[HACK#53 SSLによるIMAPとPOPの暗号化](https://github.com/careerbeat/dit-ehime/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3HACKS-Wiki-%E7%AC%AC%E4%BA%94%E7%AB%A0-%E6%9A%97%E5%8F%B7%E5%8C%96%E3%81%A8%E3%82%BB%E3%82%AD%E3%83%A5%E3%82%A2%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9#hack53-ssl%E3%81%AB%E3%82%88%E3%82%8Bimap%E3%81%A8pop%E3%81%AE%E6%9A%97%E5%8F%B7%E5%8C%96) [HACK#54 Sendmailを使ったTLSによるSMTPの暗号化](https://github.com/careerbeat/dit-ehime/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3HACKS-Wiki-%E7%AC%AC%E4%BA%94%E7%AB%A0-%E6%9A%97%E5%8F%B7%E5%8C%96%E3%81%A8%E3%82%BB%E3%82%AD%E3%83%A5%E3%82%A2%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9#hack54-sendmail%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%9Ftls%E3%81%AB%E3%82%88%E3%82%8Bsmtp%E3%81%AE%E6%9A%97%E5%8F%B7%E5%8C%96) [HACK#55 ApacheでのSSLとsuEXECの利用](https://github.com/careerbeat/dit-ehime/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3HACKS-Wiki-%E7%AC%AC%E4%BA%94%E7%AB%A0-%E6%9A%97%E5%8F%B7%E5%8C%96%E3%81%A8%E3%82%BB%E3%82%AD%E3%83%A5%E3%82%A2%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9#hack55-apache%E3%81%A7%E3%81%AEssl%E3%81%A8suexec%E3%81%AE%E5%88%A9%E7%94%A8) [HACK#56 BINDのセキュリティ向上](https://github.com/careerbeat/dit-ehime/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3HACKS-Wiki-%E7%AC%AC%E4%BA%94%E7%AB%A0-%E6%9A%97%E5%8F%B7%E5%8C%96%E3%81%A8%E3%82%BB%E3%82%AD%E3%83%A5%E3%82%A2%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9#hack56-bind%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E5%90%91%E4%B8%8A) [HACK#57 MySQLのセキュリティ向上](https://github.com/careerbeat/dit-ehime/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3HACKS-Wiki-%E7%AC%AC%E4%BA%94%E7%AB%A0-%E6%9A%97%E5%8F%B7%E5%8C%96%E3%81%A8%E3%82%BB%E3%82%AD%E3%83%A5%E3%82%A2%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9#hack57-mysql%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E5%90%91%E4%B8%8A) [HACK#58 Unixにおけるセキュアなファイル共有](https://github.com/careerbeat/dit-ehime/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3HACKS-Wiki-%E7%AC%AC%E4%BA%94%E7%AB%A0-%E6%9A%97%E5%8F%B7%E5%8C%96%E3%81%A8%E3%82%BB%E3%82%AD%E3%83%A5%E3%82%A2%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9#hack58-unix%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8B%E3%82%BB%E3%82%AD%E3%83%A5%E3%82%A2%E3%81%AA%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E5%85%B1%E6%9C%89) # HACK#53 SSLによるIMAPとPOPの暗号化 ## 概要 - SSLがサポートされたIMAP、POP3のデーモン「Dovecot」を用いてメールを受信する際の通信を暗号化する - IMAPやPOP3では、メール本文や認証用パスワードが暗号化されない<br> → 悪意あるユーザーに盗聴される可能性がある ## 背景 IMAPやPOPはメールを受信するためのプロトコルである 下記にIMAPとPOPの違いを示す <b>IMAP(Internet Message Access Protocol)</b> - サーバー主導型プロトコルとも言い、メールボックスをサーバーの方に保管する - メールクライアントでメール表示するときは、サーバーに置かれたメールボックスを表示する(複数のメールクライアントから 