RHELのセキュリティポリシーのチューニング – 企業における最適化手法

作成日 2024.11.30
redhat
redhat

Red Hat Enterprise Linux（RHEL）は、高い信頼性とセキュリティ機能を備えていますが、企業の運用環境に適したセキュリティポリシーの最適化が重要です。本記事では、具体的な手順を通して、RHEL環境でセキュリティを強化し、運用の信頼性を向上させる方法を説明します。

1. 現行セキュリティ設定の確認
2. セキュリティプロファイルの設定
3. SELinuxのポリシーチューニング
4. ファイアウォールのポリシー強化
5. SSHのセキュリティ向上
6. パスワードポリシーの設定
7. ログ監視と分析
8. アンチウイルスの導入
9. 不要なサービスの無効化
10. カーネルパラメータの調整
11. セキュリティ更新の自動化
12. 定期的なセキュリティ監査

現行セキュリティ設定の確認

既存のセキュリティ設定を把握することで、改善ポイントを明確にします。

sudo sestatus
sudo cat /etc/security/limits.conf
sudo firewall-cmd --list-all

セキュリティプロファイルの設定

SCAP（Security Content Automation Protocol）を利用してシステムのセキュリティプロファイルを適用します。

sudo yum install scap-security-guide
sudo oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_pci-dss /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

SELinuxのポリシーチューニング

SELinuxの状態を確認し、必要なポリシーを調整します。

sudo setenforce 1
sudo vi /etc/selinux/config
SELINUX=enforcing

ファイアウォールのポリシー強化

不要なポートを閉じ、必要最小限のトラフィックを許可します。

sudo firewall-cmd --add-service=http --permanent
sudo firewall-cmd --remove-service=ftp --permanent
sudo firewall-cmd --reload

SSHのセキュリティ向上

リモートアクセスの安全性を高めるため、SSHの設定を変更します。

sudo vi /etc/ssh/sshd_config
PermitRootLogin no
PasswordAuthentication no
MaxAuthTries 3
sudo systemctl restart sshd

パスワードポリシーの設定

パスワードの複雑性や有効期限を定義し、ユーザー管理を強化します。

sudo vi /etc/security/pwquality.conf
minlen=12
dcredit=-1
ucredit=-1
lcredit=-1

ログ監視と分析

auditdを使用して重要なイベントを監視します。

sudo yum install audit
sudo systemctl enable auditd
sudo systemctl start auditd
sudo auditctl -w /etc/passwd -p wa -k passwd_changes

アンチウイルスの導入

ClamAVを利用して定期的なウイルススキャンを実行します。

sudo yum install clamav clamav-update
sudo freshclam
sudo clamscan -r /home

不要なサービスの無効化

使用していないサービスを無効化することでセキュリティを向上させます。

sudo systemctl disable cups
sudo systemctl stop cups
sudo systemctl list-unit-files | grep enabled

カーネルパラメータの調整

sysctlでネットワーク関連のカーネル設定を最適化します。

sudo vi /etc/sysctl.conf
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.tcp_syncookies = 1
sudo sysctl -p

セキュリティ更新の自動化

dnf-automaticを利用して最新のパッチを適用します。

sudo yum install dnf-automatic
sudo vi /etc/dnf/automatic.conf
apply_updates = yes
sudo systemctl enable --now dnf-automatic.timer

定期的なセキュリティ監査

ログの確認、パッチの適用状況チェック、設定の見直しを定期的に実施します。

重要ファイルの変更検知
セキュリティログの分析
攻撃兆候の監視