インプレス ビジネスメディア

第2回:セキュアなDomain-0の作り方 (1/2)

TOPサーバ構築・運用> Debian GNU/LinuxにおけるセキュアなDomain-0の作り方
仮想化技術 完全攻略ガイド
セキュアなVM環境を作る

第2回:セキュアなDomain-0の作り方
著者:宮本 久仁男   2006/10/4
1   2  次のページ
Debian GNU/LinuxにおけるセキュアなDomain-0の作り方

   以下では、Debian GNU/Linux 3.1(sarge)を用いたセキュアサーバー、つまり最小限の環境のみを備えたサーバーをどのようにして作るか? について述べていきます。セキュアなDomain-0の構築のために必要なベースは、まずセキュアなサーバーという考え方にもとづきます。

Debian Installerでは何をどう選ぶ?

   普通にインストールすると、Debian Installerを使うことになるかと思います。ここでは「追加では何もインストールしない」ようにします(図2)。


Debianで最小インストール
図2:Debianで最小インストール
(画像をクリックすると別ウィンドウに拡大図を表示します)

   こうしてインストールされたシステムを起動した直後のプロセスは、プロセス一覧(リスト1)のような感じになります。

リスト1:Debianインストール直後のプロセス
 PID TTY  STAT TIME COMMAND
   1 ?    S    0:00 init [2]
   2 ?    S    0:00 [keventd]
   3 ?    SN   0:00 [ksoftirqd_CPU0]
   4 ?    S    0:00 [kswapd]
   5 ?    S    0:00 [bdflush]
   6 ?    S    0:00 [kupdated]
  47 ?    S    0:04 [kjournald]
 403 ?    S    0:00 [khubd]
 699 ?    Ss   0:00 dhclient -e -pf /var/run/dhclient.eth0.pid -lf /va
782 ?     Ss   0:00  /sbin/syslogd
785 ?     Ss   0:00 /sbin/klogd
823 ?     Ss   0:00 /usr/sbin/inetd
827 ?     Ss   0:00 /usr/sbin/atd
830 ?     Ss   0:00 /usr/sbin/cron
837 tty2  Ss+  0:00 /sbin/getty 38400 tty2
838 tty3  Ss+  0:00 /sbin/getty 38400 tty3
2993 ?    Ss   0:00 /usr/sbin/lpd -s
3032 ?    Ss   0:00 /sbin/portmap
3066 ?    Ss   0:00 /sbin/rpc.statd
3197 ?    Ss   0:00 /usr/sbin/sshd
3279 ?    Ss   0:00 /usr/sbin/cannaserver -u canna
4254 ?    Ss   0:00 /usr/sbin/exim4 -bd -q30m
4301 tty4 Ss+  0:00 /sbin/getty 38400 tty4
4305 tty5 Ss+  0:00 /sbin/getty 38400 tty5
4306 tty6 Ss+  0:00 /sbin/getty 38400 tty6
4757 tty1 Ss   0:00 -bash
4770 tty1 R+   0:00 ps ax

   netstatの結果を見ても、SSH以外に外部からの接続待ちを行っているポート(リスト2)が見られます。

リスト2:Debianインストール直後の接続待ち
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address State
tcp        0      0 *:704                   *:*             LISTEN
tcp        0      0 *:sunrpc                *:*             LISTEN
tcp        0      0 *:auth                  *:*             LISTEN
tcp        0      0 *:ssh                   *:*             LISTEN
tcp        0      0 localhost.localdom:smtp *:*             LISTEN
udp        0      0 *:698                   *:*
udp        0      0 *:701                   *:*
udp        0      0 *:bootpc                *:*
udp        0      0 *:sunrpc                *:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags   Type   State     I-Node Path
unix  2      [ ACC ] STREAM LISTENING 18817    /dev/printer
unix  2      [ ACC ] STREAM LISTENING 20315    /tmp/.iroha_unix/IROHA
unix  5      [ ]     DGRAM            782      /dev/log
unix  2      [ ]     DGRAM            19048
unix  2      [ ]     DGRAM            18811
unix  2      [ ]     DGRAM            823

   まず、不要なポートで接続待ち/データ待ちを行っているこの状態をなんとかしてみましょう。


不要な起動設定の削除

   リスト1で稼働しているプロセスの状態を見ると、インストール直後に動いてるものは非常に少ないですが、これ必要かな? というものが動作しています。dhclientやinetd、portmap、rpc.statdなどは必要ありません。

   リスト2でネットワークの状態を見ると、SSH以外のポートで接続待ちになっています。

   本質的に、本稿で構築対象とするものは「サーバー」ですから、システム管理者が決めたサービス以外は動いていないのが理想です。外部からの接続を許可していないポートについても、接続待ちをしていないのが理想です。

   Debianは「最低限、システム起動時には起動しない」ようにしてみましょう。

1   2  次のページ

宮本 久仁男
著者プロフィール
宮本 久仁男
某大手SIerに勤務。OSおよびミドルウェア、アプリケーション開発、インターネットサーバの運用管理、社内技術支援などを経て、現在は動向調査業務に従事する。業務の傍ら、大学にも所属(博士後期課程)し、研究生活を送る。あらゆる分野に興味を持ち、それらについて自学自習で学びつつ、成果をコミュニティにフィードバックしたり、研究/検証テーマを模索したりという日々。Microsoft MVP (Windows - Security)というアワードも受賞しているものの、どこにでもいそうなエンジニア風。


