Linux。そう、信頼性、柔軟性、そしてセキュリティのプラットフォームです。オープンソースのオペレーティングシステムによってセキュリティが大幅に向上するとはいえ、100%安全なコンピュータなど存在しません。以上です。以上です。しかし、Linuxでも、より安全な環境を構築するためにできることはあります。
Linuxのセキュリティにおいて忘れられがちなのが、ホームディレクトリ(~/)です。覚えておくべき点として、このディレクトリにはユーザーデータが保存されているということです。つまり、これはドキュメントが保存されるデフォルトのディレクトリです。このマシンをビジネス環境で使用している場合、機密情報が保存されている可能性があります。
ホームディレクトリをより安全にするために何ができるか見てみましょう。まずは簡単なヒントから始めましょう。今回は、インストールしたばかりのUbuntu 17.10デスクトップでデモを行います。
権限
一つ知っておくべきことは、初期状態ではユーザーはホームディレクトリ内の互いのファイルを読み取れるということです。そうです、複数のユーザーが利用するLinuxマシンでは、ユーザーは互いのファイルを読み取れるのです(ただし、ファイルがホームディレクトリ内、またはホームディレクトリ内の子フォルダ内に保存されている限り)。つまり、ユーザー jack が /home/jack/jacksfile というファイルを持っている場合、ユーザー olivia はそのファイルの内容を読み取ることができます(ただし、書き込みはできません)。
これを防ぐにはどうすればいいでしょうか?実はとても簡単です。各ユーザーのホームディレクトリのパーミッションを変更するだけです。各ユーザーディレクトリに対して、以下のコマンドを実行してください。
sudo chmod -R 700 /home/USER
ここで、USER は実際のユーザー名です。
ユーザーが自分のアカウント内のディレクトリの内容を一覧表示しようとすると(または同じディレクトリ内のファイルを読み取ろうとすると)、アクセス権が拒否されたというエラーが表示されます。
これが簡単な方法です。次は、ユーザーのホームディレクトリのセキュリティを強化する、より複雑な方法を見てみましょう。
参照: Linux のセキュリティ保護ポリシー (Tech Pro Research)
暗号化
プラットフォームのインストール中に、各ユーザーのホームディレクトリを暗号化するかどうかを尋ねられます。インストール中にこの設定をスキップした場合でも、心配はいりません。インストール後に設定できます。手順は以下のとおりです。
まず最初に、いくつかの追加ツールをインストールする必要があります。ターミナルウィンドウに戻り、次のコマンドを実行します。
sudo apt-get install ecryptfs-utils cryptsetup
次のステップは、管理者権限を持つ一時的なアカウントを作成することです。設定アプリを開き、「ユーザー」を検索します。新しいウィンドウ(図A)で「ロック解除」ボタンをクリックし、sudoパスワードを入力します。
図A
次に、「ユーザーを追加」ボタンをクリックし、新しいユーザーの情報を入力します(図B)。これは一時的なユーザーであり、他のユーザーのホームディレクトリの暗号化にのみ使用されることに注意してください。
図B
新しいユーザーを作成したら、設定ウィンドウを閉じて現在のユーザーからログアウトします。その後、一時的なユーザーアカウントにログインします。新しいユーザーからターミナルウィンドウを開き、以下のコマンドを実行してユーザーのホームディレクトリを暗号化します。
sudo ecryptfs-migrate-home -u USER
USER は、暗号化するホームディレクトリのユーザー名です。まず、一時ユーザーの sudo パスワードの入力が求められ、次にホームディレクトリを暗号化するユーザーのパスワードの入力が求められます。上記のコマンドは、ユーザーのディレクトリを暗号化するだけでなく、問題が発生した場合に備えて、そのディレクトリの内容のバックアップも作成します。
この次のステップは非常に重要です。システムを再起動する前に、以下の手順を実行する必要があります。
- ディレクトリが暗号化されたユーザーとしてログインします。
- ecryptfs-unwrap-passphraseコマンドを発行し、ランダムに生成されたパスフレーズを記録します (これを機能させるには、ユーザーのログイン パスワードの入力を求められます)。
- システムでスワップ領域が使用されている場合は、sudo ecryptfs-setup-swapコマンドで暗号化する必要があります。
ecryptfs-migrate-home コマンドによって作成されたバックアップは /home にあり、USER.XXX という形式になります(USER はユーザー名、XXX はランダムな文字列)。このバックアップは、数回再起動してユーザーがすべてのファイルにアクセスできることを確認するまでそのままにしておきます。上記の作業が完了したら、システムを再起動し、ホームディレクトリが暗号化されたユーザーでログインしてみてください。
参照: Linux ネットワークを簡単にする 20 のクイックヒント (無料 PDF) (TechRepublic)
掃除
これで完了です。ホームディレクトリが暗号化されました。ホームディレクトリの暗号化が必要なすべてのユーザーに対して、この手順を繰り返してください。完了し、全員がファイルとフォルダにアクセスできることを確認したら、バックアップと一時ユーザーを削除してください。これで、暗号化されたホームフォルダは準備完了です。
