セキュリティー対策

何をすべきか

専攻サーバでは, セキュリティー的な穴をできるだけ作らないために, 不必要なネットワークサービスを極力行わないこととする.

ネットワークサービスは以下のように起動される.

• /etc/inet によって起動される.
• /etc/init.d/ の下にあり, ブート時に起動する.

ここでは /etc/inet によって起動されるネットワークサービスのうち, 必要の無いものを全て殺す.

/etc/init.d/ の下に関しては管理者がしっかりと把握し, 常におかしなものが起動していないかどうかチェックする必要がある. ps コマンドでどのようなデーモンが動いているか調べることが必要である. 特に NSF, NIS を立ち上げた状態にしてはならない.

/etc/inetd.conf の編集

inetd (インターネットデーモン)は 同時に多数のネットワークポートでの接続要求を待ち, 接続が完了された段階で要求に応じて適切な TCP サーバ, UDP サーバを起動する.
inetd は起動時に /etc/inetd.conf ファイルを読み込み, 実行すべきネットワークサービスを決定する.

/etc/inetd.conf を編集して不必要なサービスが上がらないようにする.

# cd /etc

# vi inetd.conf

必要のないサービスの行をコメントアウトする.

サーバソフト(qmail 等)をインストールする前では,
以下のサービスのみを残してあとの行は全てコメントアウトする.

• telnet
• ftp
• ident (ftp の認証に関係するので残す)

(telnet, ftp は OTP 対応になっていることを前提としている ^*1).

# ps aux

inetd のプロセス番号を確認する.

# kill -HUP (inetd のプロセス番号)

inetd を再起動する.




*1 ： 従って ftp サーバーでは telnet もコメントアウトする必要がある.




参考文献

・Simon Garfinkel & Gene Spafford,

UNIX & インターネットセキュリティ 第 2 版 オライリージャパン, ISBN4-900900-38-9