2.7.2.2. サーバのセキュリティ
- 2.7.2.2.1. TCPラッパーとxinetdによるセキュアなサービス
- 2.7.2.2.2. ポートマップのセキュリティ向上
- 2.7.2.2.3. NISのセキュリティ向上
- 2.7.2.2.4. NFSのセキュリティ向上
- 2.7.2.2.5. Apache HTTP サーバのセキュリティ向上
- 2.7.2.2.6. FTPのセキュリティ向上
- 2.7.2.2.7. Sendmailのセキュリティ向上
- 2.7.2.2.8. どのポートが開いているかの検証方法
2.7.2.2.2. ポートマップのセキュリティ向上
portmap サービスはNISやNSFのようなRPCサービスへ動的にポート指定を行うデーモンです。これは弱い認証機構を採用しており、制御するサービスが広い範囲のポートを使えるようになっています。このことからセキュリティを強固なものにするのは難しくなっています。
portmapをセキュアなものにするのはNFSv2、NFSv3を使う場合にだけ影響し、NFSv4ではその必要はなくなっています。もしNFSv2またはNFSv3サーバの利用を計画しているのであれば、portmapが必要ですので、以下に記述している内容を適用して下さい。
RPCサービスが動作しているなら、以下の基本的な規則に従って下さい。
2.7.2.2.3. NISのセキュリティ向上
原文は43.2.3. Securing NIS、43.2.3.1. Carefully Plan the Network。
ネットワーク インフォメーション サービス(Network Information Service、NIS)はRPCサービスの一つで ypserv と呼ばれています。これは portmap とユーザ名(username)、パスワード(password)およびドメイン内のあらゆるコンピュータに影響する情報のマップを配布するのに関わる他のサービスとを結びつけるのに用いられます。
1つのNISサーバは以下に記したいくつかのアプリケーションで構成されます。
-
/usr/sbin/rpc.yppasswdd...これはyppasswddサービスとも呼ばれるもので、このデーモンは各ユーザがNISパスワードを変更できるようにします。 -
/usr/sbin/rpc.ypxfrd...これはypxfrdサービスとも呼ばれるもので、このデーモンはネットワークを越えてNISマップを転送するのに関わっています。 -
/usr/sbin/yppush...このアプリケーションはNISデータベースの変更内容を複数のNISサーバに伝達します。 -
/usr/sbin/ypserv...これはNISサーバデーモンです。
NISは現行の標準では幾分セキュリティさに欠ける面があります。ホストの認証を行う仕組みと持たず、ネットワークを介した情報のやりとりはパスワードハッシュも含む全てが暗号化されずに行われるからです。そのため、NISを使うネットワークのセットアップには細心の注意を払わなければなりません。これは既定のNIS設定が本質的にセキュアではないため、さらに面倒なことになっています。
NISサーバを導入しようと計画している場合は、まず「2.7.2.2.2. ポートマップのセキュリティ向上」に概要が記されている portmap サービスをセキュアなものにし、その後にネットワーク計画など以下に述べる内容に取り組むことを推奨します。
NISはネットワークを介して重要な情報を転送するので、ファイアウォールで守られ区切られたセキュアなネットワーク内で実行することが大切です。NIS情報はセキュアではないネットワークを介して転送されるため、傍受される危険を伴います。注意深くネットワークを設計することが深刻なセキュリティの漏洩の危険を減らしてくれます。