インシデント対応時の具体的操作(草案)

Last Up : 2003/10/17 (森川靖大)  <<  Orginal : 2003/10/04 (森川 靖大)

この文書は、 セキュリティインシデント対応において必要となる、 コンピュータの具体的な操作をまとめたものである。

なお、この文書は OS や ソフトウェア に関する直接的な操作法を記述しているので、それらの変更に対応して改訂せねばならないことに注意せよ。

この文書に対し、 専攻サーバセキュリティポリシーセキュリティインシデント対応 はそれら OS やソフトウェアの変更に直接影響しないようにしておかなければならない。



・ ネットワークからの隔離

ネットワークから退避する最も簡単で (おそらくは) 安全な方法は 当該サーバからネットワーク線を外すことである。 これによって完全に当該サーバはネットワークから隔離され、 データに関しても (通常は) 破壊されない。

ただし、中には ネットワーク線を外すとデータを破壊する ように作成されたプログラムも存在する (らしい)。 ネットワーク線を外した際に、もしも やたらと HDD ランプが点灯しているHDD へのアクセスが起こっている などの場合には即座に電源をきるようにして欲しい。


・ データの退避

ここで言う「データ」とは、

を指す。 これらは (少なくとも現在は) システムとは別のディスクに保存しているので退避は比較的容易であろう。

これらのデータの退避はソフト、ハードの2段階に分けられる。

1. ソフトウェアにおけるデータの退避

ソフトウェア上からデータを退避させるのには、 a) umount コマンドでシステムから隔離、 する方法と、 b) shutdown -h now コマンドでシステムの停止と同時にデータをシステムから隔離、する方法がある。

ソフトウェア上でデータを退避させた後に、 ハードウェア的にもデータを退避させなければならないため、 最終的にシステムは停止させるが、 ここでは a) の方法を選択する。

なお、システム停止はローカルでログインして行うこと。 停止時のメッセージをしっかり眺め、HDD へのアクセスを確認し、 データを消去するなどの怪しい挙動が無いかを確認しながら行うこと。 なお、そのような挙動を発見したら、 即座に電源を切る こと。 (セキュリティポリシーで定めている通り、 データの保護はシステムの防御に優先する。 怪しいと思ったら即座に実行すること。)

原則的に、不正侵入を許したホストに関しては、 そのシステム上のコマンドは全て信用できない ことに注意して頂きたい。

「a) 先にデータを退避する」という選択肢に関しては、 実はあまり根拠がない。 「b) 直接システムを停止する」方に利点があるのであれば、 そちらを採用して頂きたい。

以下は、具体的な手順である。 (もしかしたら、 停電時のような真っ当な停止手順 を踏むべきかも知れない...)

2. ハードウェアのデータの退避

ホストの電源が停止したら、 データの格納されたディスクをシステムから物理的に取り外す。 (幸いにして、現在専攻サーバは、 システムとデータを別々のディスクに格納しているため、 容易に分離が可能である。)

物理的に隔離できたら、データの退避は完了である。 システムの復旧が完了するまでは、 このデータをシステムに接続しないこと。


・ データへのダメージの把握

残念ながら、今のところはデータへのダメージを厳密に確認する方法は無い。 (データ領域のサイズを比較するくらいはできるかも知れないが)。

もしも厳密に比較等を行うのであれば、 TripWire (商用) などを使う必要があるだろう。


Copyright © 2003 epcore