telnet および ftp を使ったログインはネットワーク上にパスワードが生のままで流れてしまうので, 使用を許可していない. 専攻サーバでは ssh もしくは otp(One Time Password) のいずれかの方法を用いてログインする.
専攻サーバのメール環境は POP および IMAP をサービスしている. これらに使われるパスワードがネットワーク上に生で流れないように, 暗号化している. 詳細は 『qmail によるメールサーバの構築』を参照のこと.
専攻サーバでは, セキュリティー的な穴をできるだけ作らないために, 不必要なネットワークサービスを極力行わないこととする. ネットワークサービスは以下のように起動される.
/usr/sbin/inetd によって起動されるネットワークサービスのうち, 必要の無いものを全て殺す. inetd (インターネットデーモン)は 同時に多数のネットワークポートでの 接続要求を待ち, 接続が完了された段階で要求に応じて適切な TCP サーバ, UDP サーバを起動する. inetd は起動時に /etc/inetd.conf ファイルを読み込み, 実行すべきネットワークサービスを決定する.
/etc/inetd.conf を編集して不必要なサービスが上がらないようにする.
# vi /etc/inetd.conf
必要のないサービスの行をコメントアウトする. サーバソフト(qmail 等)をインストールする前では, 以下のサービスのみを残してあとの行は全てコメントアウトする.
(telnet, ftp は OTP 対応になっていることを前提 としている).
/etc/inetd.conf を編集したら編集した内容を反映させるため, inetd のプロ セスを再起動する.
# ps aux |grep inetd |
/etc/init.d/ の下に関しては管理者がしっかりと把握し, 常におかしなものが起動していないかどうかチェックする必要がある. ps コマンドでどのようなデーモンが動いているか調べることが必要である. 特に NFS, NIS を立ち上げた状態にしてはならない.
最終更新日: 2002/03/10 佐々木洋平 | Copyright © 2002 epcore |