TOPサーバ構築・運用> 起動設定を削除して再起動した後は?〜起動プロセスとポートをチェック
仮想化技術 完全攻略ガイド
セキュアなVM環境を作る

第3回:不必要な起動スクリプトの削除と起動プロセスとポートのチェック
 著者:宮本 久仁男   2006/10/11
前のページ  1  2
起動設定を削除して再起動した後は?〜起動プロセスとポートをチェック

   update-rc.dを使って、不必要なものが起動しないようにした後は、システムを再起動してみましょう。

   /etc/init.d配下のスクリプトを使って止めてもよいのですが、目的は「いつどのような形で起動しても、同じ状態を作り出せること」ですから、再起動をして「意図したとおり」の状態になっているのが理想です。上記の設定を施して再起動をしたら、リスト9・リスト10のようになっているはずです。

リスト9:サービスを止めた後のプロセス
PID TTY  STAT TIME COMMAND
  1 ?    S    0:00 init [2]
  2 ?    S    0:00 [keventd]
  3 ?    SN   0:00 [ksoftirqd_CPU0]
  4 ?    S    0:00 [kswapd]
  5 ?    S    0:00 [bdflush]
  6 ?    S    0:00 [kupdated]
 47 ?    S    0:00 [kjournald]
411 ?    S    0:00 [khubd]
770 ?    Ss   0:00 /sbin/syslogd
773 ?    Ss   0:00 /sbin/klogd
777 ?    Ss   0:00 /usr/sbin/cannaserver -u canna
808 ?    Ss   0:00 /usr/sbin/exim4 -bd -q30m
813 ?    Ss   0:00 /usr/sbin/lpd -s
820 ?    Ss   0:00 /usr/sbin/sshd
824 ?    Ss   0:00 /usr/sbin/atd
827 ?    Ss   0:00 /usr/sbin/cron
833 tty1 Ss   0:00 -bash
834 tty2 Ss+  0:00 /sbin/getty 38400 tty2
835 tty3 Ss+  0:00 /sbin/getty 38400 tty3
836 tty4 Ss+  0:00 /sbin/getty 38400 tty4
837 tty5 Ss+  0:00 /sbin/getty 38400 tty5
838 tty6 Ss+  0:00 /sbin/getty 38400 tty6
868 tty1 R+   0:00 ps ax

リスト10:サービスを止めた後の接続待ち
Active Internet connections (servers and established)
Proto Recv-Q Send-Q  Local Address           Foreign Address  State
tcp        0      0  *:ssh                   *:*              LISTEN
tcp        0      0  localhost.localdom:smtp *:*              LISTEN
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags   Type   State     I-Node Path
unix  4      [ ]     DGRAM            711    /dev/log
unix  2      [ ACC ] STREAM LISTENING 884    /dev/printer
unix  2      [ ACC ] STREAM LISTENING 753    /tmp/.iroha_unix/IROHA
unix  2      [ ]     DGRAM            871
unix  2      [ ]     DGRAM            742

   この状態で外部からnmapを実行すると、リスト11のようなリストが得られます。

リスト11:サービスを止めた後でnmapを試す
$ nmap 192.168.149.240

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-08-30 00:35 JST
Interesting ports on 192.168.149.240:
(The 1662 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh

Nmap finished: 1 IP address (1 host up) scanned in 0.615 seconds

   まずはこの状態をスタートに、と言いたいですが、まだ一手間残っています。それは、SSHサーバーの設定がどうなっているか? の確認です。本稿では詳細は述べませんが、sargeにてSSHサーバーをインストールした直後の状態は表7にあげた内容などは実現されているので、追加で表8のことを行いましょう。

  • SSH2プロトコルのみ受け付ける(sshサーバーインストール時に聞かれる)
  • パスワード認証を無効にする

表7:インストール直後に実現されている機能

  • SSH2のための公開鍵を作成し、インストールする
  • PermitRootLoginをnoにする(初期状態はyesになっている)
  • UsePAMをnoにする(初期状態はyesになっている)

表8:追加すること
前のページ  1  2

宮本 久仁男
 著者プロフィール
宮本 久仁男
某大手SIerに勤務。OSおよびミドルウェア、アプリケーション開発、インターネットサーバの運用管理、社内技術支援などを経て、現在は動向調査業務に従事する。業務の傍ら、大学にも所属(博士後期課程)し、研究生活を送る。あらゆる分野に興味を持ち、それらについて自学自習で学びつつ、成果をコミュニティにフィードバックしたり、研究/検証テーマを模索したりという日々。Microsoft MVP (Windows - Security)というアワードも受賞しているものの、どこにでもいそうなエンジニア風。
INDEX
第3回:不必要な起動スクリプトの削除と起動プロセスとポートのチェック
  不必要な起動スクリプトの削除〜lsofで調べ、update-rc.dで削除
起動設定を削除して再起動した後は?〜起動プロセスとポートをチェック