[linux-users:77117] Re: 一番簡単なセキュリティー対策方法

[Etsuo SUMIYA <sumiya _at_ xxxxxxxxxxxxxxx>]

炭屋といいます。
「[linux-users:77111] Re: 一番簡単なセキュリティー対策方法」にて
Tatsuya BIZENN <bizenn _at_ visha.org> さん:

> 
> 備前です。横から割込みます。

いえいえ、よろしくお願いします。

> 危険だと思われるportって語弊がありますよね。危険なのはportじゃなくて、
> そこで待ってるプログラムですよね? これは揚げ足とりでも言葉遊びでも何で
> もなくて、わたしの周りでもよく勘違いしてる人がいるんです。

なるほど。これはその通りですね。私の気持ちとしてはportを開け
るということはそのportで待っているsoftwareも含めてという意味
ではありました。メカニズム的にはportとそこで待っている
softwareとは明確に違います。

> で、Internetに置いてるサーバのセキュリティにおいて、どのportが開いてる
> かというのは要素のごく一部にしか過ぎません。あるportが開いてないから、
> あるいはあるportしか開いてないから、以前よりましになったという考え方は
> ナンセンスです(もちろん、全てのportが塞がってたとしても、本当に安全と
> 言い切れる話ではありません)。

portを開けて待っているプログラムを的確に設定し、セキュリティ
上のパッチなどを適時あてるという作業が必要ということでしょう
か？
ですが、開けるportを削ればそれだけメンテナンスのコストは下が
り、開けてあるportのメンテナンスはよりやりやすくなると考える
のはいけないことなのでしょうか？

それから、ちょっと勘違いしていたようなのですが、「セキュリティ
対策のパッチを当てる」というのは私的には「セキュリティ上、よ
り強固になった」と考えていましたが、そうではなくて、「現時点
では最強のセキュリティ対策をとった」と考えなくてはいけないと
いうことなのでしょうね。

> 元メールの方が、用途もポリシーも明確じゃないままに「普通あれとこれとこ
> れだけあれば充分なんじゃないでしょうか」的な記述をされていたからじゃな
> いですか? telnet や ftp は NG としておきながら、POP が含まれていたり、
> squid(HTTP Proxyって意味でしょう)が含まれていたり、よくわからない選択
> 基準でしたし。


なるほどよくわかりました。ftp, telnetを削ることが滅茶苦茶な
のかと思ったのです。

> まぁ、「素人は黙ってな」とはわたしも思いませんが、自分のその発言がメー
> リングリストで公開され、アーカイブとして後世まで残っていくことを勘案す
> ると、もう少し慎重であってもよいのではないか、と。

よくわかりました。ありがとうございました。今日はよい話しが聞
けました。

---
炭屋悦緒   また野望に一歩近づいた．．．
http://www.ymg.urban.ne.jp/home/sumiya/