[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:24085] 公開サーバーを立てる時の注意
- From: ikari <ikari@xxxxxxxxx>
- Subject: [debian-users:24085] 公開サーバーを立てる時の注意
- Date: Tue, 19 Sep 2000 14:37:51 +0900
- X-accept-language: ja,en
- X-authentication-warning: pcamx.pca.co.jp: Host mask.pca.co.jp [202.240.53.8] claimed to be pca.co.jp
- X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
- X-ml-name: debian-users
- X-mlserver: fml [fml 3.0pl#17]; post only (only members can post)
- Message-id: <39C6FC98.FA4FDE52@xxxxxxxxx>
- X-mail-count: 24085
- X-mailer: Mozilla 4.75 [ja] (WinNT; U)
いつもお世話になっています碇です。
今回、いろいろな事がありまして皆様には大変お世話になりました。
私なりに、調べましてdebian又その他のUNIXライクなホストを
公開する上での注意点をまとめてみました。
これから公開サーバーを立てる方で、私のような新米管理者の方に
参考になれば幸いです。またこれは間違っているなどのご指摘が
あれば、お願いします。
以下注意点です。
1) まず必要なサービスを考えます。
2) その他の要らない物は、なるべくDeleteしてしまいます。
3) telnetは使わない(例えtcp wrapperで制限をかけていても)
4) iploggerとidentは入れておくべし。
5) ホストを構築後、一呼吸してrebootします。
6) netstat -lなどで何が提供されているか調べます。
7) わからないポートがあいていたらfuserで調べます。
8) 5,6が終わったら念のためrebootします。
9) 外部からnmap等でスキャンします。
10) 問題があったら5からやり直し。
11) 常にログオフしておくべし。
(実行権限を持ったプログラムをコピーされる恐れがある)
12) web上の情報は、玉石混淆なので取捨選択する。
(これがなかなか難しい)
13) ソフトは最新のものを使う。
(これまた難しい)
14) 3の解決策としてはSSHが考えられるますが、常にリスクがある
事を念頭に置く(sshdにバグが出るかもしれない)
15) コンパイラはやっぱりおかない方がいいできたらperlも
16) これは私がクラックされたと確信したログなのですが
debianではsetuid gidのログを定期的にとっているので
/bin/ls /bin/suなどが変更されたログがあったら
即座にそのホストはThe internetから隔離する。
17) wtmt or lastコマンドが私の場合操作されていましたが、
lastコマンドで誰がログインしたかたまに見るといい。
18) やっぱりログは定期的に見るようにする。
19) 余裕があったらtripwireやsnortを入れる。
20) Xはちゃんとアクセス権などを設定できなければ立ち上げ
無い方がいい
以上です。
又質問になってしまうのですが、一つだけお願いします。
superユーザーのアカウントが常にrootである必要性はあるの
でしょうか?
具体的にはrootのuidとgidをstaffにしてしまい
hogehoeなどというアカウントのuid,gidを0,0にするなどです。
私的には、ナイスなアイデアだと思ったのですがどうでしょう?
--
**************************************
碇 永志 PCA(株) ikari@xxxxxxxxx
**************************************