TOPサーバ構築・運用> セキュリティにはどんなのがある?
はじめてのオープンソース
たかはしもとのぶの「はじめてのオープンソース」

第8回:森君、サーバのセキュリティ管理を任されるの巻!
著者:たかはしもとのぶ   2008/02/20
前のページ  1  2  3  次のページ
セキュリティにはどんなのがある?

森君 森君    ファイルサーバのアクセス許可は、今指摘されたから…。あとは、Winnyとか騒がれてるファイル共有ソフトの問題ですね。

   あ、そうだ、サーバに侵入されちゃってホームページが知らない人に書きかえられた事件もニュースでみたことあるなぁ。ホームページをクリックしたら怪しげなページに飛ばされちゃったとか、パソコンのファイル消されちゃったとか、お金の請求が来たのもやってましたね。あとは、えーと、えーと、あ。Windows Updateをちゃんとやるとか。
青井部長    まぁ、いいでしょう。ニュースなどで報道されて事件になったものは知っているようですが、サーバのセキュリティ事例という観点からはちょっと外れますね。

森君    う〜ん。確かにサーバではホームページみたりしないですね。

もとのぶ先生 もとのぶ先生    じゃあ、森君が挙げてくれた例と、他にもいくつか追加して考えてみようか。

   サーバっていうのは一般的には常時動作していてなんらかのサービスを提供している。だから一番直接的なセキュリティは、サービスが本来提供してはいけない情報の表示を許可しないことだ。ファイルサーバでいうと、適切なアクセス許可の設定をして、さっき注意したようなみえてはいけないファイルがきちんとみられないようになっていること、かな。
森君    うっ…。

もとのぶ先生    もちろん、サーバにアクセスするときに、誰か知らない人が森君のユーザ名とパスワードを使ってアクセスすることがないようにすることも必要だね。パスワードがユーザ名と同じだったり、誕生日とか推測しやすいものだったりすれば、悪い人に見破られちゃうかもしれない。だから複雑なパスワードを強制するとかが必要になる。

   もちろん森君は大丈夫だよね?

森君 森君    ぎく…。
もとのぶ先生    でも、パスワードをいくら複雑にしても、考えられる限りの組み合わせを試せば、いつかはばれちゃうんだ。だから何回かパスワード入力に失敗したら、ユーザを無効にするとかの対策が必要になる。LinuxだとPAMっていう機能を使うとできるね。より強力な方法は、そもそもパスワードを使わない方法にすること。生体認証って言葉を聞いたことあるよね。

図1:セキュリティ対策にはどんなものがあるの?
図1:セキュリティ対策にはどんなものがあるの?
(画像をクリックすると別ウィンドウに拡大図を表示します)

森君 森君    あの、指紋とか静脈認証っていうやつとかですよね。最近は銀行のATMについてますよね。
もとのぶ先生    そう、それ。ただ、サーバへ一般の利用者がアクセスするときには、ネットワーク経由になるし、生体認証を導入するのはちょっと敷居が高いね。別の意味でのセキュリティの問題もあるし。この辺を考えて論文にまとめてもいいんじゃないかな?

   パスワードを使う場合も、ネットワーク上で情報がのぞき見されないように暗号化することも一般的に行われてるよね。金子さんから「Linuxサーバへのアクセスにはtelnetじゃなくてsshを使え」っていわれなかった?あれはtelnetは暗号化されない「平文(ひらぶん)」で情報が送られるけど、sshでは強力な暗号化が行われるからなんだ。

   それから、銀行のATMでもいわれると思うけど、パスワードを定期的に変えることも重要だよね。

   もちろんソフトウェアのバグを悪用されて、サーバへ侵入されちゃったりしないように、ちゃんとバグ修正を行うのも重要。Windowsだと森君が答えてくれたWindows UpdateやMicrosoft Updateを行うって形になるけど、Linuxではどうかな。

森君 森君    あ、あ、あ…、金子さんから教わったような気がする。そうだ「あぷちちゅーど(aptitude)」ですよね!
もとのぶ先生    (うわっ、発音が金子さんに…)うーん、それはDebianとかVine Linuxとかのコマンドかな。他にもCentOSだったら「yum update」を使うみたいに、ディストリビューションごとにコマンドがあるね。

   もちろん、侵入されないためには、不要なサービスを停止したり、サーバへの通信自体を必要最低限なものに限って許可したりしておくことも重要。ファイアウォールって言葉は知ってるよね。

森君    はい。自宅でもパーソナルファイアウォールを買って入れてます。

もとのぶ先生    パーソナルファイアウォールは、文字どおりパーソナル、個人向けに特化したファイアウォールだけど、サーバ用のファイアウォールも当然存在する。

   専用の機械やソフトもあるけど、Linux自身にもその機能は備わっている。iptablesコマンドで制御できるから、あとでマニュアルを読んでみるといいよ。

森君    なるほど!そういうのを1つずつ導入していけばいいんですね。なんだ、大変だけど何とかなるかなぁ、助かったー。

もとのぶ先生 もとのぶ先生    それじゃ全然ダメ(^_^)
青井部長 青井部長    確かに、それじゃあだめですねぇ。
本記事はフィクションであり、実在の人物には一切関係ありません。

前のページ  1  2  3  次のページ

たかはしもとのぶ
 著者プロフィール
たかはしもとのぶ(高橋基信)
1970年生まれ。1993年早稲田大学第一文学部哲学科卒。同年NTTデータ通信株式会社(現:株式会社NTTデータ)に入社。
クライアント・サーバシステム全般に関する技術支援業務を長く勤める。UNIX・Windows等のプラットフォームやインターネットなどを中心とした技術支援業務を行なう中で、接点ともいうべきMicrosoftネットワークに関する造詣を深める。
現在は「日本Sambaユーザ会」スタッフなどを務め、オープンソース、Microsoft双方のコミュニティ活動に関わるとともに、各種雑誌への記事執筆や、講演などの活動を行なっている。
INDEX
第8回:森君、サーバのセキュリティ管理を任されるの巻!
  森君がサーバのセキュリティ管理に初挑戦!
セキュリティにはどんなのがある?
  100%のセキュリティって実現できるの?