セキュアなサーバを構築しよう（CentOS 5.xまで対応）

Copyright 2004,2007 © Kensuke Nezu, All rights Reserved. 1
文部科学省文部科学省
中央大学研究開発機構中央大学研究開発機構
ＵＮＩＸセキュリティ実践講ＵＮＩＸセキュリティ実践講
座座
～Ｓｅｃｕｒｅ　Ｓｅｒｖｅ～Ｓｅｃｕｒｅ　Ｓｅｒｖｅ
ｒ　Ｄａｙ～ｒ　Ｄａｙ～
Microsoft MVP – Windows SecurityMicrosoft MVP – Windows Security
NPONPO 日本ネットワークセキュリティ協日本ネットワークセキュリティ協
会会
ＮＴＴデータ先端技術株式会社ＮＴＴデータ先端技術株式会社
根津　研介根津　研介

Copyright 2004,2007 © Kensuke Nezu, All2
本資料の取扱について本資料の取扱について
 本資料は、文部科学省科学技術振興調整費中央大学研究開発機構
「情報セキュリティ・情報保証人材育成拠点」人材養成計画に基づ
き、中央大学　研究開発機構　「情報セキュリティ教育システムの
開発」ユニットが実施する「 Unix セキュリティ実践講座」の教材
として使用するために提供するものです。
 本資料を上記「本資料を上記「 UnixUnix セキュリティ実践講座」の使用目的以外に利用セキュリティ実践講座」の使用目的以外に利用
（転載、転用、商業活動への使用など）することを禁止します。ただ（転載、転用、商業活動への使用など）することを禁止します。ただ
し、例外として、学校内、サークル内、企業内などでサーバ導入の際し、例外として、学校内、サークル内、企業内などでサーバ導入の際
の参考資料として内部的に複写したり、活用することは許可します。の参考資料として内部的に複写したり、活用することは許可します。
この場合でも、教育そのものを事業目的とする場合は例外条件としてこの場合でも、教育そのものを事業目的とする場合は例外条件として
認められないので注意してください。認められないので注意してください。
 本資料の扱いに関して不明点等ある場合には、中央大学　研究開発本資料の扱いに関して不明点等ある場合には、中央大学　研究開発
機構　「情報セキュリティ教育システムの開発」ユニットまでお問い機構　「情報セキュリティ教育システムの開発」ユニットまでお問い
合わせください。合わせください。

セキュリティ概論セキュリティ概論

セキュリティの必要性セキュリティの必要性
 インターネットの長所インターネットの長所
 世界中から自由にアクセスできる世界中から自由にアクセスできる
 世界中に自由に公開できる世界中に自由に公開できる
 手軽な値段で誰でも利用できる手軽な値段で誰でも利用できる
 インターネットの短所インターネットの短所
 法的な保護が及びにくい法的な保護が及びにくい
　　～自分の身は自分で守るという姿勢が必要～　　～自分の身は自分で守るという姿勢が必要～
 全体を制御する「しくみ」とか「規制」がない全体を制御する「しくみ」とか「規制」がない
 他者への犯罪の幇助をしてしまうことも！他者への犯罪の幇助をしてしまうことも！SPAM メールの送信元になっ
たり、攻撃元を詐称するため
の踏み台にされたり・・・
SPAM メールの送信元になっ
たり、攻撃元を詐称するため
の踏み台にされたり・・・

