくなっています。確率的にはshell=1/2root です。実はshell が無くてもroot権限 を奪うことできます。最近では認証サーバーを攻撃することにより、できる方法が公開さ れました。これを使えば、ほとんどのプロバイダーに勝手にアカウントを作成したりでき ます。 ■システム防御その8 ・rootにはさせない さて、shellアカウントはありますでしょうか? ある場合は注意してください、rootにな るプログラムはinternet上で公開されています。これらのプログラムは特定のプラットホ ーム上で動くもので、AIXならAIX用、BSDならBSD用のものがあります。これらのツール郡 はある程度決まっていますので、その系統のコマンドをroot権限でないと実行できないよ うにしましょう。 ・もしも乗っ取られてしまった場合 ・誰がやっているかを突き止める LAN Analyzerを使って、誰がどこからつなげているかを特定しましょう。普通はtelnet もしくはBackboorを使ってログインしてくるので、 telnetのパケットを そのまま取り 込んで、パケットの出元を突き止めます。次に出元のIPアドレスより、JPNIC,interNIC のデータベースを使ってどの組織が管理しているかを突き止めます。その組織に直接電 話をして、(メールより緊急性があってよい)たぶんそこは踏み台にされているので、 調査を依頼します。うまくいけば見つかるでしょう。 ・とりあえず取り返す rootのパスワードが変更されているときは、ログインできませんので、シングルモード に移行して /etc/passwdのrootをパスワード無しにします。マルチモードに移行後root パスワードを変更します。 実ユーザーのはいった /etc/passwdを入れ直します。このとき /usr/bin/csh, /usr/bi n/sh, /usr/bin/bash, /usr/bin/tcshとかを /usr/bin/zeroなど実在しないものにしま す。(rootはshellが必要です)これで、一時的にはshellが使えなくなりました。root と取る原因となったものを調査しましょう。 ・telnetのアクセス制限 tcpdによってtelnet接続できるIPアドレスをあらかじめ制限しておくことによって、te lnetできるIPアドレスをあらかじめ制限しておきましょう。システムを守るいい方法で す。また、rootはコンソールからのみしか使えないとか。しておくのもいい手段です。