HOME»情報処理安全確保支援士掲示板»R1秋  午後Ⅱ【問1】設問2(1)
投稿する

R1秋  午後Ⅱ【問1】設問2(1) [1470]

 あわわさん(No.1) 
本問  
対策4:アプリ及びミドルウェアを管理者権限以外の必要最小限の権限で稼働させる。が防ぐマルウェアの機能について

ウ  サーバのFWのルール変更する機能
エ  ルートキットYをダウンロードし、インストールする機能
オ  活動の痕跡が含まれるログファイルを削除する機能

の三つとなっています。

答えから読み解くと、管理者権限でないと上記の3つはできないと読めますが、

質問1:ダウンロードにはcurlコマンドを使用しますが、一般権限では不可でしょうか。

質問2:ログファイルの削除をrmコマンドでする場合、一般権限では不可なのでしょうか。rmコマンドは一般権限でも実行できるがログファイルは削除不可能ということでしょうか。

質問3:対策上そもそも上記のコマンドの実行権限自体もしっかり設定するという意味でしょうか。

長文になりますが、ご回答お願いいたします。
2024.03.31 18:14
pixさん(No.2) 
SC ダイヤモンドマイスター
>質問1:ダウンロードにはcurlコマンドを使用しますが、一般権限では不可でしょうか。
ダウンロードするだけならば、一般権限で十分です。
ルートキットはOSのシステムファイルを変更するので、【インストール】するために
管理者権限が必要になります。

>質問2:ログファイルの削除をrmコマンドでする場合、一般権限では不可なのでしょうか。
>rmコマンドは一般権限でも実行できるがログファイルは削除不可能ということでしょうか。
Linuxの一般で例を挙げると、活動の痕跡となるログファイルは/var/log配下の
messagesなどと考えられます。
これらのファイルを削除するには管理者権限が必要です。

>質問3:対策上そもそも上記のコマンドの実行権限自体もしっかり設定するという
>意味でしょうか。
ちがいます。コマンドの権限を管理するのではなく、アプリ及びミドルウェアを
必要最低限の権限で動かすということです。
これによりアプリ及びミドルウェアで権限昇格が発生したとしても、必要最低限の
権限となり、管理者権限は奪取されません。
2024.03.31 18:35
 あわわさん(No.3) 
pix様丁寧な回答ありがとうございます
私の認識が違っていたことがわかりました。

1点私が完全に理解できていないことがあります。
アプリ及びミドルウェアを必要最低限の権限で動かすとという部分ですが、具体例として私は管理者権限でソフトを実行せずに一般権限で実行することだとイメージしました。

  ただ、私はサーバ側で具体的にそのような設定を見たことも、したこともなく(個人PCを触っている範囲だと正直具体的な設定のイメージがなく)何か具体的な例をみることで理解を深められないかと思っております。
参考になる例があれば教えていただけますでしょうか。

またpix様のおっしゃった

"権限昇格が発生したとしても、必要最低限の権限となり、管理者権限は奪取されません。"  ですが

権限昇格は管理者権限を与えられたアカウントが存在しなければ管理者権限に昇格ができないという意味であっていますでしょうか。
2024.03.31 21:11
pixさん(No.4) 
SC ダイヤモンドマイスター
>  ただ、私はサーバ側で具体的にそのような設定を見たことも、したこともなく
>(個人PCを触っている範囲だと正直具体的な設定のイメージがなく)
>何か具体的な例をみることで理解を深められないかと思っております。
>参考になる例があれば教えていただけますでしょうか。
Linuxでapacheを起動する時を例として挙げます。
Linuxでapacheは管理者ではなく、apacheという一般ユーザーで起動します。
(これはRedhat系です。Ubuntuではまた別のユーザーになります。)
"ps -ef | grep httpd"で確認すると、どのユーザー権限で
起動したかを確認できます。

>またpix様のおっしゃった
>"権限昇格が発生したとしても、必要最低限の権限となり、
>管理者権限は奪取されません。"  ですが
>権限昇格は管理者権限を与えられたアカウントが存在しなければ管理者権限に
>昇格ができないという意味であっていますでしょうか。
apacheが攻撃を受けることによって、apacheのユーザー権限を取得されて
しまいます。これを権限昇格といいます。
その際に、apacheが管理者権限で動作していると、権限昇格によって管理者権限が
奪われてしまいます。
しかし、apacheという一般ユーザーで動作していれば、権限昇格したとしても、
一般ユーザーであるapacheユーザーの権限しか奪取されません。
2024.03.31 21:28
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop