Solaris セキュリティ・チェックリスト

(大学などの初・中級管理者向け)

Since Apr 2000
Last update: Oct 12, 2002
Copyright (C) 2000-2002 Hideaki Goto


はじめに

大学の研究室などのワークステーション (WS)は、しばしば教員や学生が ボランティア的に管理しています。 それまで管理をしていた詳しい 人が異動や卒業で居なくなってしまって、後に残った人たちが 途方に暮れるというのもありがちです。 それでも、電子メールやWebの 利用は研究上必要なものなので、管理が行き届かないWS をネットワークにつないだままにしていたり、WSを買い足して ろくに設定せずに使うということも多々あるでしょう。

しかし、こういう WS は非常に危険です。 よく大学関係の計算機は企業に比べてセキュリティ対策が非常に 甘いと言われます。 「自分たちの計算機が乗っ取られても自分たちだけの問題だから大丈夫」 というのは大きな間違いで、乗っ取られた計算機を使って様々な ネットワーク犯罪を犯すという、いわゆる「踏み台」にされれば、 対外的には大学全体が悪者扱いされることもあり、 それは大学の名誉にも関わる重大な問題になります。

研究室という単位では、ネットワークに強力な Firewall を 導入するのが難しいことが多いと思います。 しかし、WS だけでも できる設定をきちんとやっておけば、かなりのネットワーク 犯罪を防げるでしょう。 コンピュータのセキュリティについては、とりあえず

からたどれる文書を読んでおくと良いです。 でもこの種の文書は一般的な解説となっているので、 WSやネットワークの管理の初心者には具体的な 設定が分かり難いものです。

そこで、 ここでは、広く使われている Sun の WS について、 最低限やっておいた方がよい 設定や確認を、チェックリスト形式でまとめてみました。 万全というわけではありませんが、 忘れものがないかを確認するのには使えると思います。


対象オペレーティングシステム

Sun の WS で稼働している以下のOSを想定して書いています。 Intel版の Solaris でも設定は同様です。

Solaris2.5 (not 2.5.1) は非常に不安定でバグだらけのリリースだと 言われています。 Solaris2.6は、ネットワーク犯罪が 大流行し始めた頃にリリースされたもので、ある程度 はセキュリティが向上していますが、まだ多くの セキュリティパッチを当てないといけません。 まだ Solaris2.5 以前や SunOS4 を使っていて、 セキュリティ対策に自信がない人は、ぜひ WS をネットワーク から切り離すか、Solaris8にバージョンを上げる ことを真剣に考えましょう。

なお、とくに断らない限り、クライアントのWSの導入時の設定を想定 しています。 既に運用中のWSも、一度は一通りチェックしておくことを 薦めます。 ネットワークを介した外部からの攻撃への対策を主に 取り上げており、WSに正規のアカウントを持つユーザの内部 犯行についてはあまり触れていません。

メールサーバやDNSサーバといった 高度な設定が必要なWSについては、ここでは取り上げません。 リンク先のドキュメントなどを参考にしてください。 Webサーバの設定は使用するサーバソフトウェアに依存するので、 ここでは Level 3 に設定方針を示すにとどめています。


注意: ここに書かれていることは無保証です。 自己責任でご利用ください。 筆者は何らの責任も 負いません。(おやくそく)
もちろん、いい加減なことを書いて人々を惑わすようなことが ないように努めていますが、筆者の不勉強により間違いがあった 場合はご指摘頂けると大変嬉しいです。


チェックリスト

Level 1 と Level 2 は必須です。 ここに書いてあることはあくまで 「最低限の設定と確認」だということに注意してください。 重要度は低くても、他にも気を付ける所が色々あります。 追加導入した各種ネットワークサービスには細心の注意が必要です。 また、運用開始後も、 システムのログファイル (/var/adm/..., /var/log/...) などは 頻繁にチェックしましょう。


お奨めのサイト

とりあえず一連のチェックを終えたら下記サイトを覗いてみると良い でしょう。


連絡先: hgot@m__n.hanya-n.org
(このページのURLを参考にアドレスを補完して下さい)