[ 前のページ ] [ 目次 ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ 次のページ ]

Debian セキュリティマニュアル
第 10 章 - システムを破られた後


10.1 一般的な行動

攻撃が行われている現場に物理的にいあわせたならば、そしてもしこうしても 商取引に悪影響をもたらさないならば、侵入者が何をしたか調べてシステムを 安全にするまで NIC を単にはずしましょう。ネットワークを layer 1 の段階で 停止することは攻撃者を破られたシステムから締め出すただひとつの本当の方法です。 (Phillip Hofmeister さんの賢明な助言です。)

侵入から本当にはやく復旧したいならば、破られたホストをネットワークから 取りのぞいてはじめから OS を再インストールするべきです。侵入者がどうやって root を手に入れたのかわからなければこれにはたぶん何の効果もないかもしれません。 この場合は何もかも調べなければなりません: ファイアウォール、ファイルの完全性、 ログホストのログファイルなどです。侵入のあとで何をするべきかについてくわしくは Sans' Incident Handling Guide または CERT's Steps for Recovering from a UNIX or NT System Compromise をごらんください。


10.2 システムのバックアップを取る

システムが破られたことがわかっているならその中のソフトウェアもそれが返す どんな情報も信用できないことに注意してください。アプリケーションがトロイの 木馬化されたかもしれませんし、カーネルモジュールがインストールされている かもしれません、などなど。

最もよいのは安全なメディアからブートしたあと (dd を使って) ファイルシステムの完全なバックアップコピーを取ることです。Debian GNU/Linux CD はこのために便利に使えます。なぜならそれはインストールがはじまったとき コンソール 2 でシェルを提供するからです (Alt+2 を使い、Enter を押して移動して ください)。このシェルはシステムがオフラインである間に (または、再インストール 中に) 解析するために情報を他の場所へ (NFS/FTP 経由でネットワークファイル サーバへ、など) バックアップするのに使うことができます。

トロイの木馬化されたカーネルモジュールしかないとわかっているなら、CD の カーネルイメージを rescue モードで動かしてみることができます。 カーネルのあとで他のトロイの木馬プロセスが動かないようにシングル モードで起動するようにしてください。


10.3 科学捜査

さらに多くの情報を集めたいならば、tct (Dan Farmer と Wietse Venema による The Coroner's Toolkit) パッケージにはシステムの 「検死解剖」を行うユーティリティが含まれています。 tct はユーザが削除されたファイル、動いているプロセスなどに ついての情報を集めることを可能にします。くわしくは付属文書をごらんください。

科学捜査は常にデータのバックアップコピーに対して行うべきです。データ そのものに対して行ってはいけません。なぜならデータが解析中に 変更されるかも (そして失われるかも) しれないからです。

FIXME。この段落には将来の Debian システムでの科学捜査についての情報を もっと提供できたらと思う。

FIXME: CD 上の md5sum に対して、そして別のパーティションに復旧された ファイルシステムに対して安定版システム上で debsums をどう使うか述べる。


[ 前のページ ] [ 目次 ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ 次のページ ]

Debian セキュリティマニュアル

v2.4 Tue, 30 Apr 2002 15:41:13 +0200 (翻訳: Thu, 6 Jun 2002)

Javier Fernández-Sanguino Peña jfs@computer.org
翻訳: 大原雄馬 oohara@libra.interq.or.jp