[linux-users:77130] Re: 一番簡単なセキュリティー対策方法

[ikari <ikari _at_ xxxxxxxxx>]

碇です。
実は私、Linuxを触って1年半ほどです。
まじめに触り出して、4ヶ月ぐらいの新米です(^^)

> > portを開けて待っているプログラムを的確に設定し、セキュリティ
> > 上のパッチなどを適時あてるという作業が必要ということでしょう
> > か？
> 
> それだけではありません。カーネルのネットワークスタックのバグを狙った攻
> 撃もありますし、物理的な攻撃だってありえます。そうやって考えていくと、
> 「本当にこのサーバは必要なの?」「本当にこれらの機能をひとつのサーバに
> まとめて大丈夫」から始まって、考えるべきことは無限に発散していってしま
> います(ちょっと誇張あり)。
> 

こんな方法もあったんですね。
linux kernel 2.2.15以前にはバッファーオーバーランのバグがあると聞き
今は2.2.17に変えてあります。よかった(^^)

> だからこそ、「何をサービスするのか」「どのような形でサービスするのか」
> 「想定される敵は何か」「何を守るのか」... etc. etc. のポリシーが大前提
> になるわけで、これなしにセキュリティを議論しても、なかなか話が進まない
> のです。
> 

ポリシーの作成ですが私の調べた所、以下のような手順を踏みます。

:リスク分析

	何を守るかを選定、又 盗まれた場合の被害総額
	(通常これは無理ですので、守るものの選定だけを行います。)

:クライシスコンディション

	どこから、誰がどのような攻撃をしてくる可能性があるかを
	明文化

:セキュリティ対策部の設置

	責任の明確化と報告場所の設置
	これは、上役ほど良いです。社内全体の事ですので
	一社員が騒いでもどうにもなりません。

:ポリシーの作成

	責任のありかを代表取締役社長の権限で発行

:スタンダードの作成

	どのようなサービスを享受、提供するかを選定

:プロシージャの作成

	使用ソフトの選定

です。気の遠くなる話しですが、管理者が自分を守るにはしょうがないと思います。
ここまで来て、始めてsendmail,bindはバグがでやすいからなー
qmail or postfix,djbdnsにしようかなと考えるのが自然です。

> 余談ですが、ファイヤウォールの後ろに公開サーバを置くメリットとして、
> 「portの開け閉めをひとつのホストで制御できるので安全性が上がる」などと
> 言われることがあります。これは当然「手間/コストが少なくてすむ」だけで
> あって、安全性が上がるわけじゃあありませんし、ファイヤウォールを破られ
> たら丸裸になるようであれば、もっと危険かもしれません。
> 

これに賛成します。
globalアドレスを持つ限り、セキュリティ対策は講じるべきです。
実際の所、MUAやブラウザもproxyにされる可能性のあるセキュリティホールが
出ています。Netscape,IE,OutLook,etc,etc,これをやっていたらきりがありま
せんが、欧米や大企業では使うクライアントソフトを限定されている所は
多々あります。

ご意見、御反論 お待ちしています。

-- 
**************************************
    碇 永志  PCA(株) ikari _at_ pca.co.jp
**************************************