1. 何をすべきか ?
専攻サーバではセキュリティ対策として- パスワード認証方式はセキュアな方法を取る.
- 不必要なネットワークサービスが立ち上げないようにする.
2. パスワード認証方式はセキュアな方法を取る
2.1 telnet および ftp に関して
telnet および ftp を使ったログインはネットワーク上にパスワードが生のままで流れてしまうので, 使用を許可していない. 専攻サーバでは ssh もしくは otp(One Time Password) のいずれかの方法を用いてログインする.
2.2 メールパスワード
専攻サーバのメール環境は POP および IMAP をサービスしている. これらに使われるパスワードがネットワーク上に生で流れないように, 暗号化している. 詳細は 『qmail によるメールサーバの構築』を参照のこと.
3. 不必要なネットワークサービスが立ち上げないようにする
専攻サーバでは, セキュリティー的な穴をできるだけ作らないために, 不必要なネットワークサービスを極力行わないこととする. ネットワークサービスは以下のように起動される.
- /usr/sbin/inetd によって起動される.
- /etc/init.d/ の下にあり, ブート時に起動する.
3.1 /etc/inetd.conf の編集
/usr/sbin/inetd によって起動されるネットワークサービスのうち, 必要の無いものを全て殺す. inetd (インターネットデーモン)は 同時に多数のネットワークポートでの 接続要求を待ち, 接続が完了された段階で要求に応じて適切な TCP サーバ, UDP サーバを起動する. inetd は起動時に /etc/inetd.conf ファイルを読み込み, 実行すべきネットワークサービスを決定する.
/etc/inetd.conf を編集して不必要なサービスが上がらないようにする.
# vi /etc/inetd.conf
必要のないサービスの行をコメントアウトする. サーバソフト(qmail 等)をインストールする前では, 以下のサービスのみを残してあとの行は全てコメントアウトする.
- telnet
- ftp
- ident (ftp の認証に関係するので残す)
(telnet, ftp は OTP 対応になっていることを前提 としている).
/etc/inetd.conf を編集したら編集した内容を反映させるため, inetd のプロ セスを再起動する.
# ps aux |grep inetd |
3.2 /etc/init.d/
/etc/init.d/ の下に関しては管理者がしっかりと把握し, 常におかしなものが起動していないかどうかチェックする必要がある. ps コマンドでどのようなデーモンが動いているか調べることが必要である. 特に NFS, NIS を立ち上げた状態にしてはならない.