セキュリティ＝国家の安全保障にもセキュリティ＝国家の安全保障にも
気を配らなければなりません気を配らなければなりません

サーバを法律が守ってくれる？サーバを法律が守ってくれる？
 場合によっては、守ってくれる程度場合によっては、守ってくれる程度
 日本と捜査協力や犯人引渡協定のない国、日本と捜査協力や犯人引渡協定のない国、国交の無い国国交の無い国
では日本国の法律は無力です。では日本国の法律は無力です。
-- 不正アクセスを国交の無い国から受けたので捜査して欲しい不正アクセスを国交の無い国から受けたので捜査して欲しい etc..etc..
 行為者が国内にいる日本人であれば、他の国のサーバをい行為者が国内にいる日本人であれば、他の国のサーバをい
くつ経由しても日本の法律で裁くことができます。くつ経由しても日本の法律で裁くことができます。
 刑法第一条～第五条参照（刑法第一条～第五条参照（
http://www.ron.gr.jp/law/law/keihou.htmhttp://www.ron.gr.jp/law/law/keihou.htm ))
 刑事でなければなりません。民事の損害賠償などは刑事でなければなりません。民事の損害賠償などは
、まず、成り立ちません。（損害額の算定が微少な、まず、成り立ちません。（損害額の算定が微少な
ため）ため）
 国際私法国際私法 (( ベルヌ条約、サイバー犯罪防止条約等）ベルヌ条約、サイバー犯罪防止条約等）
と各国に於ける法整備、法解釈の違いも問題になりと各国に於ける法整備、法解釈の違いも問題になり

TPOTPO に合わせたセキュリティに合わせたセキュリティ
コンビニのセキュリティ
1. 店舗スペースは「公開」で不特定多
数のアクセスを許す
2. 店舗内トイレは「店員に一声かけ
て」利用する
3. レジ裏の事務所は非公開
4. 事務所にはビデオ録画システムを設
置し，防犯の目的や犯罪発生時の保
全措置に利用
公開サーバの最低限のセキュリテ
ィ
1. 公開する範囲を正しく判断し正しく
公開する
2. 公開する範囲を「正しい相手」に公
開する
3. 公開すべきでない（するつもりがな
い）部分を公開しない / させない
4. 必要な部分では「監視するしくみ」
を作りこむ
セキュリティ構築の５セキュリティ構築の５ W1HW1H をを
はっきりさせよう！はっきりさせよう！

セキュアサーバ構築のコストセキュアサーバ構築のコスト (1)(1)
自分だけで構築・運用可能か判断す自分だけで構築・運用可能か判断す
るる
 「１０：９０の法則」が基準：「１０：９０の法則」が基準： 10%10% の工数での工数で
90%90% の効果の効果
 UNIXUNIX 開発の設計思想～もっともバランスがよい～開発の設計思想～もっともバランスがよい～
 セキュリティにセキュリティに 100%100% はない～どこかで見切りが必はない～どこかで見切りが必
要～要～
→→ 90% 91%→90% 91%→ にするにはにするには 20%20% の労力が必要の労力が必要
→→ 98% 99%→98% 99%→ にはには 100%100% の労力が必要の労力が必要
 サーバーやサービス毎に必要な効果を考えよう！サーバーやサービス毎に必要な効果を考えよう！
→ 90% までなら技術さえあれば自分で構築可能

セキュアサーバ構築のコストセキュアサーバ構築のコスト (2)(2)
サーバーの価値を計算するサーバーの価値を計算する
 不正利用者の立場からみたサーバー不正利用者の立場からみたサーバー
の価値の価値
 システムに含まれるデータの価値システムに含まれるデータの価値
 機密情報があるか？など　　　　　機密情報があるか？など　　　　　
　　　　　　→　転売の価値や改竄　　　　　　→　転売の価値や改竄
、脅迫等、脅迫等
 踏み台にするサーバーとしての価踏み台にするサーバーとしての価
値値
 上位プロバイダとの回線速度など上位プロバイダとの回線速度など
 その他の価値その他の価値
 怨恨、意趣晴らし、愉快犯など怨恨、意趣晴らし、愉快犯など
機密情報機密情報なしなし
顧客のﾃﾞｰﾀ顧客のﾃﾞｰﾀなしなし
回線速度回線速度 <1Mbit<1Mbit 程度？程度？
怨恨関係怨恨関係 ???(???( 多分なし多分なし ))
総合総合 1515 点程度？点程度？
計算例
これらを総合的に判断して、
必要となるセキュリティレベ
ルを考える

