安全なサーバー Linuxの場合 平成12年度東京大学技術職員研修 11月29日14:00-17:00@図書館 情報基盤センター 安東孝二 <[email protected]> 東京大学のネットワーク事情 • 主にUTnet(情報基盤センター)が運用 – 事務系、病院系は今日は考えない • 支線は独自に管理 – 管理する体制が準備されているところもされて ないところも – さまざまなセキュリティポリシーとsectionalism – firewallの導入は難しい • 工学部のように研究室ごとのNAT環境への移行 が進んでいるところも 東京大学のセキュリティ事情 (1) • 情報基盤センターのネットワークセキュリ ティ掛を中心に啓蒙 PortScan 各種アタックは日常茶飯事 潜在的な踏み台は多い? ← http://www.nc.u-tokyo.ac.jp/security/index.html 東京大学のセキュリティ事情 (2) • 部局ごとのレベルのばらつき • コンピュータ and/or ネットワークセキュリ ティへの理解不足 • 人材不足 – みんながユーザー、管理者は数少ない – 管理者への負担 – そもそもマシン管理は本業ではない • 人材不足の悪循環 大学における過去の被害例 学内で求められるセキュリティ • 最低限のセキュリティレベルを維持する – 自分の知らない人に使われないこと • Open Relay Block • アタックの踏み台 • etc. – 自分の知らない人に使われないための努力 – 知ってる人にもちゃんと使ってもらう努力 安全なサーバー • 何のためのサーバーなのか? – 必要のないサービスはしない • 誰のためのサービスなのか? – 必要な人だけにサービス • 最低限のセキュリティレベルは確保 Windows vs UNIX • さまざまな点を考慮して、適材適所! – – – – Single User vs Multi User Desktop vs Server エンドユーザー向け vs 管理者向け Commercial Product vs OpenSource • UNIXベースの方がInternetになじむ Linuxの特徴 • OpenSourceでUNIX likeなOSである • 多くの場合GUIが用意され、エンドユー ザーにやさしく見える • Desktopも充実 • 日本語環境も充実してきた • 初心者にやさしくするあまりセキュリティに 落とし穴も Linuxの位置付け (きわめて個人的) 学内での安全なLinuxサーバー の運用 • • • • • distributionの選択 パッケージの管理 サービスの管理 アクセス制限 暗号化 distributionの選択 • Desktopは必要か? – 便利そうなツールほど穴になる • セキュリティと便利さは反比例 • 日本語は必要なのか? – 日本語ならではの穴 • サーバー用として売っているLinuxはそれ でいいのか? パッケージの管理 • Redhat系、Debian系、etc. 流儀が違う – ソースから作らないなら、パッケージ管理のプ ロになれ! • キーとなるサービスはやはりソースから押 さえることをお勧め サービスの管理 • インストール後は/usr/sbin/setupをすぐに チェック • いらないサービスを放置するのは犯罪に 等しい – cf. DoS attack サービス管理のために アクセス制限 • tcpwrapper • xinetd • ipchains,etc パケットフィルタリング 暗号化 • ssh • SSL – telnet -ssl – imap-ssl – pop-ssl • (ちょっとちがうけど)OTPも有効 • PGP/S-MIME Linux 情報のキャッチアップ – Linuxはユーザーが多いので、security holeも たくさん見つかる。 – Linuxはユーザーが多いので、security patchも すぐに出てくる。 OpenSourceのよいところ? 有効なリソース(1) • 各distributionのWEBサイト・メイリングリス ト • Apache/Samba/sendmail,etc各サービスア プリケーションのWEBサイト・メイリングリ スト • CERTなど – JP CERTに多少の日本語リソース 有効なリソース(2) • アングラ系も重要 – BugTraq • BugTraq JPには(株)ラックからの日本語訳サマ リーも流れます – http://www.insecure.org – http://www.slashdot.org どきどきしながら運用する • でも、それってみんながすること? • 外注してもいいんじゃない? 情報基盤センターで受けられる サービス • セキュリティ掛でのサービス – ネットワークセキュリティ診断 – ワクチンソフトの配布 • ECCS掛でのサービス – WEBサーバーのレンタル • http://park.itc.u-tokyo.ac.jp/ – メールサービスの請負(予定) 紙にかけない話 • 撮影禁止、オフレコで
© Copyright 2025 ExpyDoc
