[linux-users:77116] Re: 一番簡単なセキュリティー対策方法

[Yoshihiro Kajiki <kajiki _at_ xxxxxxxxxx>]

梶木です

# 細部には口出ししませんが、ちょっとだけフォロー..

On Fri, 1 Dec 2000 17:19:26 +0900
"Takashi Naka" <tak _at_ ipc-tokai.or.jp> さん wrote:

tak> 　通常のweb/mailサーバーであれば、ｈｔｔｐ squid smtp
tak> pop domain あたりが開いていれば十分ではないかと思います。
tak> ftp telnet は真っ先に閉じておきましょう。

「十分」という表現が、これで安全なように誤解されやすいから
危険なんでしょう。文脈を読めば、それは明らかに誤解ですが。

方向性としては正しいと思いますが、apache や bind も穴が
見つかったばかりだし、最近の手口に対抗するには telnet, ftp の
ポートを塞ぐだけじゃ全然駄目ですから。


On Mon, 4 Dec 2000 15:54:26 +0900
Atsushi Yokota <28410u _at_ ube-ind.co.jp> さん wrote:

28410u> ここでのやりとりを見ていて、ファイアウォールの有無が一度も話題にな
28410u> らなかったと思うのですが、これは何故でしょうか？

ファイアウォールという用語は定義が曖昧で、一般には
「ファイアウォール装置」や「ファイアウォール・ソフト」の
ことを指すけど、本来は外部との境界でセキュリティを守る
機器やソフト全体を指しているという問題がまずあって、

「ファイアウォール装置」や「ファイアウォール・ソフト」という
狭義のファイアウォールの場合、Linux マシンでも殆ど同じ機能は
実現できるので、ファイアウォールの設置の有無は本質的な問題では
なくて、どのような手法で何から何を守るのかが問題だ。

つまり、

　・ftp telnet ポートを塞ぐ
　・qmail, djbdns を使う
　・(狭義の)ファイアウォールを設置する

というのは、いずれも実装方法であって、それ以前の、何から何を
どのようにして守るのかという、ポリシーがまずは重要。
むしろ、これらの処置だけで安全だと錯覚することが危険。

というような、ご指摘だと思います。
-- 
梶木＠横浜市                <kajiki _at_ kajiki.com>
Yokohama Linux Users Group  <kajiki _at_ ylug.org>
Penguin Club                <kajiki _at_ penguin-club.org>
GnuPG Fingerprint = F310 A49D E1C6 1B10 3E2D  21D4 B613 A5B0 88B1 9545