最低限のセキュリティ

〜自分のところは大丈夫と思ったら、大間違い!〜


 

<こんなちっちゃなサイトなのにハッキングされるの?>

ハッキングされます。なぜなら今のハッキングはプログラムによっ
てまずセキュリティの弱いサイトを探し、その後アタックをおこな
うからです。一度に何万件ものサイトをサーチして犠牲者を洗い出
すというわけです。

<対策その1〜パスワードについて>

@パスワードの作成
パスワードの作成はとても単純に思えますがとても大切です。
ほんの少しですが、以下のことに気をつけてみて下さい。

a.8文字以上のパスワードにしましょう。
b.辞書に載っていない単語を使いましょう。
c.数字、記号、大文字、小文字を混ぜて作りましょう。
ex. P,4<gAc&

Aシャドウパスワード
パスワードファイルを盗まれても、暗号化しておけば少しは違います。
パスワードのシャドウ化はとても簡単で、
root>pwconv5
というコマンドを実行するだけでOKです。
パスワードを変更したり、ユーザーを追加したら、pwconv5す
る癖をつけてください。

<対策その2〜Tcp Wrapperの使い方

@telnetについて
telnetを使えばリモートから端末のコンソールにログインできます。
したがってもしもパスワードが破られたら非常に危険です。また、
telnetでpop3その他のサービスにもアクセルできてしまいます。smtp
にアクセスすればSPAM対策のされてない端末ならそこからメールが送れ
てしまうのです。

Atelnetの受付の制御
では、ほかのサイトからのtelnetは受け付けなくすれば
ひとまず安全です。それにはどうしたらいいのでしょうか?
そのためにはTcp Wrapperについてみていきましょう。

BTcp Wrapperってなあに?
Tcp Wrapperとは、サーバプログラムと外部の接続要求の
取次ぎをするプログラムです。このサーバープログラム
には、telnet,ftp,pop3,smtp,ipap4などがあります。

http,telnet接続要求→tcp-wrapper(ok?>yes)→サーバプログラム起動
http,telnet接続要求→tcp-wrapper(ok?>no)→接続拒否

C設定その1〜inetd.conf
inetdでは/etc/inetd.confという設定ファイルで
監視するポート
起動するプログラム、について設定します。
書式は下記のとおりです。

service type protocol flag user server args

telnetの例でいくと、

telnet stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.telnetd
となります。この意味は、
a.telnetというserviceを
b.streamというソケットタイプで
c.TCPプロトコルで
d.直ちに要求を受け付け(nowait)
e.root権限で起動し
f./usr/sbin/tcpdというserverプログラムを、
g./usr/sbin/in.telnetdというargs引数で起動します。
この設定ファイルで、使わないサービスについては行頭に#
を入力してコメントアウトしてしまいましょう。

D設定その2〜hosts.allowとhosts.deny
Tcp-Wrapperでは/etc/hosts.allowと/etc/hosts.deny
によってアクセスのポリシーを決めます。

たとえば、ローカルネットワークからのアクセス要求のみ
受け付ける設定は以下のようになります。
/etc/hosts.allow→ALL:210.xxx.xxx.xxx/255.255.255.240
/etc/hosts.deny→ALL:ALL
また、
/etc/hosts.denyに
ALL:ALL:spawn=(/usr/sbin/safe_finger -l @%h | /bin/mail xxx@pba.co.jp)
としておけば、不正アクセスがあった時点でxxx@pba.co.jpに
メールでしらせてくれます。

※Tcp-Wrapperのマニュアルはこちらにあります。
 
 


 
お問い合わせは info@pba.co.jp
(株)パーソナルビジネスアシスト
Copyright (C) 1999 pba All rights reserved.
最終更新日 : 2001/10/10

 


  Pba