同じサーバーにある一つのメールボックスを参照する) <b>POP(Post Office Protocol)</b> - メールソフト主導型プロトコルとも言い、メールサーバーからメールをパソコンにダウンロードして閲覧する - 未読管理はメールクライアントに任される(ある1つのメールクライアントで既読にしても、別のメールクライアントにダウンロードした同じメールは既読にならない) 上記のような違いがあるIMAPとPOPだが、両方とも平文(暗号化されていない文)でメールの受信が行われるという共通の欠点がある もし、メールの受信に用いている回線が不正な監視を受けると簡単にメール内容を盗み見られてしまう そこで、IMAPにおいてもPOPにおいても安全にメールの受信を行うために、SSLを用いてメール内容を暗号化する ### ※前提知識、確認方法についてはHACK#54の送信メールの暗号化と重複する作業があるのでHACK#54でまとめて記載します # HACK#54 Sendmailを使ったTLSによるSMTPの暗号化 ## 概要 - TLS(Tranceport Layer Security)により送信メールを暗号化して、転送中の電子メールを保護する - SMTPもIMAPやPOP3と同じくメール本文や認証用パスワードが暗号化されない ## 背景 SMTPはメールを送信するためのプロトコルである 下記にSMTPの概要を示す <b>SMTP(Simple Mail Transfer Protocol)</b> - メールクライアントからメールサーバーへメールを送信する場合にも使用される - メールサーバー間でメールを転送する場合にも使用される ただし、SMTPにはメールを受信するためのプロトコルと同じく、平文でメールの送信が行われるという欠点がある そのため、送信メールにもメール内容を盗み見られるという危険性が付きまとう そこで、SMTPにおいて安全にメールの送信を行うために、TLSを用いてメール内容を暗号化する <b>TLS(Transport Layer Security)</b> - SSLと同じくデータを暗号化して送受信するプロトコルの１つである - SSLの後継にあたる(SSL 3.0の次のバージョンがTLS 1.0) - 上記のため、TLSを使用していてもSSLと表記されたり、SSL／TLSなどと表記されたりする ## 前提知識 Sendmailは長い年月をかけて様々な機能が搭載されてきたが故に、設定が複雑になっている そこで、ここでは最近よく使用されている「Postfix」における送信メールの暗号化について解説する PostfixはSendmailとの互換性を保ちながら、運用管理を楽にし、処理速度を上げてセキュリティが強化されている DovecotやPostfixで電子メールを送受信メールを暗号化するには証明書と鍵が必要となる 下記で証明書と鍵の作成方法も合わせて詳しく解説する ## 確認方法 #### DNSの設定 - 「example.com」のドメインを指定して、自ホストで名前解決を行うように設定します<br> 例：kubota.soc → 192.168.1.125<br> 例：mail.kubota.soc → 192.168.1.125 #### sendmail の無効化 - Postfixを使用するので、下記コマンドでsendmailを停止させ、自動起動しないようにします <pre> # /etc/rc.d/init.d/sendmail stop # chkconfig --del sendmail </pre> #### Postfix(メール転送エージェント)とDovecot(POP/IMAPサーバソフトウェア)のインストール <pre> # yum -y install postfix # yum -y install dovecot </pre> #### 秘密鍵・自己証明書の作成(TLS/SSL用) <b>※ホスト名やドメイン名はDNSで設定したものにしてください(今回はkubota.socを使用します)</b> 1. まず、秘密鍵・自己証明書の作成用ディレクトリに移動します <pre> # cd /etc/pki/tls/certs/ </pre> 2. 次に、オリジナルのMakeファイルをバックアップします <pre> # cp -ip Makefile Makefile.org </pre> 3. 次に、サーバー用証明書有効期限を1年から10年に変更します <pre> # sed -i 's/365/3650/g' Makefile </pre> 4. 次に、サーバー用秘密鍵・自己証明書を作成します <pre> # make mail.kubota.soc.crt </pre> 以下のような質問がされるので、適切に入力します <pre> Enter pass phrase:1234（← 入力内容は表示されません） Verifying – Enter pass phrase:1234（← 入力内容は表示されません） Enter pass phrase for server.key:1234（← 入力内容は表示されません） Country Name (2 letter code) [GB]:JP State or Province Name (full name) [Berkshire]:＜空エンター＞ Locality Name (eg, city) [Newbury]:＜空エンター＞ Organization Name (eg, company) [My Company Ltd]:＜空エンター＞ Organizational Unit Name (eg, section) []:＜空エンター＞ Common Name (eg, your name or your server’s hostname) []:mail.kubota.soc Email Address []:＜空エンター＞ </pre> 5. 次に下記コマンドでサーバー用秘密鍵からパスワードを削除します <pre> # openssl rsa -in mail.apar.jp.key -out mail.apar.jp.key Enter pass phrase for server.key:1234（← 入力内容は表示されません） </pre> 6. 