0
20
40
60
80
100
構築ｾｷｭﾘﾃｨ対策日常監視
金銭的費用
工数
緊急性
サーバのライフサイクルと「コサーバのライフサイクルと「コ
スト」スト」
構築のコスト（金銭的コ
スト）だけに注意が向い
て、運用のコストが考え
られていないことが多い
構築のコスト（金銭的コ
スト）だけに注意が向い
て、運用のコストが考え
られていないことが多い
運用に必要な「目
に見えないコス
ト」の方が実はト
ータルすると重要
！
運用に必要な「目
に見えないコス
ト」の方が実はト
ータルすると重要
！
緊急性の高い作業は
、夜中や休日に集中
緊急性の高い作業は
、夜中や休日に集中
いかにいかに管理の手間管理の手間を下げるかがカギ！を下げるかがカギ！

サーバー＝サービスを提供するｼサーバー＝サービスを提供するｼ
ｽﾃﾑｽﾃﾑ
サービスの品質をはかる基準サービスの品質をはかる基準
 RAS(RAS( 大型コンピュータ大型コンピュータ // エンタープライズサーエンタープライズサー
バの世界の用語バの世界の用語 ))
 ＲｅｌｉａｂｉｌｉｔｙＲｅｌｉａｂｉｌｉｔｙ：信頼性　－「いつで：信頼性　－「いつで
も安定したサービス」も安定したサービス」
 AvailabilityAvailability ：可用性　－「２４時間、：可用性　－「２４時間、 365365 日稼日稼
働」働」
 ＳｅｒｖｉｃｅＳｅｒｖｉｃｅ abilityability ：保守性　－「誰でもどこ：保守性　－「誰でもどこ
でも簡単に」でも簡単に」
 MTBFMTBF とと MTTRMTTR
 ＭＴＢＦ：できるだけサービスを落とさないＭＴＢＦ：できるだけサービスを落とさない

サーバー＝サービスを提供するｼサーバー＝サービスを提供するｼ
ｽﾃﾑｽﾃﾑ
ｾｷｭﾘﾃｨの品質をはかる基準ｾｷｭﾘﾃｨの品質をはかる基準
 国際規格国際規格 ISO/IEC17799ISO/IEC17799 による定義（による定義（ CIA)CIA) を購入前のを購入前の
マヨネーズで例えると・・・マヨネーズで例えると・・・
 ConfidencialityConfidenciality ：機密性　－チューブに穴は空いていませ：機密性　－チューブに穴は空いていませ
んか？んか？
 IntegrityIntegrity ：完全性　－口のシールが貼り直されてい：完全性　－口のシールが貼り直されてい
ませんか？ませんか？
 AvailabilityAvailability ：可用性　－売り切れていませんか？：可用性　－売り切れていませんか？

サーバという「サービスの品サーバという「サービスの品
質」質」
サーバが目標とする品質とセキュリサーバが目標とする品質とセキュリ
ティティ
品質の目標品質の目標
1. いつでも安定していて、
2. いつでも利用することができて、
3. 「正しい中身」が「正しい人」に
伝わり、
4. 保守作業が簡単なシステム。
セキュリティはこの目標を達成し、セキュリティはこの目標を達成し、
維持し続けるための手段の１つにすぎない維持し続けるための手段の１つにすぎない

質」質」
サービスの維持管理とセキュリティサービスの維持管理とセキュリティ
「セキュリティ」の意味「セキュリティ」の意味
1. 安全、安全保障、安全確保、保障
。
2. 戸締まり、防衛手段、警備、防護
、保全、保安。
3. 無事、治安、安心。
日常の保守作業はすべて「セキュリティ」日常の保守作業はすべて「セキュリティ」
という大きなフレームワークの一部！という大きなフレームワークの一部！
保障：生命、財産、権
利などを保護して守る
こと
保障：生命、財産、権
利などを保護して守る
こと

