[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:24085] 公開サーバーを立てる時の注意



いつもお世話になっています碇です。
今回、いろいろな事がありまして皆様には大変お世話になりました。
私なりに、調べましてdebian又その他のUNIXライクなホストを
公開する上での注意点をまとめてみました。
これから公開サーバーを立てる方で、私のような新米管理者の方に
参考になれば幸いです。またこれは間違っているなどのご指摘が
あれば、お願いします。
以下注意点です。

1) まず必要なサービスを考えます。
2) その他の要らない物は、なるべくDeleteしてしまいます。
3) telnetは使わない(例えtcp wrapperで制限をかけていても)
4) iploggerとidentは入れておくべし。
5) ホストを構築後、一呼吸してrebootします。
6) netstat -lなどで何が提供されているか調べます。
7) わからないポートがあいていたらfuserで調べます。
8) 5,6が終わったら念のためrebootします。
9) 外部からnmap等でスキャンします。
10) 問題があったら5からやり直し。
11) 常にログオフしておくべし。
	(実行権限を持ったプログラムをコピーされる恐れがある)
12) web上の情報は、玉石混淆なので取捨選択する。
	(これがなかなか難しい)
13) ソフトは最新のものを使う。
	(これまた難しい)
14) 3の解決策としてはSSHが考えられるますが、常にリスクがある
	事を念頭に置く(sshdにバグが出るかもしれない)
15) コンパイラはやっぱりおかない方がいいできたらperlも
16) これは私がクラックされたと確信したログなのですが
	debianではsetuid gidのログを定期的にとっているので
	/bin/ls /bin/suなどが変更されたログがあったら
	即座にそのホストはThe internetから隔離する。
17) wtmt or lastコマンドが私の場合操作されていましたが、
	lastコマンドで誰がログインしたかたまに見るといい。
18) やっぱりログは定期的に見るようにする。
19) 余裕があったらtripwireやsnortを入れる。
20) Xはちゃんとアクセス権などを設定できなければ立ち上げ
	無い方がいい
以上です。

又質問になってしまうのですが、一つだけお願いします。
superユーザーのアカウントが常にrootである必要性はあるの
でしょうか?
具体的にはrootのuidとgidをstaffにしてしまい
hogehoeなどというアカウントのuid,gidを0,0にするなどです。
私的には、ナイスなアイデアだと思ったのですがどうでしょう? 
-- 
**************************************
    碇 永志  PCA(株) ikari@xxxxxxxxx
**************************************