フリーの定番ソフトを利用した
4段階 Linux サーバー防御法

──4つの砦でクラッカーを撃退せよ──

サーバが侵入され他のサイトへの攻撃の踏み台として悪用されれば, 賠償責任が生じるかも知れない。 たとえ守る価値のないサーバーでもインターネットにつなぐ以上, セキュリティを高める努力をしなければならないのである。

4つの砦を構築せよ

セキュリティの基本は, 侵入される可能性を少しでも排除し, 万一侵入されたとしても被害を最小限にとどめることである。 今まで侵入されたことがないからこのままでよいはずだと考えていると, ある日侵入に気付いて慌てることになる。

侵入の可能性を減らすには, 防御の仕掛けを何重にも構築することが重要である。 単一の防御では, その部分にバグなどの原因でセキュリティ・ホールがあれば, おしまいだからである。

ここでは, 防御の仕掛けを4段階に分けて説明する。 それぞれ「最初の砦(とりで)」「第2の砦」「第3の砦」「最後の砦」 と呼ぶことにする。 このうち第2の砦がサーバー・プログラム自身による防御である。

もしサーバー・プログラムにバグが一切ないのであれば, 他の砦は本来不要であるが, バグがない枯れたプログラムだけでは必要なサービスが提供できないし, もちろん枯れたと思われているプログラムでも バグがないことを保証することは不可能である。 他の砦はサーバー・プログラムの防御を補う役割を果たすことになる。

では, 最初の砦から解説しよう。

最初の砦

パケット・フィルタリングで守れ

第2の砦

サーバー・プログラムによる認証で守れ

第3の砦

被害の限定

最後の砦

侵入を検出せよ

(仙石浩明)

ライターから


特集: 高性能メール配送エージェント qmail 徹底活用, Part 1


banner 本稿は日経Linux 創刊 2 号 (1999 年 11 月号) に掲載された、 特集 2: Linux サーバのセキュリティを高める, PART 2「フリーの定番ソフトを利用した 4 段階 Linux サーバ防御法 ---4 つの砦でクラッカーを撃退せよ---」を日経BP 社の許可を得て転載したものです。

Copyright(C)1999 by 仙石浩明 <sengoku@gcd.org>
無断転載を禁じます

| home | up |

sengoku@gcd.org