セキュリティ対策

1. 何をすべきか ?

地惑専攻専攻サーバではセキュリティ対策として

• パスワード認証方式はセキュアな方法を取る.
• 不必要なネットワークサービスが立ち上げないようにする.

の 2 点を心掛けている.

2. パスワード認証方式はセキュアな方法を取る

ログインに関して

telnet および ftp を使ったログインはネットワーク上にパスワードが生のままで流れてしまうので, 原則的に利用が許可されていない. 専攻サーバでは ssh もしくは otp(One Time Password)のいずれかの方法を用いてログインすることが推奨される。 ただし、専攻FTP サーバに対する ANONYMOUS FTP ログインに関しては、 パスワード(メールアドレス)が生のままで流れてしまってもセキュリティ的に 問題がないので許可されている。

3. 不必要なネットワークサービスが立ち上げないようにする

専攻サーバでは, セキュリティー的な穴をできるだけ作らないために, 不必要なネットワークサービスを極力行わないことにしている. そのネットワークサービスは以下のように起動される.

• /usr/sbin/inetd によって起動される.
• /etc/init.d/ の下にあり, ブート時に起動する.

3.1 /etc/inetd.conf の編集

usr/sbin/inetd によって起動されるネットワークサービスは、 設定ファイル /etc/inetd.conf によって設定できる。 /usr/sbin/inetd によって起動されるネットワークサービスのうち, 不必要なサービスが上がらないようにするために、/etc/inetd.conf の編集する。

inetd (インターネットデーモン)は 同時に多数のネットワークポートでの 接続要求を待ち, 接続が完了された段階で要求に応じて適切な TCP サーバ, UDP サーバを起動する. inetd は起動時に /etc/inetd.conf ファイルを読み込み, 実行すべきネットワークサービスを決定する.

# emacs  /etc/inetd.conf

必要のないサービスの行をコメントアウトする. サーバソフト(qmail 等)をインストールする前では, 以下のサービスのみを残してあとの行は全てコメントアウトする.

• telnet
• ftp
• ident (ftp の認証に関係するので残す)

(telnet, ftp は OTP 対応になっていることを前提 としている).

/etc/inetd.conf を編集したら編集した内容を反映させるため, inetd のプロ セスを再起動する.

# ps aux |grep inetd
root       xxx  0.0  0.0   880   124  ?  S   Feb 12   0:00 /usr/sbin/inetd
# kill -HUP xxx(xxx は inetd のプロセス番号) 

3.2 /etc/init.d/

/etc/init.d/ の下に関しては管理者がしっかりと把握し, 常におかしなものが起動していないかどうかチェックする必要がある. ps コマンドでどのようなデーモンが動いているか調べることが必要である. 特に NFS, NIS を立ち上げた状態にしてはならない.