[linux-users:77111] Re: 一番簡単なセキュリティー対策方法

[Tatsuya BIZENN <bizenn _at_ xxxxxxxxx>]

備前です。横から割込みます。

At Mon, 4 Dec 2000 19:51:43 +0900,
Etsuo SUMIYA <sumiya _at_ ymg.urban.ne.jp> wrote:

> 以前のport scanの結果をもとに、Internetサービスでセキュリティ
> 上危険だと思われるportを閉じた結果、上記のサービスが残ったの
> だと思います。少なくともtelnet, ftpなどのポートを開けていな
> いので以前よりはよくなったと思うのですが。

危険だと思われるportって語弊がありますよね。危険なのはportじゃなくて、
そこで待ってるプログラムですよね? これは揚げ足とりでも言葉遊びでも何で
もなくて、わたしの周りでもよく勘違いしてる人がいるんです。

で、Internetに置いてるサーバのセキュリティにおいて、どのportが開いてる
かというのは要素のごく一部にしか過ぎません。あるportが開いてないから、
あるいはあるportしか開いてないから、以前よりましになったという考え方は
ナンセンスです(もちろん、全てのportが塞がってたとしても、本当に安全と
言い切れる話ではありません)。

> 私がSHIOZAKIさんのメールを読んだ正直な感想は「開くportを少な
> くしたのに無茶苦茶とはどういうことなんだろう」とかえって不安
> になりました。

元メールの方が、用途もポリシーも明確じゃないままに「普通あれとこれとこ
れだけあれば充分なんじゃないでしょうか」的な記述をされていたからじゃな
いですか? telnet や ftp は NG としておきながら、POP が含まれていたり、
squid(HTTP Proxyって意味でしょう)が含まれていたり、よくわからない選択
基準でしたし。

> >   よくわかっていない人が「これさえ守ればおっけーなのか!」と鵜飲みにして
> > しまったら危険だと思います。
> 
> 上のことについてはその通りだと思います。だからこそ、何が問題
> なのかを明確に説明する必要があると思います。

明確に説明してあげれば親切なのかもしれませんが、それを要求してしまうの
はどうかなぁ... と思わないでもないですし、簡単に説明できるほどコトは簡
単じゃないでしょう。

> と書かれておりますが、周囲の迷惑を考えるのであれば、不確かな
> 情報が流れた段階で、同じ、メーリングリストの場で、不確かな情
> 報であると知っている人が何が問題なのかを示す必要があると思っ
> たので先のメールを出させてもらいました。「よく知らない人は口
> を出さないようにしましょう」というのはメーリングリストの議論
> が縮小してしまうので私としては好きではありません。

まぁ、「素人は黙ってな」とはわたしも思いませんが、自分のその発言がメー
リングリストで公開され、アーカイブとして後世まで残っていくことを勘案す
ると、もう少し慎重であってもよいのではないか、と。

# 偉そうに言ってるほど自分が慎重かどうか自信ありませんが。


-- 備前 達矢
   *.doc/*.xls/*.ppt/*.mdb/HTMLメールは読まずに捨てます
   メールアドレスが bizenn _at_ visha.org に変わりました