19 日講演「セキュリティについて 2 (荒木靖宏氏)」

三谷 篤さん (mitani@csra.co.jp) にお寄せいただいたレポートです.

三谷＠広島の住人です.
4 月 19 日の「セキュリティについて 2」のセミナーを聞きながら書いた メモがあります. 簡単なメモで整理されたものではありませんが, 何かの参考になればと思い, 送らせていただきます.

セキュリティについて

講師:荒木靖宏氏 (IIJ)

1. セキュリティポリシーを作る

• なにを守りたいのか (サーバの目的は) を明確にする
• 例外を作らない.
• 危険なサービスは代替え手段を考える.
• 今必要なサービスだけを提供する.
• 対策窓口を作る (外向け)
• RFC2142 にあるサービスを設置する. (abuse,postmaster,hostmaster,info...)
• JPCERT/CC, ISP, 当事者への連絡体制を整える.
• 社内に対しては服務規定を制定し, 主旨説明を行う.
• 使いにくい環境を作ると内部からセキュリティが壊される.

2. なぜ Linux なのか

• 管理者が慣れている.
• 多くのプラットフォームで動く.
• PC ベースの製品が多い.
• 古いノート PC でも動く. (ファイアウォールに向いている)

3. カーネルで作るセキュリティ

• カーネルを最適化する.
• カーネル機能の拡張 (トンネリングなど), 縮小 (起動モジュール数の制限) を 行う.
• /proc/sys/kernel/file-max,inode-max,freepage などを設定する.
• インストール時のカーネルには SCSI ドライバが 40 種類あったり, SMB や NFS ファイ ルシステムが使えたりする.
• a.out バイナリ, マウス, サウンド, NIC, CDROM, 不要ファイルシステムを削る .
• CONFIG_FILTER, Port Forwarding (内部のポートを外に見せる), CONFIG_IP_FO RWARD, オプションを削る. CONFIG_SYN_COOKIES をオンにする.
• ipchains はカーネルで動くので早い.
• 関連情報
  • http://www.kernelnotes.org/
  • http://kt.linuxcare.com/
  • http://www.linuxhardware.net/
  • http://www.linux.org.uk/diary/(Aran Cox's Diary)

4. ディストリビューション毎のセキュリティ

• X (X 自体や XFS), かな漢字変換 (wnn, canna など) を削除する.
• できれば開発ツールなども入れない.
• グラフィックライブラリ (svgalib,fb,gtk,qt...) も削除
• NFS,RPC,NIS を削除 portmapper を停止)
• inetd からのサービスを停止 (inetd も)
• シェルは sash, osh がお薦め.
• ファイルシステムは reiserfsx などジャーナル付きがお薦め.
• NFS のロックの問題は knfsd の登場で解決しつつある.

5. アクセスとサービスの限定

• 利用できるサービスを制限する.
• 安全な代替えサービスを検討する.
• サービスのユーザ権限, ファイルの制限.
• サービス構成を理解した運用をする.
• 安全な実装の利用.
• 使わないサービスは削る (ident は削るとサービスを受けられなくなることも)
• サービスを止める場合は 1 個づつ行う (他のサービスに影響がある場合がある)
• /etc/passwd は shadow 化されていても危険.
• promisc mode で動いている NIC があると要注意 (tcpdump などが動いている可能性 がある)
• OTP (ワンタイムパスワード) の利用によりパスワードの再利用はされないが, 通信内容は暗号化されない. (pop の替りに apop を使うと OTP が使われる)
• ssh により通信が暗号化される.
• ユーザ認証手段に RSA 認証を選択可能.
• ssh はライセンス問題があるが, OpenSSH ではライセンス問題が解決している.
• chroot 環境を利用する.

6. ルータでのフィルタリング

• 外部からのアクセスを制限する (tftp,finger,portmapper,NBT,snmp,exec,login. shell,X など)

7. 防護策

• umask を厳しくする.
• immutable ビットを利用する. (/etc を変更禁止にしたりすることができる)
• /tmp のような world writable なディレクトリはカーネルのパーティションと分け る.
• setuid されているファイルは本当に setuid が必要なのか考え直す.
• sudo を使い su コマンドを使わない. ただし, シェルも起動できるので注意が必要 .
• PAM の利用により細かい制限をつけられる (パスワードの暗号化モジュールの選 択など)
• UPS は APC (apcupsd がフリー) と三菱がお薦め.

8. 運用と管理

• リソース, ユーザを管理する.
• ログは syslog に頼らず, アプリケーション独自のログも活用する.
• NFR (Network Flight Recorder) という侵入者検知ツールがお薦め.
• バックアップは上書きできないものに.
• 最小限のサービス提供から始める.
• 機械化できるところは機械化する. (ミスとコストが減る)
• 人 (クラッカー) に怨まれないように言動に注意しよう.