4.5. 利用できるネットワークサービス

管理制御へのユーザーアクセスが企業のシステム管理者にとって重要な問題である一方、アクティブになっているネットワークサービスに注意を払うことは、Linuxシステムを動作させて管理する人すべてにとって非常に重要なことになります。

Red Hat Enterprise Linux稼動環境下にある多くのサービスはネットワークサービスとして動作します。ネットワークサービスがマシン上で稼動している場合、デーモンと呼ばれるサーバーアプリケーションは 1つまたは複数のネットワークポートで接続をリスニングしています。これらの各サーバーは攻撃される可能性のある通路として考えるべきでしょう。

4.5.1. サービスへの危険性

ネットワークサービスはLinuxシステムにとって多くの危険性をもたらします。 以下に主な問題のいくつかを一覧で示します。

注記注記
 

Red Hat Enterprise Linux では、バッファオーバーフローの脆弱性への脅威は ExecShieldで軽減されています。これは、実行可能なメモリ分割と x86-互換のシングル 及びマルチプロセッサーカーネルでサポートされる保護技術です。ExecShield は仮想メモリを実行可能と非実行可能な部分に分割することでバッファオーバーフローのリスクを軽減します。実行可能部分外で実行しようとするプログラムコード(バッファオーバーフロー悪用で投入された悪意のあるコードなど)は分割化失敗を発生し、終了します。

Execshield には、AMD64 プラットフォーム上のNo eXecute(NX)技術と Itanium 及び Intel® EM64T システム上の eXecute Disable (XD)技術へのサポートが含まれます。これらの技術は ExecShield と共に機能して悪意のあるコードが実行可能コードの4kb 区分を持つ仮想メモリの実行可能部分で実行するのを阻止して、見えないバッファオーバーフローの悪用からの攻撃のリスクを低減します。

ExecShield と NX あるいは XD 技術に関する詳細は、Red Hat Enterprise Linux v.3 の新セキュリティ強化と題された白書を参照して下さい。以下の URL で見ることが出来ます:

http://www.redhat.com/solutions/info/whitepapers/

ネットワーク上で攻撃を受ける可能性を制限するには、使用していないサービスを全てオフにしてください。

4.5.2. サービスを識別して設定する

セキュリティを強化する為に、Red Hat Enterprise Linux でインストールされているほとんどのネットワークサービスはデフォルトでオフになっています。但し、幾つか例外があります:

これらのサービスを実行したまましておくかどうかを決めるときは、常識を持って判断し、注意しすぎる位がベストです。例えば、プリンタが利用できない場合にはcupsd を実行したままにしておかないようにします。portmap についても同じです。NFSv3 ボリュームをマウントしなかったり NIS(ypbindサービス)を使用しない場合には、portmapは無効にしてください。

Red Hat Enterprise Linux ではサービスをオン/オフに切り替えるようデザインされた 3つのプログラムを配付しています。サービス設定ツール (system-config-services)、ntsysvchkconfigの3つです。これらのツールの使い方については、Red Hat Enterprise Linux システム管理ガイド にあるサービスに対するアクセスの制御の章を参照してください。

図 4-3. サービス設定ツール

特定のサービスに関してその目的が不確かな場合は、 図4-3に示してあるように、 サービス設定ツールに詳細フィールドがあり、簡単な使用用途が記載されているかもしれません。

ただし、ブート時に起動できるネットワークサービスを確認するだけでは十分とは言えません。システム管理者は、どのポートが開いていてリスニングしているかも確認してください。これに関する詳細は、項5.8を参照してください。

4.5.3. 不安定なサービス

潜在的には、どのネットワークサービスも不安定です。だからこそ、使用しないサービスをオフにすることが非常に重要になります。サービスの不正アクセスは明らかにされ通常パッチされますので、どのネットワークサービス関連のパッケージも常に更新して最新の状態を保つことが とても重要になります。この問題に関する詳細は、 章3章を参照してください。

ネットワークプロトコルの中には他に比べて本質的に不安定なものがあります。以下のようなことを行なうサービスはいずれもこれに該当します。

本質的に不安定なサービスには以下のようなものがあります。

すべてのリモートログインとシェルプログラム(rloginrshtelnet)は避けて SSH にして下さい。 (sshdについての詳細は、項4.7を参照してください)。

FTPは、システムのセキュリティに対してリモートシェルほど本質的に危険ではありませんが、 問題を避けるために、FTPサーバーは十分に注意して設定、監視する必要があります。 FTPサーバーの安全確保についての詳細は、項5.6を 参照してください。

十分に注意して実施すると共に、ファイアウォールの後に配置すべきサービスには 以下のようなものがあります。

ネットワークサービスの安全確保に関する詳細は、章5章にあります。

次のセクションでは、シンプルなファイアウォールを設定するのに利用できる ツールについて説明します。