課題 332: ホストセキュリティ
332.1 ホストハーデニング (総重量: 5)
総重量 5
説明 一般的な脅威に対して、Linuxが稼働しているコンピュータをよりセキュアにする。
主な知識分野:

BIOSとboot loader(GRUB 2)セキュリティの設定。
利用していないソフトウエアとサービスを無効化する。
特定のsystemdユニットと全体システムに対して、不必要な機能を理解し削除する。
アドレス空間のランダム化(ASLR: Address Space Layout Randomization )、Data Execution Prevention (DEP) 、 Exec-Shieldを理解し設定する。
ブラックリスト・ホワイトリストに分けられたUSBデバイスを、USBGuardを利用して、コンピュータに接続する。
CAを利用してホストとユーザーキーのSSH CA、SSH証明書を作成し、OpenSSHがSSH証明書を利用するように設定する。
chroot環境での作業
システムコールとプロセスに対して有効な機能を制限するために、systemdユニットを利用する。
特定のファイルやデバイスに、アクセスを制限したりアクセスさせないようにして、プロセスを起動するようにsystemdユニットを利用する。
専用のテンポラリディレクトリや/devディレクトリがあり、ネットワークアクセスができない状態のプロセスを起動するように、systemdユニットを利用する。
プロセスが消費することができるシステムリソースを制限するように、systemdユニットを利用することができる。
Linux MeltdownとSpectreの回避策の影響の理解と、回避策の有効化・無効化。
polkitの知識
仮想化とコンテナ化のセキュリティの利点の知識
用語とユーティリティ:

grub.cfg
systemctl
getcap
setcap
capsh
sysctl
/etc/sysctl.conf
/etc/usbguard/usbguard-daemon.conf
/etc/usbguard/rules.conf
usbguard
ssh-keygen
/etc/ssh/
~/.ssh/
/etc/ssh/sshd_config
chroot