Linuxでフィジカルセキュリティを確保する方法

この記事では、Linuxにおいてフィジカルセキュリティを確保する方法について詳しく解説します。具体的なコード例とその解説、さらに多角的な観点からの補足事項を含めます。

Linuxとフィジカルセキュリティ

Linuxシステムでは、ソフトウェアによるセキュリティ対策が多く取り上げられますが、フィジカルセキュリティも非常に重要です。この部分が疎かであれば、どれだけソフトウェアを強固にしても、リスクが残ります。

なぜフィジカルセキュリティが重要なのか

物理的なアクセスが許可されると、パスワードのリセットやデータの盗用、さらにはシステムを破壊される可能性があります。このような危険性を防ぐため、フィジカルセキュリティもしっかりと行いましょう。

基本的な対策方法

BIOSまたはUEFIのパスワード設定

BIOSまたはUEFIにパスワードを設定することで、不正なブートを防ぐことができます。

# BIOSまたはUEFIの設定画面でパスワードを設定

USBポートとCD-ROMの無効化

USBデバイスやCD-ROMからのブートが可能な場合、それを無効化しておきます。

# /etc/modprobe.d/blacklist.conf に以下の行を追加してUSBを無効化
blacklist usb-storage

物理的な鍵の使用

物理的な鍵（例：セキュリティスロット）を使用して、機器自体を固定します。

応用的な対策方法

chattrコマンドを用いたファイルの不変属性設定

# chattr +i /etc/passwd  # /etc/passwdファイルを不変にする
chattr +i /etc/shadow  # /etc/shadowファイルを不変にする

auditdの設定

auditdを設定して、不正アクセスや不審な行動を監査します。

# /etc/audit/audit.rules に監査ルールを追加
-w /etc/passwd -p wa

システム全体のRead-Only化

システム全体をRead-Onlyに設定することで、不正な書き込みを防ぎます。

# /etc/fstab に以下のオプションを追加
/  ext4  defaults,ro  0  0

自動ロックの設定

一定時間操作がない場合、自動でシステムをロックします。

# ~/.bashrc に以下の行を追加
TMOUT=600

IPMIを用いた遠隔管理

IPMI（Intelligent Platform Management Interface）を設定して、遠隔からのシステム停止や再起動を管理します。

# ipmitoolで遠隔からシステムをシャットダウン
ipmitool -I lanplus -H 192.168.0.1 -U ADMIN -P ADMIN power off

まとめ

Linuxにおけるフィジカルセキュリティは、ソフトウェアによるセキュリティだけでは補えない重要な要素です。基本的な対策から応用的な対策まで、多角的に行いましょう。