質」質」
メインテナンスも立派なセキュリテメインテナンスも立派なセキュリテ
ィィ
•システムの定期的なバックアップ
•システムログのチェック
•不正利用、サービス不能、サービス停止の
防止
•システム侵入の防止、検出
•セキュリティインベントリ（ソフトウェア
のセキュリティホール発覚など）の監視
•速やかなサービス不能状態の検出、回復
•自動監視、自動警報発報、自動アップデー
ト
RAS の向上 MTBF をより
長く
MTTR を最小
に

通常監視と情報収集通常監視と情報収集
通常監視
1. サービス可否のチェック
2. マシンのチェック
3. ネットワーク品質のチェック
4. システム負荷のチェック
5. 利用状況のチェック
6. 異常状態の検出
7. システム統計情報の監視
情報収集
1. (Push 型 )CERT/CC, JPCERT/CC, 各
種メールニュースなどの利用
2. (Push 型 ) セキュリティ関連メーリ
ングリストによる情報収集
3. (Pull 型 ) セキュリティ関連ホームペ
ージの利用
4. (Push 型 ) 利用ディストリビューシ
ョンのユーザメーリングリストの利
用
自動化に向いている自動化に向いている自動化に向いていない自動化に向いていない

予防保守と緊急対応予防保守と緊急対応
緊急対応
1. 緊急事態の発生時の対応体制、対応
マニュアル／メモの作成と実行
2. 異常状態検出時の対応体制、対応マ
ニュアル／メモの作成と実行
3. 問いあわせ発生時（ Web サイト脆
弱性、 SPAM メール送信、踏み台に
よる第三者への攻撃元などの通告）
の対応体制、対応マニュアル／メモ
の作成と実行（捜査機関などの協力
要請への対応も別途、要検討）
4. 記録保全体制、手順書の作成
5. サービス／システム一時停止の判断
基準の作成
インシデントレスインシデントレス
ポンスポンス
予防保守
1. ハードウェアの二重化 (RAID 、フェ
イルオーバー、スタンバイシステム
など )
2. データの多重化（バックアップも含
む）
3. システムログの監視（通常状態の把
握と異常状態の検知）
4. パフォーマンス統計の監視（通常状
態の把握と異常状態の検知）
5. ソフトウェアのバージョンアップ
6. 異常状態の自動検出システムの作り
こみ（システム停止、サービス停止
を含む）
自動化に向いている自動化に向いている

情報収集のコツ情報収集のコツ (1)(1)
プッシュ型コンテンツを有効にプッシュ型コンテンツを有効に
利用利用
 JPCERT/CCJPCERT/CC メーリングリストメーリングリスト ((http://www.jpcert.or.jp/announce.htmlhttp://www.jpcert.or.jp/announce.html))
 US CERTUS CERT メーリングリストメーリングリスト ((http://www.us-cert.gov/cas/index.htmlhttp://www.us-cert.gov/cas/index.html))
 スラッシュドットジャパンスラッシュドットジャパン [[ 毎日のヘッドライン毎日のヘッドライン ] (] (http://http://slashdot.jpslashdot.jp//))
 CNET Japan : NewsLetter(CNET Japan : NewsLetter( http://japan.cnet.com/news/sec/http://japan.cnet.com/news/sec/ ))
 MicrosoftMicrosoft プロダクトセキュリティ警告サービス日本語版プロダクトセキュリティ警告サービス日本語版 ((
http://www.microsoft.com/japan/technet/security/bulletin/notify.asphttp://www.microsoft.com/japan/technet/security/bulletin/notify.asp)) 無作為攻撃では Windows
をターゲットにしたものも
・・・
無作為攻撃では Windows
をターゲットにしたものも
・・・

