[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:24089] Re: 公開サーバーを立てる時の注意
かねこです。
At 2:37 PM +0900 00.9.19, ikari wrote:
> 14) 3の解決策としてはSSHが考えられるますが、常にリスクがある
> 事を念頭に置く(sshdにバグが出るかもしれない)
サービスにバグがあればどうしようもないですから、ある意味こ
れは当然で、むしろ ssh 化の問題点は環境を ssh にしてまわる
のがそんなに容易ではない、というところにあると見ます。とり
あえず Windows では選択肢一つですが何とかなるのに対し、
Macintosh ではしろとに与えられる上手い方法がないからなぁ。
Windows だって、いまだに Outlook が撲滅できない現状を見る
につけ、不便だ、telnetd 空けろ、で終わりそうな気もする。
> 15) コンパイラはやっぱりおかない方がいいできたらperlも
Perl 置かないと install できないものがあるんじゃないかしら
ん。たぶん Debian ではこれは難しいんじゃないかと思います。
> 19) 余裕があったらtripwireやsnortを入れる。
tripwire を入れるのは、単にパッケージをつっこむだけですか
ら余裕とは関係ない。ログを見るかどうかは別です :-)
> 20) Xはちゃんとアクセス権などを設定できなければ立ち上げ
> 無い方がいい
ここが一番判断に迷うところなんですよねぇ。サーバのみに使う
なら「Xなんかいれるな」で終わりで(細かい setuid を落とし
ていく件は多少ありますが)、クライアント環境が抜けないサー
バのセキュリティ的に正しい設定があるか、というのは当面未解
決問題でしょうね。
> 以上です。
>
> 又質問になってしまうのですが、一つだけお願いします。
> superユーザーのアカウントが常にrootである必要性はあるの
> でしょうか?
> 具体的にはrootのuidとgidをstaffにしてしまい
> hogehoeなどというアカウントのuid,gidを0,0にするなどです。
意味無いです。システム的に見たら uid=0, gid=0 が意味がある
だけですから、クラッキングを偶々 root というユーザを何かご
にょごにょして行っている場合、一段手間は増えますが、どうせ
その場合他の id になりすませるぐらいシステムが破られている
ので防御にはならないでしょう。
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------