<chutzpah@ecc.u-tokyo.ac.jp> 安全なサーバー Linuxの場合 平成12年度東京大学技術職員研修 11月29日14:00-17:00@図書館 情報基盤センター 安東孝二 <chutzpah@ecc.u-tokyo.ac.jp>
東京大学のネットワーク事情 主にUTnet(情報基盤センター)が運用 支線は独自に管理 事務系、病院系は今日は考えない 管理する体制が準備されているところもされてないところも さまざまなセキュリティポリシーとsectionalism firewallの導入は難しい 工学部のように研究室ごとのNAT環境への移行が進んでいるところも
東京大学のセキュリティ事情(1) 情報基盤センターのネットワークセキュリティ掛を中心に啓蒙 PortScan 各種アタックは日常茶飯事 潜在的な踏み台は多い? ← http://www.nc.u-tokyo.ac.jp/security/index.html
東京大学のセキュリティ事情(2) 部局ごとのレベルのばらつき コンピュータ and/or ネットワークセキュリティへの理解不足 人材不足 みんながユーザー、管理者は数少ない 管理者への負担 そもそもマシン管理は本業ではない 人材不足の悪循環
大学における過去の被害例
学内で求められるセキュリティ 最低限のセキュリティレベルを維持する 自分の知らない人に使われないこと 自分の知らない人に使われないための努力 Open Relay Block アタックの踏み台 etc. 自分の知らない人に使われないための努力 知ってる人にもちゃんと使ってもらう努力
安全なサーバー 何のためのサーバーなのか? 誰のためのサービスなのか? 最低限のセキュリティレベルは確保 必要のないサービスはしない 必要な人だけにサービス 最低限のセキュリティレベルは確保
Windows vs UNIX さまざまな点を考慮して、適材適所! UNIXベースの方がInternetになじむ Single User vs Multi User Desktop vs Server エンドユーザー向け vs 管理者向け Commercial Product vs OpenSource UNIXベースの方がInternetになじむ
Linuxの特徴 OpenSourceでUNIX likeなOSである 多くの場合GUIが用意され、エンドユーザーにやさしく見える Desktopも充実 日本語環境も充実してきた 初心者にやさしくするあまりセキュリティに落とし穴も
Linuxの位置付け (きわめて個人的)
学内での安全なLinuxサーバーの運用 distributionの選択 パッケージの管理 サービスの管理 アクセス制限 暗号化
distributionの選択 Desktopは必要か? 日本語は必要なのか? サーバー用として売っているLinuxはそれでいいのか? 便利そうなツールほど穴になる セキュリティと便利さは反比例 日本語は必要なのか? 日本語ならではの穴 サーバー用として売っているLinuxはそれでいいのか?
パッケージの管理 Redhat系、Debian系、etc. 流儀が違う キーとなるサービスはやはりソースから押さえることをお勧め ソースから作らないなら、パッケージ管理のプロになれ! キーとなるサービスはやはりソースから押さえることをお勧め
サービスの管理 インストール後は/usr/sbin/setupをすぐにチェック いらないサービスを放置するのは犯罪に等しい cf. DoS attack
サービス管理のために
アクセス制限 tcpwrapper xinetd ipchains,etc パケットフィルタリング
暗号化 ssh SSL telnet -ssl imap-ssl pop-ssl (ちょっとちがうけど)OTPも有効 PGP/S-MIME
Linux 情報のキャッチアップ Linuxはユーザーが多いので、security holeもたくさん見つかる。 Linuxはユーザーが多いので、security patchもすぐに出てくる。
OpenSourceのよいところ?
有効なリソース(1) 各distributionのWEBサイト・メイリングリスト Apache/Samba/sendmail,etc各サービスアプリケーションのWEBサイト・メイリングリスト CERTなど JP CERTに多少の日本語リソース
有効なリソース(2) アングラ系も重要 BugTraq http://www.insecure.org BugTraq JPには(株)ラックからの日本語訳サマリーも流れます http://www.insecure.org http://www.slashdot.org
どきどきしながら運用する でも、それってみんながすること? 外注してもいいんじゃない?
情報基盤センターで受けられるサービス セキュリティ掛でのサービス ECCS掛でのサービス ネットワークセキュリティ診断 ワクチンソフトの配布 WEBサーバーのレンタル http://park.itc.u-tokyo.ac.jp/ メールサービスの請負(予定)
紙にかけない話 撮影禁止、オフレコで