セキュリティ対策   ▲ Indexヘ
最終更新日 : 2003/02/07(森川靖大)  <<  作成日 : 2003/02/07(森川靖大)

本ドキュメントは, DNS サーバ における最低限のセキュリティ対策を 記したものである.


  1. 心掛け
  2. パスワード認証はセキュアな方法を取る
  3. 不必要なネットワークサービスを立ち上げない

1. 心掛け

専攻サーバではセキュリティ対策として 以下の2点を心掛けている.


2. パスワード認証はセキュアな方法を取る

[2.1] telnet と ftp に関して

telnet および ftp を使ったログインはネットワーク上にパスワードが 生のままで流れてしまうので, 使用を許可していない. DNS サーバでは ssh でのみログインを可能にする.


3. 不必要なネットワークサービスを立ち上げない

専攻サーバでは, セキュリティー的な穴をできるだけ作らないために, 不必要なネットワークサービスを極力行わないこととする. ネットワークサービスは以下のように起動される.


[3.1] /etc/inetd.conf の編集

/usr/sbin/inetd によって起動されるネットワークサービスのうち, 必要の無いものを全て殺す. inetd (インターネットデーモン)は 同時に多数のネットワークポートでの 接続要求を待ち, 接続が完了された段階で要求に応じて適切な TCP サーバ, UDP サーバを起動する. inetd は起動時に /etc/inetd.conf ファイルを読み込み, 実行すべきネットワークサービスを決定する.

/etc/inetd.conf を編集して不必要なサービスが上がらないようにする.

# vi /etc/inetd.conf [Enter]

必要のないサービスの行をコメントアウトする. DNS サーバに関しては, gate-toroku-system を インストールする前ならば全ての行をコメントアウトする.

/etc/inetd.conf を編集したら編集した内容を反映させるため, inetd のプロセスを再起動する.

# ps aux | grep inet [Enter]
root       xxx    0.0  0.0     880    124   ?  S   Feb 12   0:00 /usr/sbin/inetd 
# kill -HUP xxx (xxx は inetd のプロセス番号) [Enter]

[3.2] /etc/init.d/

/etc/init.d/ の下に関しては管理者がしっかりと把握し, 常におかしなものが起動していないかどうかチェックする必要がある. ps コマンドでどのようなデーモンが動いているか調べることが必要である. 特に NFS, NIS を立ち上げた状態にしてはならない.

▲ Indexヘ     作成日:2003/02/07(森川靖大)