最後にサーバー用秘密鍵の場所を変更します <pre> # mv /etc/pki/tls/certs/mail.kubota.soc.key /etc/pki/tls/private/ </pre> 最終的に秘密鍵と証明書は下記に格納されています <pre> /etc/pki/tls/certs/mail.kubota.soc.crt /etc/pki/tls/private/mail.kubota.soc.key </pre> # HACK#55 ApacheでのSSLとsuEXECの利用 ## 概要 - SSLを使用してWebサーバーの通信を暗号化する<br> ※SSL(Secure Sockets Layer):インターネット上で通信を暗号化する技術<br> - ApacheのsuEXEC機能で所有者権限でSSIを実行する<br> ※SSI(Server Side Includes):HTMLにWebサーバー側で実行するコマンドを埋め込んで、その実行結果をクライアントに返す仕組み<br> - Webサーバーの通信でも暗号化されていないと盗聴(ネットワークスニファなど)やなりすましの危険性がある - SSIは通常Webサーバーの起動ユーザー権限で実行する<br> → 複数のユーザーが共有しているWebサーバーでは、SSIの実行で悪影響が及ぶ可能性がある<br> (アカウント情報へのアクセスが許されるなど) ## 背景 ## 前提知識 CentOS6.8にインストール済みのApacheはバージョン2.2.15なので、Apache 2.X系について解説していく Apache 2.X系ではSSL機能がデフォルトで実装されているので、設定のみで機能が利用できる SSL機能を利用するには、証明書と鍵を生成しなければならない 証明書は「ウェブサイト所有者の確認」と「通信データの暗号化」のために必要になる 鍵は暗号化・復号化のために必要となる 下記でApache2.2.15でSSL機能を有効化する方法とsuEXECを利用する方法を解説する ### 確認方法 #### SSLの有効化 まず、SSLを利用するのに必要な鍵と証明書を作成します 1. 証明書と鍵を格納しておく任意のディレクトリに移動する <pre> # cd /etc/httpd/conf </pre> 2. 復号化に必要な秘密鍵をserver.keyという名前(任意)で作成する <pre> # openssl genrsa -aes128 1024 > server.key 「128ビットのAES方式で暗号化した1024ビットの秘密鍵を作成」 </pre> 3. 秘密鍵のペアとなる暗号化に必要な公開鍵をserver.csrという名前(任意)で作成する <pre> # openssl req -new -key server.key > server.csr </pre> ※鍵の作成中に問われる「Common Name」には実際にブラウザで指定するアドレスを入力しましょう <pre> Country Name (2 letter code) [XX]:JP State or Province Name (full name) []:Ehime Locality Name (eg, city) [Default City]:Matsuyamashi Organization Name (eg, company) [Default Company Ltd]:soc Organizational Unit Name (eg, section) []:hogetaro Common Name (eg, your name or your server's hostname) []:192.168.XXX.XXX ←ここ Email Address []:root@dojo.local </pre> 4. 秘密鍵と公開鍵を使ってserver.crtという名前(任意)の証明書を作成する <pre> # openssl x509 -in server.csr -days 36500 -req -signkey server.key > server.crt 「X.509形式の証明書ファイルを有効期間36500日(約100年)で作成」 </pre> 鍵と証明書が作成できたら、そのパスがApacheに分かるように設定して、Apacheを再起動します 5. /etc/httpd/conf.d/ssl.confで証明書と秘密鍵のパスを指定する <pre> SSLCertificateFile /etc/httpd/conf/server.crt SSLCertificateKeyFile /etc/httpd/conf/server.key </pre> 6. Apacheを再起動する <pre> # /etc/init.d/httpd restart </pre> Webブラウザで下記のURLにアクセスするとSSLによる暗号化通信ができているかを確認できます <pre> https://Common Nameで入力した値/ </pre> ※本来、証明書は認証局から内容が正しいという署名をもらわなければなりません(HACK#65参照) ※上記の設定だけでは、Apacheの起動のたびに秘密鍵のパスフレーズを要求されてしまうので、下記のコマンドを実行すると要求されなくなります <pre> # mv server.key server.key.bak # openssl rsa -in server.key.bak > server.key </pre> #### suEXECの利用 簡単なCGIを作成して、それをsuEXECを用いてOSに登録済みの任意のユーザーで実行しましょう 7. suEXECの設定を行う - /etc/httpd/conf/httpd.confの最終行に下記を追記する <pre> SuExecUserGroup hoge hoge 「hogeグループのhogeユーザーとして実行する」 </pre> 8. 簡単なCGIを作成する ``` [test.cgi] #!/usr/bin/perl print "Content-type: text/html\n"; print "\n"; print "<html>\n"; print "<head>\n"; print "<title>テスト</title>\n"; print "</head>\n"; print "<body bgcolor=\"#ffcccc\">\n"; print "これはCGIのテストです。