　　　メーリングリストの活　　　メーリングリストの活
用用
 ｾｷｭﾘﾃｨﾎｰﾙｾｷｭﾘﾃｨﾎｰﾙ memo ML(memo ML(http://memo.st.ryukoku.ac.jp/http://memo.st.ryukoku.ac.jp/))
 2424 時間常時接続時間常時接続 ML (ML (http://cn24h.hawkeye.ac/connect24h.htmlhttp://cn24h.hawkeye.ac/connect24h.html))
 Intrusions List ML (Intrusions List ML (http://http://www.dshield.org/mailman/listinfo/intrusionswww.dshield.org/mailman/listinfo/intrusions))
 各種各種 OSOS のユーザーのユーザー MLML
 LinuxLinux ディストリビューションのユーザディストリビューションのユーザ MLML 　など　などパッチを当てるタイミン
グ、 update の安定動作
の確認
パッチを当てるタイミン
グ、 update の安定動作
の確認
メーリングリストの主旨
は、あくまでも「情報交
換」。
「収集」のみではなく、
「提供」できるようにす
る努力も工数のうちです
。
メーリングリストの主旨
は、あくまでも「情報交
換」。
「収集」のみではなく、
「提供」できるようにす
る努力も工数のうちです
。

ホームページの活用ホームページの活用
 前２ページで紹介したところにはそれぞれに大抵前２ページで紹介したところにはそれぞれに大抵
ホームページがありますホームページがあります
 WWWCWWWC 等のホームページ更新チェッカで自動化等のホームページ更新チェッカで自動化
 記事のリンク先のホームページ情報も確認しまし記事のリンク先のホームページ情報も確認しまし
ょうょう
　　
プル型コンテンツなのでプッシュ型と比較するとプル型コンテンツなのでプッシュ型と比較すると
ひと手間多くかかりますひと手間多くかかります注意！

セキュリティポリシーの必要性セキュリティポリシーの必要性
(1)(1)
個人サーバ運用の立場からみて・・・個人サーバ運用の立場からみて・・・
 作業手順、作業量の明確化作業手順、作業量の明確化
 やるべきこととやった方がいいこと、やっちゃいやるべきこととやった方がいいこと、やっちゃい
けないことが明確になる→ちゃんとメモを取ろうけないことが明確になる→ちゃんとメモを取ろう
！！
 作業全体の見通しがよくなる作業全体の見通しがよくなる
 忘れた頃にやってくるバージョンアップ忘れた頃にやってくるバージョンアップ // 再再
構築構築
 裁判裁判 // 訴訟、刑事事件などの際の証拠保全訴訟、刑事事件などの際の証拠保全

(2)(2)
…企業サーバ運用の立場からみて…企業サーバ運用の立場からみて
 作業手順、作業量の明確化作業手順、作業量の明確化
 複数人で均質の作業複数人で均質の作業
 全社的なセキュリティ意識の統一全社的なセキュリティ意識の統一
 対外的なポリシー運用の提示対外的なポリシー運用の提示
 担当者が変わった頃にくるバージョンアップ担当者が変わった頃にくるバージョンアップ
// 再構築再構築
 裁判 / 訴訟、刑事事件などの際の証拠保全
これは、企業だけでなく
、ゼミのサーバや部のサ
ーバ、学校のイントラサ
ーバでもおなじ。
これは、企業だけでなく
、ゼミのサーバや部のサ
ーバ、学校のイントラサ
ーバでもおなじ。
訴訟のリスク
はより大きい
！
訴訟のリスク
はより大きい
！

(3)(3)
素早いレスポンスを心がけよう！素早いレスポンスを心がけよう！
 サーバサーバ // サービス停止の判断を独力でできない場合はサービス停止の判断を独力でできない場合は
、「緊急連絡網」を作って指示を仰ごう。、「緊急連絡網」を作って指示を仰ごう。
 脆弱性指摘などがあった場合には、調査期間と回答期脆弱性指摘などがあった場合には、調査期間と回答期
限をつけてまずは返信しておこう。限をつけてまずは返信しておこう。
 指摘自体が「愉快犯」の可能性もゼロではありません。指摘自体が「愉快犯」の可能性もゼロではありません。
まずは、指摘事項の確認・再現を怠ってはなりませんまずは、指摘事項の確認・再現を怠ってはなりません
。。
 システムが侵入されていると、オペレータ作業でシステムが侵入されていると、オペレータ作業で rootroot
権限が乗っ取られる場合もあるので注意！権限が乗っ取られる場合もあるので注意！
 やりとりや作業は、きちんと記録を付けましょう。やりとりや作業は、きちんと記録を付けましょう。