INDEX
第2回:セキュアなDomain-0の作り方
Debian GNU/LinuxにおけるセキュアなDomain-0の作り方
 IPアドレスを固定で割り当てる〜/etc/network/interfacesの修正
セキュアなVM環境を作る
第1回セキュアな構成とは
第2回セキュアなDomain-0の作り方
第3回不必要な起動スクリプトの削除と起動プロセスとポートのチェック
第4回フィルタリング
第5回不要なモノの削除〜CentOS編
第6回作業ドメインを分割する
第7回APT環境の整備をする

人気記事トップ10

3D世界を創るAI「Marble」のAPI公開ほか グローバルな設定ファイル「.wslconfig」でWSL2をチューニングしてみよう LLMの「親切さ」を逆手に取るジェイルブレイク手法「HILL」と防御の限界 GitHub Universe 2025、日本からの参加者による座談会を開催 KubeCon North America 2025、ユーザー4社が相乗りしたキーノートセッションを紹介 【クラウドという新大陸】主要3大クラウドの「ネイティブテレメトリ」 Linuxカーネル「Linux 6.19」リリース ─ 次期リリースは「7.0」に オープンソースの電子書籍管理ソフト「Calibre 9.0」リリース ─ 本棚ビューやビューア操作性を強化 KubeCon North America 2025、BloombergによるAIをマルチクラスターで実装したKarmadaのセッション 【CNDW2025】アラート起点の原因分析をAIで標準化するKINTOテクノロジーズのエージェントアーキテクチャ
グローバルな設定ファイル「.wslconfig」でWSL2をチューニングしてみよう 【日本の勝機はフィジカルAI⁉︎】2026年、生成AIは「測定可能な成果」を求められる 「OAuth 2.1」の認可コードフローを「Keycloak」で実装しよう マルウェア解析環境を作ってみよう(ベースOSとHost OSのインストール) オープンソースの電子書籍管理ソフト「Calibre 9.0」リリース ─ 本棚ビューやビューア操作性を強化 オープンソースの圧縮・解凍ソフト「PeaZip 10.9.0」リリース ─ GUI強化と多形式プレビュー対応で利便性向上 「面」の地理情報データを扱ってみよう【後編】 「LibreOffice 26.2 Community」リリース ─ 各ツールの基本的な利便性と安定性の強化 【クラウドという新大陸】主要3大クラウドの「ネイティブテレメトリ」 ユーティリティコレクション「oreutils 9.10」リリース ─ 操作系コマンドの安定性・互換性を強化
グローバルな設定ファイル「.wslconfig」でWSL2をチューニングしてみよう マルウェア解析環境を作ってみよう(ベースOSとHost OSのインストール) 「OpenSSL」に複数の脆弱性、アップデートが提供 【日本の勝機はフィジカルAI⁉︎】2026年、生成AIは「測定可能な成果」を求められる オープンソースの電子書籍管理ソフト「Calibre 9.0」リリース ─ 本棚ビューやビューア操作性を強化 「OAuth 2.1」の認可コードフローを「Keycloak」で実装しよう ソウルドアウトグループが切り開く、全社員95%活用を達成した生成AI活用の軌跡 Ubuntuベースの軽量Linuxディストリビューション「Linux Lite 7.8」リリース ― 多数アプリケーションをPython/GTK4へ刷新 【クラウドという新大陸】主要3大クラウドの「ネイティブテレメトリ」 3D世界を創るAI「Marble」のAPI公開ほか
人気記事ランキングをもっと見る

新着記事

Gateway API(「kgateway」+「agentgateway)でKubernetes上のAIツール接続を制御する 2月10日 6:30 GitHub Universe 2025、日本からの参加者による座談会を開催 2月10日 6:00 【CNDW2025】ABEMAの広告基盤を高速化した分散カウンターの実装とスケーラビリティ戦略 2月9日 6:00 Valveが新型ハードウェアを2026年上半期に出荷ほか 2月9日 5:59 「面」の地理情報データを扱ってみよう【後編】 2月6日 6:30

企画広告も役立つ情報バッチリ! Sponsored

【CNDW2025】Grafanaが明かす「オブザーバビリティの哲学」ー最小限の労力で実用的なインサイトを得るには 1月23日 6:30 【CNDW2025】プロダクト急増に備える基盤刷新 ーウェルスナビがECSからEKSへの移行で得た知見とは 1月15日 6:30 【CNDW2025】250環境を5人で運用、構築時間は30分に ーKINTOテクノロジーズが語るインフラ基盤組織の作り方 2025年12月18日 6:30 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? 2025年11月28日 6:30 IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 2025年11月26日 6:30 アイレット、KDDIの属人化問題を生成AIアシスタントの精度を高め解消へ 2025年11月21日 6:30 「Grafana Cloud」の先進的ユーザーであるグリーが10年をかけて到達した「オブザーバービリティ」とは 2025年5月15日 6:30 Grafana Labs CTOのTom Wilkie氏インタビュー。スクラップアンドビルドから産まれた「トラブルシューティングの民主化」とは 2025年4月21日 6:30 API管理をより簡単にする「Kong Konnect」が解決する課題とその主要機能 2025年3月5日 5:30 目指すはプロセス連結によるサイロ化の打破! ガバナンス強化にも寄与する自動化プラットフォームとは 2025年1月15日 6:30