サーバが侵入され他のサイトへの攻撃の踏み台として悪用されれば, 賠償責任が生じるかも知れない。 たとえ守る価値のないサーバーでもインターネットにつなぐ以上, セキュリティを高める努力をしなければならないのである。
セキュリティの基本は, 侵入される可能性を少しでも排除し, 万一侵入されたとしても被害を最小限にとどめることである。 今まで侵入されたことがないからこのままでよいはずだと考えていると, ある日侵入に気付いて慌てることになる。
侵入の可能性を減らすには, 防御の仕掛けを何重にも構築することが重要である。 単一の防御では, その部分にバグなどの原因でセキュリティ・ホールがあれば, おしまいだからである。
ここでは, 防御の仕掛けを4段階に分けて説明する。 それぞれ「最初の砦(とりで)」「第2の砦」「第3の砦」「最後の砦」 と呼ぶことにする。 このうち第2の砦がサーバー・プログラム自身による防御である。
もしサーバー・プログラムにバグが一切ないのであれば, 他の砦は本来不要であるが, バグがない枯れたプログラムだけでは必要なサービスが提供できないし, もちろん枯れたと思われているプログラムでも バグがないことを保証することは不可能である。 他の砦はサーバー・プログラムの防御を補う役割を果たすことになる。
では, 最初の砦から解説しよう。
サーバー・プログラムによる認証で守れ
(仙石浩明)
特集: 高性能メール配送エージェント qmail 徹底活用, Part 1
本稿は日経Linux 創刊 2 号 (1999 年 11 月号) に掲載された、 特集 2: Linux サーバのセキュリティを高める, PART 2「フリーの定番ソフトを利用した 4 段階 Linux サーバ防御法 ---4 つの砦でクラッカーを撃退せよ---」を日経BP 社の許可を得て転載したものです。
Copyright(C)1999 by 仙石浩明 <sengoku@gcd.org>
無断転載を禁じます