システムログの保存（保全措システムログの保存（保全措
置）置）
保存期間を最低１年以上に！保存期間を最低１年以上に！
 ディストリビューションの標準ディストリビューションの標準
設定は４週間。最低でも５３週設定は４週間。最低でも５３週
間（３７１日）に。間（３７１日）に。
 /etc/logrotate.conf/etc/logrotate.conf のの rotate 4 roatate 53→rotate 4 roatate 53→ にに
する。する。
 定期的にログを定期的にログを CD-RCD-R に焼いてに焼いて
バックアップを取りましょうバックアップを取りましょう
 /var/var は専用パーティションを用は専用パーティションを用
意して大きめにとる。意して大きめにとる。
 // と一緒で溢れるとｆｓが壊れること一緒で溢れるとｆｓが壊れるこ
とも・・・とも・・・
/etc/logrotate.conf の例：
# see "man logrotate" for details
# rotate log files weekly
weekly
# keep 4 weeks worth of backlogs
rotate 4 → 53

サーバー運用の注意点サーバー運用の注意点 (1)(1)
「やられたら再インストールすればいい」「やられたら再インストールすればいい」は間は間
違い！違い！
 本当にやられちゃったら気付きません。 ←本当にやられちゃったら気付きません。 ← rootkitrootkit の存在の存在
 簡単な自動ツールくらいしか目で見てわからないです簡単な自動ツールくらいしか目で見てわからないです
 いつかは面倒になって目でも見なくなりますいつかは面倒になって目でも見なくなります
 「天災は忘れた頃にやってくる」「天災は忘れた頃にやってくる」
 ペーターとおおかみペーターとおおかみ
 気付いたときには手遅れです気付いたときには手遅れです教訓：侵入を事前予報できるシステムが必要教訓：侵入を事前予報できるシステムが必要
脆弱なフリー
のサーバ事件

サーバー１台ですべてやろう・・・は間サーバー１台ですべてやろう・・・は間
違い！違い！
 NATNAT ルータ機能、フィルタリング機能、サーバ機ルータ機能、フィルタリング機能、サーバ機
能・・・全部をごちゃごちゃに１台で運用するのはスゴ能・・・全部をごちゃごちゃに１台で運用するのはスゴ
く難しいく難しい
 技術的チャレンジ・・・、でも一歩間違えるとネット全体に迷惑技術的チャレンジ・・・、でも一歩間違えるとネット全体に迷惑
が・・・が・・・
 趣味のサーバーも「グローバル趣味のサーバーも「グローバル IPIP アドレス」を持っている立場アドレス」を持っている立場
としては、としては、 NASANASA 　　 /FBI/FBI 　　 /NSA/NSA や、や、 YahooYahoo 、楽天、ホワイトハ、楽天、ホワイトハ
ウスサーバと同等の責任がありますウスサーバと同等の責任があります
 多重防御多重防御 // 多層防御が防御の基本多層防御が防御の基本
 なぜ、大阪城には外堀と内堀があったの？なぜ、大阪城には外堀と内堀があったの？
教訓：幾重にも防護壁を作っておきましょう教訓：幾重にも防護壁を作っておきましょう
ブロードバ
ンドルータ
の併用

