Ubuntu
まず、README を読んで自分のパスワードを確認して、手元にメモしておく!!!
「Permission denied」と言われたら基本的に「sudo コマンド」で解決できる
Forensic Question
最初にアップデート ただし、Forensic Question にバージョンを聞く問題があったら解いてから
アップデートの設定
このアプリを探して、次の3つの操作をする
https://scrapbox.io/files/653266f93e5d59001c7c2f29.png
「Downloadable from Internet」で「Source Code」以外全てチェック
「Other Software」は「(Source Code)」以外チェック
「Updates」は写真のようにhttps://scrapbox.io/files/653267c44559a3001cb75634.png
終わったら「close」→「reload」すると点が入るはず
その後、このアプリを開いてアップデート
https://scrapbox.io/files/6532681f38eb9b001d367d87.png
再起動後、もう一回このアプリを開いて更新がなくなったら、コマンド関係のアップデート sudo apt update → sudo apt upgrade
このとき、The following packages have been kept back: と表示され、その下にパッケージ一覧が表示された場合は、それらのパッケージをインストールする
sudo apt install <保留中のパッケージ>
sudo ufw reset → sudo ufw enable
監査
sudo apt install auditd
ウィルス対策
sudo apt-get install clamtk
いらないアプリ (README に書いてないのだけ消してね!)
FTP sudo apt purge vsftpd sudo apt purge ftp
ssh sudo apt purge openssh-server
Wireshark sudo apt purge wireshark sudo apt purge wireshark-common
Ophcrack sudo apt purge ophcrack
OpenVPN sudo apt purge openvpn
Samba sudo apt purge samba
Nmap sudo apt purge nmap
Zenmap sudo apt purge zenmap
Nginx sudo apt purge nginxurge vsftpd ftp
Apache sudo apt purge apache
Rsh sudo apt purge rsh
OpenSMTPd sudo apt purge opensmtpd
John sudo apt purge john
Hydra sudo apt purge hydra
DNS(bind9) sudo apt purge bind9
TFTPD sudo apt purge tftpd
VNC sudo apt purge x11vnc sudo apt purge tightvncserver
NFS sudo apt purge nfs-kernel-server
SNMP sudo apt purge snmp
Dovecot sudo apt purge dovecot
postfix sudo apt purge postfix
sendmail sudo apt purge sendmail
xinetd sudo apt purge xinetd
Deluge sudo apt purge deluge
qbittorrent sudo apt purge qbittorrent
transmission sudo apt purge transmission sudo apt purge transmission-common
他にも左下のアプリ一覧から見れる ハッキング/ゲームっぽいやつがあったらいい感じに消しといてください (まず左にメニューの「Ubuntu Software」をチェック(「Gnome なんちゃら」には触らない!)して、見つからなければ sudo apt purge なんとか でがんばって google が使えるかも)
終わったら、最後にかならず sudo apt autoremove を実行
ユーザー管理
電源ボタン → Settings → 左のメニュー Users → 右上の「Unlock」を押してロック解除
必要のないユーザーでないか?
パスワードは設定されているか? (されてないと、Password の欄が … じゃない)
Administrator かどうかは大丈夫か?
パスワードがヤバい Administrator じゃないか? (そうなら変えてあげる)
READMEに書いてあるユーザーの追加
ユーザーの追加はユーザー管理画面「Add User」から
グループについては ここ 参照
†いつもの† (なぜかほぼ毎年出てくる)
sudo gedit /etc/ssh/sshd_config
PermitRootLogin yes → PermitRootLogin no に変更
Ctrl+S でセーブしてから閉じる
cron の削除
sudo ls /var/spool/cron/crontabs でファイルを検索
ファイルがあるなら読んで、多分マルウェアが実行されてるので、消す前にそのマルウェアの場所を把握
ただし、「xorg-daemon」は消しちゃだめ。これは別の用途でも使われる。
「/bin/bash」「/bin/dash」「/bin/sh」も使われるので、消さなくてOK
以上、確認して、マルウェアを消したら、ファイルごと削除
/etc/crontab も確認したら(「daily」とかはデフォルトなので気にしない)、sudo rm /etc/crontab でファイルの中身を消し飛ばして、 sudo touch /etc/crontab で空っぽにしてあげる
たまに出てくるやつ
パスワードポリシー
最初に sudo apt install libpam-cracklib
sudo gedit /etc/pam.d/common-password で編集画面を開く
pam_unix.so って書いてある行の最後に minlen=10 remember=5 って追記
pam_cracklib.so って書いてある行の最後にucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 って追記
sudo gedit /etc/pam.d/common-auth で編集画面を開く
最後の行の下に追記 auth required pam_tally2.so deny=5 onerr=fail unlock_time=1800
firefox の pop-up blocker をオンにする
sudo sysctl -n net.ipv4.tcp_syncookies=0 を実行するとたまに点がもらえる
時間が余ったら
・Forensic Question への挑戦
・いらないパッケージが無いか確認 (sudo apt list から一覧が見れる、怪しいのは「Ubuntu 〇〇」でググろう 通信系は特に消したほうがいい)
発展的な話題
/etc/hosts
chkrootkit
sudo visudo
/etc/apt/sources.list
詳しくは本で勉強してください!