Linux サーバ構築とセキュリティ

1. サーバ運用の基本方針
2. Linux サーバ構築時の注意点
3. 安全のためのアクセスとサービスの限定
4. 防護策
5. システムの運用と管理

プログラム参加者はやはり企業関係者が多かったが, 大学関係者と思われる参 加者も散見された. 他のプログラムに比べると参加者層は比較的分散していた ようである. そのためか講演内容に偏りはなく, いろいろな環境で役立つ内容 であった.

講演全体を聴講した上で地球惑星専攻サーバの現状を評価すると,

• 専攻サーバシステムの全体的な設計・運営指針は, 講演内容と重なる所が 多かった.
  (ってことは, 我々は結構イケてる? )
• 日常的なシステムの運営と管理については, まだまだ考慮しなくて はいけない点がありそう.
  特に監視ツールについての情報収集, ノ ウハウが足りない.

1. サーバ運用の基本方針

• 何を守るのか.
• 危険なサービスは代替手段を考える.
• 今必要なサービスだけを行なう.
• セキュリティと利便性のトレードオフを意識する.

2. Linux サーバ構築時の注意点

いろいろ注意点について解説がなされていたが, その内で特に注意が必要と思 われたのは,

• 選択するディストリビューションは, バグやセキュリティーホールの 対応が速いものにする.
• インストールするパッケージは自分が把握しているパッケージだけ, かつ必要最小限.
• インストールカーネルは使わない. 目的に合わせ最適化したものを使う.
• 情報収集は普段からまめに行なう.

ディトリビューションによってはインストールの便利な「おまかせパッケージ」 をいくつか用意してくれているが, サーバ構築の際にこれを使うのはあまり好 ましくない. 何がインストールされたか把握するのが困難だからである. した がってたとえば Debian の場合面倒ではあるが dselect で一つ一つパッケー ジを選択したほうが無難である.

インストールカーネルはインストールのためのものなので, 余計なドライバ, 余計なサービスが組み込まれている. 不要なドライバ等を除去し, 本当に必要 な機能を組み込むことで, 安全なシステムの構築が期待できる. とくに tcp syn flood 攻撃に対しては, カーネルのリコンフィグで対応することができる (tcp syn flood 攻撃とは TCP の hand shake を悪用した攻撃).

3. 安全のためのアクセスとサービスの限定

• 必要なサービスだけ提供する. 余計なサービスはしない.
• 同じサービス(アクセス方法)なら安全, 簡単な方法を採用する.
• 盗聴対策はスイッチの導入やネットワークの分割といった物理的手段 と, 経路の暗号化などのソフト的手段とを上手に使い分ける.

4. 防護策

• 内部ユーザからの保護;
  
• (ネットワークを介した)外部からの保護
  
• 物理的攻撃からの保護
• 電気的攻撃からの保護

5. システムの運用と管理

• リソース; プロセス, メモリ, ディスク
• システム
• ネットワーク

プロセス, メモリ, ディスクの監視は ps, top, df コマンドで可能であ る. システム監視の基本は syslog. ただし万能ではないし syslog ポートそ のものが攻撃されることもある. ファイルの改鼠を検出するためのツールとし て tripwire がある.

log を見るのは結構面倒であるが, その作業を簡単にしてくれる log 解析ツー ルがいろいろある. syslog-summary, Xlogmaster, swatch がその代表.

ネットワークの監視は NIC を promisc モードで起動すれば可能. しかし NIC が接続されたネットワーク上のパケットがなんでもみえてしまうので注意が必 要である. iptraf, tcpdump 等のフリーソフトから商用の NFR(Network Fright Recorder)までいろいろある. なおネットワークの監視は別途に監視ホ ストを用意して行なうほうがよい.

6. まとめ

1. 安全は当り前のことの積み重ねから.
   • 情報収集をまめに(www, news, 雑誌, セミナー, ...)
   • 自分でもサービスを使う.
2. 複雑なシステムで危険を覆うのではなく, 危険の除去を考える.
3. 機械化できるところはやる.
   • 攻撃も機械的に行なわれている.