セキュリティ/権限強化の用語集（14語）

プログラムごとに「許可する動作」を記述したプロファイルを適用し、それを越える振る舞いを禁じる強制アクセス制御。パスではなくラベルで管理する SELinux と異なり、ファイルパスを基準に制御するため比較的設定が分かりやすい。Ubuntu/SUSE系で標準採用される。

認証失敗などのログを監視し、一定時間内に閾値を超えた送信元IPを自動的にファイアウォールで遮断する侵入防止ツール。SSHへの総当たり攻撃対策として広く使われ、ブロックの回数・時間を設定で調整できる。

Security-Enhanced Linux。ファイルやプロセスにラベル（コンテキスト）を付与し、ポリシーで許可された操作しか行えないようにする強制アクセス制御（MAC）。Enforcing・Permissive・Disabled の3モードがあり、通常のパーミッションを越えてシステムを守る。

Secure Shell の略。通信を暗号化してリモートのサーバにログインし、コマンドを実行できる。サーバ側では sshd が22番ポートで待ち受け、ssh ユーザ名@ホスト で接続する。

SSH Daemon の略。リモートからの接続要求を待ち受け、認証して安全な通信路を確立するサーバ側プロセス。設定ファイル /etc/ssh/sshd_config で、rootログイン禁止やパスワード認証の無効化などの堅牢化を行う。

superuser do の略。root に直接ログインせず、自分のパスワードで一時的に管理者権限を借りてコマンドを実行する。権限は /etc/sudoers で細かく制御でき、実行内容はログに残るため監査もしやすい。

読み(r)・書き(w)・実行(x)を、所有者・グループ・その他に分けて設定する。

あらかじめ決めたルールに従い、通信の許可・拒否を判断する仕組み。必要なポートだけを開けて攻撃の入口を減らす。RHEL/MiracleLinux系では firewalld が標準で、内部的に nftables を用いてルールを適用する。

外部との通信をルールに基づいて通す・しゃ断する防壁。RHEL/MiracleLinux系では firewalld が既定で、firewall-cmd コマンドで操作する。初期状態では多くの通信が遮断されている。

1台のホスト上で複数のサービスを区別するための番号（0〜65535）。IPアドレスが「建物」なら、ポートは「部屋番号」にあたる。ファイアウォールでは、どのポートを開けるか閉じるかを通信制御の基本単位として扱う。

サービスを起動しても、ファイアウォールがそのポートを通さなければ外部からは届かない。firewall-cmd --add-service や --add-port で許可し、--reload で反映する操作を指す。

Mandatory Access Control（MAC）。ファイル所有者が自由に権限を変えられる通常方式（任意アクセス制御＝DAC）と異なり、システム全体のポリシーで強制的にアクセスを制御する。SELinux や AppArmor がこれにあたり、侵入されても被害を封じ込めやすい。

手元に秘密鍵、サーバ側に公開鍵を置き、対応するペアを持つことで本人を証明する方式。秘密鍵はネットワークに流れないため総当たり攻撃に強い。秘密鍵の厳重な保管と、必要に応じたパスフレーズ設定が前提となる。

Principle of Least Privilege（最小権限の原則）。ユーザ・プロセス・サービスに、業務に必要な最小限の権限だけを付与する考え方。常時 root で作業せず、権限を広げすぎないことで、操作ミスや侵入時の被害範囲を小さく抑える。