固定固定 IPIP アドレスを取得するアドレスを取得する
 IPIP アドレスはサーバーの「住所」ですアドレスはサーバーの「住所」です
 いつ転居するか分からない「住所」では困ることがありますいつ転居するか分からない「住所」では困ることがあります
 ドメインは「友達の鈴木君ち」みたいなもので固定であることがドメインは「友達の鈴木君ち」みたいなもので固定であることが
信頼性につながりません信頼性につながりません
 可変アドレス、ダイナミック可変アドレス、ダイナミック DNSDNS では利用できないものでは利用できないもの
も・・・も・・・
 おうちメールサーバーは運用できませんおうちメールサーバーは運用できません
 アクセスが多くなると他の人への攻撃になることも・・・アクセスが多くなると他の人への攻撃になることも・・・
教訓：やっぱり安心の固定教訓：やっぱり安心の固定 IPIP アドレス！アドレス！

複数の固定複数の固定 IPIP アドレスを取得しよう！アドレスを取得しよう！
 インターネットのインシデントは、主に「自分のサーバインターネットのインシデントは、主に「自分のサーバ
だけをねらい打ちにしたもの」と、「機械的に総ナメにだけをねらい打ちにしたもの」と、「機械的に総ナメに
していくもの」に分けられますしていくもの」に分けられます
 「機械的」なものにはツールやウィルスなどがありますが、これ「機械的」なものにはツールやウィルスなどがありますが、これ
らはそれほどらはそれほど「危険性は高くありません」「危険性は高くありません」
 これを判断するためには、２つ以上の連続した（もしくこれを判断するためには、２つ以上の連続した（もしく
は近い）アドレスで監視をする必要がありますは近い）アドレスで監視をする必要があります
 これは、複数サーバでなくともこれは、複数サーバでなくとも IPIP アドレスのエイリアス機能でアドレスのエイリアス機能で
もも OKOK
 　
教訓：比較／対照は分析の基礎です教訓：比較／対照は分析の基礎です

サーバ管理者に求められる資質サーバ管理者に求められる資質 (1)(1)
 サーバ上の情報に個人的サーバ上の情報に個人的
興味を持ってはいけない興味を持ってはいけない
 ユーザのパスワードはユーザのパスワードは
「すぐに忘れる」「すぐに忘れる」
 管理の都合上「知ってし管理の都合上「知ってし
まった」事も知らぬ存ぜまった」事も知らぬ存ぜ
ぬを貫くぬを貫く
 サーバ上の不法行為の証サーバ上の不法行為の証
拠には常に目を光らせる拠には常に目を光らせる
 管理者権限、管理者ア管理者権限、管理者ア
カウント情報は、管理カウント情報は、管理
者をやめたら「忘れな者をやめたら「忘れな
ければならない」ければならない」
From hira@<平山>
To naka@<なかむらくん>
Subject きのうのデート
なかむらくん、昨日は楽しい
デートをどうもありがとう・
・・。
遊園地とってもたのしかった
です。また誘ってください。
ふむふ
む・・・

 サーバ管理者は実用的サーバ管理者は実用的
な法律家である必要がな法律家である必要が
あります。あります。
 著作権法著作権法
 不正アクセス禁止法不正アクセス禁止法
 個人情報保護法個人情報保護法
 プロバイダ法プロバイダ法
 表現の自由と名誉毀損表現の自由と名誉毀損
 脅迫等の刑法脅迫等の刑法
 etc…etc…
 世の状況（裁判の判決世の状況（裁判の判決
など）にも敏感でなけなど）にも敏感でなけ
ればなりません。ればなりません。
・映画のコピー
・不許可のアイドル写真
・ TV のキャプチャ画像
・不法なソフトウェアコピー
・ホームページのコピペふむふ
む・・・

～優良推薦参考図書～～優良推薦参考図書～
 「ハイテク犯罪捜査入門～捜査実務「ハイテク犯罪捜査入門～捜査実務
編」編」
 警察、検察側の現在の常識と今後数年間の警察、検察側の現在の常識と今後数年間の
動向を占うことができる書籍動向を占うことができる書籍
 著者は、現役の札幌高等検事局検事さん著者は、現役の札幌高等検事局検事さん
 技術書ではないが、「捜査」の現場で、実技術書ではないが、「捜査」の現場で、実
際に何がどのような判断で行われているか際に何がどのような判断で行われているか
を知っておくことは必ず役立ちます。特にを知っておくことは必ず役立ちます。特に
、初動捜査における「証拠」として何を用、初動捜査における「証拠」として何を用
意しておけばよいかなどの判断にも使えま意しておけばよいかなどの判断にも使えま
す。す。
※※ 技術的には、現場の警察官を対象として技術的には、現場の警察官を対象として
いるため、初心者向けの若干のウソも見らいるため、初心者向けの若干のウソも見ら
れます。れます。

