72 lines
3.2 KiB
Text
72 lines
3.2 KiB
Text
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN" [
|
|
<!ENTITY base CDATA "..">
|
|
<!ENTITY date "$Date: 1998-07-28 03:57:32 $">
|
|
<!ENTITY title "How to secure a FreeBSD system">
|
|
<!ENTITY % includes SYSTEM "../includes.sgml"> %includes;
|
|
]>
|
|
<!-- $Id: secure.sgml,v 1.3 1998-07-28 03:57:32 hanai Exp $ -->
|
|
<!-- The FreeBSD Japanese Documentation Project -->
|
|
<!-- Original revision: 1.1 -->
|
|
|
|
<html>
|
|
&header;
|
|
|
|
|
|
FreeBSD システム, それから実際のところ種々 UNIX システムを安全なものと
|
|
する手順がいくつかあります.
|
|
|
|
<UL>
|
|
<LI>危険かもしれないソフトウェアを無効化する<BR>
|
|
実行ファイルに set-uid を立てるという手段を使い, 数多くのソフトウェアが
|
|
特別なリソースを利用するために特権ユーザ扱いで実行されています.
|
|
シリアルポートを使用する UUCP ソフトウェアや PPP ソフトウェア, メール
|
|
スプールに書き込みを行ないネットワークポートをバインドする sendmail などが
|
|
例として挙げられます. UUCP を使っていないのであれば, システムにそのソフト
|
|
ウェアを残していることが何らかの役に立つことはほとんどなく, 無効化するのが
|
|
賢明です. もちろん, これを行なうには, 将来その機能を使いたくなるかどうかと
|
|
いうことだけではなく, 何を捨て去ることができ, 何を捨てることができないかと
|
|
いった深い理解も必要となります.<BR>
|
|
また, あなたがさほど興味を持たないかもしれないユーティリティの中には,
|
|
swapinfo のようにセキュリティリスクの可能性を示すものもあります.
|
|
(``chmod ug-s ファイル名'' のようにして) 実行ファイルの set-uid ビットを
|
|
削除することで, root になっている間だけしか swapinfo を使うことができない
|
|
ようにシステムを保つことができます. しかしながら, あまりにも多くの sbit を
|
|
削除することは, 常に root になっている必要があるということを意味するため,
|
|
あまりよい方法とは言えません.<BR>
|
|
使用していないプログラムを削除するだけでなく, 提供したくない, あるいは
|
|
提供する必要のないサービスについても削除しておきましょう. これは
|
|
<TT>/etc/inetd.conf</TT> ファイルを修正して使わないサービスを全てコメント
|
|
アウトすればできます.
|
|
|
|
<LI>セキュリティバグのあるソフトウェアの修正<BR>
|
|
ソフトウェアのセキュリティバグに関する最新情報や修正版を入手するために
|
|
メーリングリストに参加して下さい. その修正版を早期にあてて下さい.
|
|
|
|
<LI>定期的なシステムのチェック<BR>
|
|
COPS や SATAN のようなプログラムを使って, システムのセキュリティの
|
|
ほころびや設定の誤りを検出することができます. 何か過ちをおかしていないか
|
|
どうかを確認するためにこれらのプログラムを時々実行してみるというのは,
|
|
よい考えです.<BR>
|
|
また, root 宛てに送信されるデイリーセキュリティレポート (訳注: 一日一回
|
|
行なわれる, セキュリティチェックの結果) の内容もチェックして下さい.
|
|
たまには各ログファイルもチェックして下さい. 使われていないアカウントは
|
|
削除して下さい.
|
|
|
|
<LI>セキュリティ侵害が発生した時に, システムの修復を可能とすること<BR>
|
|
常にバックアップを取り, (CD-ROM のような)クリーンなOSを用意しておいて
|
|
下さい.
|
|
|
|
<LI>システムを監視するソフトウェアのインストール<BR>
|
|
(FreeBSD 用パッケージになっている) tcp wrapper や tripwire のような
|
|
プログラムは, システムの積極的な監視を手助けしてくれます. これは,
|
|
システムへのブレークインの検出を容易にしてくれます.
|
|
|
|
<LI>システムで作業する人々の教育<BR>
|
|
ユーザは何をしているのかを知っていなければなりません. そして例えば推測が
|
|
困難なパスワードをつけるといったことをしなければなりません. システムの
|
|
セキュリティがユーザの手中にあると言うことをユーザに理解させましょう.
|
|
</UL>
|
|
|
|
&footer
|
|
</body>
|
|
</html>
|