1. 何をすべきか ?
専攻サーバではセキュリティ対策として- パスワード認証方式はセキュアな方法を取る.
- 不必要なネットワークサービスが立ち上げないようにする.
2. パスワード認証方式はセキュアな方法を取る
2.1 telnet および ftp に関して
telnet および ftp を使ったログインはネットワーク上にパスワードが生のま まで流れてしまうので使用を許可していない. 専攻サーバでは ssh もしくは otp(One Time Password) のいずれかの方法を用いて ログインする.
2.2 メールパスワード
専攻サーバのメール環境は POP および IMAP をサービスしている. これらに 使われるパスワードがネットワーク上に生で流れないために暗号化されている. 詳細はこ こを参照のこと.
3. 不必要なネットワークサービスが立ち上げないようにする
専攻サーバでは, セキュリティー的な穴をできるだけ作らないために, 不必要 なネットワークサービスを極力行わないこととする. ネットワークサービス は以下のように起動される.
- /usr/sbin/inetd によって起動される.
- /etc/init.d/ の下にあり, ブート時に起動する.
3.1 /etc/inetd.conf の編集
/usr/sbin/inetd によって起動されるネットワークサービスのうち, 必要の無いも のを全て殺す. inetd (インターネットデーモン)は 同時に多数のネットワー クポートでの接続要求を待ち, 接続が完了された段階で要求に応じて適切な TCP サーバ, UDP サーバを起動する. inetd は起動時に /etc/inetd.conf ファ イルを読み込み, 実行すべきネットワークサービスを決定する.
/etc/inetd.conf を編集して不必要なサービスが上がらないようにする.
# vi /etc/inetd.conf
必要のないサービスの行をコメントアウトする. サーバソフト(qmail 等)を インストールする前では, 以下のサービスのみを残してあとの行は全てコメン トアウトする.
- telnet
- ftp
- ident (ftp の認証に関係するので残す)
(telnet, ftp は OTP 対応になっていることを前提 としている*1).
/etc/inetd.conf を編集したら編集した内容を反映させるため, inetd のプロ セスを再起動する.
# ps aux |grep inetd |
3.2 /etc/init.d/
/etc/init.d/ の下に関しては管理者がしっか りと把握し, 常におかしなものが起動していないかどうかチェックする必要 がある. ps コマンドでどのようなデーモンが動いているか調べることが必 要である. 特に NSF, NIS を立ち上げた状態にしてはなら ない.