\n"; print "</body>\n"; print "</html>\n"; ``` 9. CGIを保存するディレクトリのオーナー、グループをCGIを実行するユーザー、グループ(SuExecUserGroupで設定したもの)にする <pre> # chown hoge:hoge -R /var/www/cgi-bin/test/ </pre> 10. CGIに実行権を与える <pre> # chmod 750 /var/www/cgi-bin/test/test.cgi </pre> ※CGIの実行は所有者であるhogeが行うので、その他ユーザーに実行権限を与える必要がなくなります 最後にApacheを再起動してWebブラウザから作成したCGIにアクセスしてみて、ページが正しく表示されたら成功です # HACK#56 BINDのセキュリティ向上 ## 概要 - DNSサーバであるBINDをサンドボックス環境で実行することなどでセキュリティを向上させる - DNSサーバーは不特定多数の人がアクセスするので、十分なセキュリティ対策を講じる必要がある - しかし、BINDはセキュリティをあまり考慮されていない - 自分で最適な設定を行わなければならない ## 実践 BINDのセキュリティを向上させる4つの方法を紹介する 1. BINDをサンドボックス環境で実行する 1. BINDのゾーン転送を制限する 1. BINDのバージョンを詐称する 1. 公開ネームサーバの再帰問い合わせを無効化する 1では、DNSのプロセスがアクセスできる範囲を制限して、攻撃されたときに被害を最小限に食い止める 2では、ゾーン転送を制限して、攻撃者からのリクエストを拒否する 3では、BINDのバージョンを詐称して、攻撃者がセキュリティホールを探りにくくする 4では、結果が分からなくても必ず問い合わせの結果を返す再帰問い合わせを無効化してDoS攻撃を防止する 下記で詳しい手順について解説する ### 確認方法 ### ①BINDをサンドボックス環境で実行する CentOSでは、BINDをサンドボックス(chroot)環境へ移行するのに特別な設定は必要ありません bind-chrootパッケージをインストールして、namedを再起動するだけで/var/named/chroot配下に設定ファイルが移行されます <pre> # yum -y install bind-chroot # /etc/rc.d/init.d/named restart </pre> chroot環境に移行できたかどうかの確認は下記コマンドで行えます <pre> # ll /var/named/chroot/etc(named.confなどを格納) # ll /var/named/chroot/var/named(ゾーンの設定ファイルなどを格納) </pre> chroot環境に移行後は、その配下の設定ファイルで設定を行います ### ②BINDのゾーン転送を制限する ゾーン転送を許可するIPアドレスを指定して、それ以外へのゾーン転送を禁止します /etc/named.conf(chroot環境の場合は/var/named/chroot/etc/named.conf)のoptionsセクション内のallow-transferセクションに下記のように記述することで、ゾーン転送を制限できます <pre> allow-transfer { 192.168.1.11; 192.168.1.125; } 「192.168.1.11と192.168.1.125のみにゾーン転送を許可」 </pre> ### ③BINDのバージョンを詐称する /etc/named.conf(chroot環境の場合は/var/named/chroot/etc/named.conf)のoptionsセクションにversion項目を追加します <pre> version "SuperHappy DNS v1.5"; </pre> これは、脆弱性の発見を困難にさせるのに有効です ### ④公開ネームサーバの再帰問い合わせを無効化する /etc/named.conf(chroot環境の場合は/var/named/chroot/etc/named.conf)のoptionsセクションにrecursion文を追加する <pre> recursion no; </pre> # HACK#57 MySQLのセキュリティ向上 ## 概要 - MySQLをchroot環境で実行してセキュリティを強固にする - MySQLはよく用いられるデータベースシステムであるが、ソフトウェア構造が複雑で、ローカルやリモートの様々なプログラムとやりとりする<br> → 攻撃されたときに影響が及ぶ範囲が広い - 慎重に構成しなければならない ## 実践 ### MySQLのセキュリティ対策 1. MySQLをchroot環境で実行する<br> ※攻撃されたときに影響が及ぶ範囲を最小限にする 1. rootでないユーザーの権限で実行する<br> ※MySQLに限らずLinuxシステムなどについても言えることだが、ユーザーに余計な操作を行わせない 1. MySQLのローカルファイルの読み込みを制限する ここでは、MySQLをchroot環境で実行する方法について解説する ### 確認方法 うまくいかないので、現在調査中です # HACK#58 Unixにおけるセキュアなファイル共有 ## 概要 - SFSを用いて信用できる相手とセキュアなファイル共有を行う - NFSによるファイル共有には多くのセキュリティ上の問題がある - IPアドレスを詐称してマウントされてしまうと、root権限が奪われたも同然 - ファイルにアクセスする手段として用いられている秘密のファイルハンドルの通信が一切暗号化されていない<br> ※ファイルハンドル:今どのファイルを処理しているかを管理するための名前 ## 実践 SFSではNFSの問題点がすべて解決されている また、ファイル共有の相手の確認が厳密に行われている サーバーとクライアントの両方で公開鍵を使用し、両者間で認証が成功した後に初めてファイルアクセスが可能となる 下記でSFSを用いたファイル共有の方法について詳しく解説する ### 確認方法 うまくいかないので、現在調査中です