サーバー構築方法サーバー構築方法

セキュアサーバー構築方法論セキュアサーバー構築方法論
10:9010:90 の法則を適用すると・・・の法則を適用すると・・・
 パケットフィルタリングによるセキュリティの確保パケットフィルタリングによるセキュリティの確保
 サーバー、ルーターそれぞれで設定が必要サーバー、ルーターそれぞれで設定が必要
 守れるもの、守れないものを意識することが必要守れるもの、守れないものを意識することが必要
 サービスの限定など、他の機能との組み合わせが必要サービスの限定など、他の機能との組み合わせが必要
 サービスの限定、公開範囲の限定サービスの限定、公開範囲の限定
 各サービス、ソフトウェア毎の設定が必要　　各サービス、ソフトウェア毎の設定が必要　　
 自動監視ツールなどによる監視コストの低減自動監視ツールなどによる監視コストの低減
 ツールとして自作しなければいけない場合もあるツールとして自作しなければいけない場合もある
 プロバイダのサービスや商用ソフトウェア利用が推奨される場合プロバイダのサービスや商用ソフトウェア利用が推奨される場合
も・・・　　も・・・　　　　　　　　　　　　　　
商用ファイヤ
ーウォール
商用ファイヤ
ーウォール
Snort などの
侵入検知ツー
ル
Snort などの
侵入検知ツー
ル
本格的なスキ
ルや監視コス
トが必要

パケットフィルタリングについパケットフィルタリングについ
てて (1)(1)
パケットフィルタリングが有効な場面パケットフィルタリングが有効な場面
 公開する内容、条件、相手などがルールとして固定的に決定できる場公開する内容、条件、相手などがルールとして固定的に決定できる場
合合
 時間帯限定公開や、同時接続数上限などの設定は基本的にできな時間帯限定公開や、同時接続数上限などの設定は基本的にできな
いい
 FTPFTP でのファイル転送などサービスポートが動的なものには向かでのファイル転送などサービスポートが動的なものには向か
ないない
 サービスの単位で、または公開先として固定的な場所からのアクセスサービスの単位で、または公開先として固定的な場所からのアクセス
が特定できる場合が特定できる場合
 今日は今日は NIFTYNIFTY から、明日はから、明日は so-netso-net から・・・という動的な条件にから・・・という動的な条件に
は向かないは向かない
 HTTPHTTP でで javascriptjavascript の実行権限などサービス内での制限はできないの実行権限などサービス内での制限はできない
時間帯限定はブロードバ
ンドルータによっては可
能なものもあります
時間帯限定はブロードバ
ンドルータによっては可
能なものもあります

主なウェルノウン・ポ主なウェルノウン・ポ
ートート
 「「 ** 」のついているサービスは基本」のついているサービスは基本
的に公開すべきでないポート的に公開すべきでないポート
 社内社内 LANLAN 等、イントラネットでの等、イントラネットでの
運用を前提とするセキュアでないサ運用を前提とするセキュアでないサ
ービスービス
 インターネットがいにしえの良き時インターネットがいにしえの良き時
代であったころに参加者がすべて善代であったころに参加者がすべて善
良であることを前提としたサービス良であることを前提としたサービス
ﾎﾟｰﾄ TCP/ UDP サービス名
20 TCP ft p- dat a FTPサービスのデータ転送用
21 TCP ft p- c o nt ro l FTPサービス制御用
22 TCP s s h Se c ure Sh e llセキュア・シェル（）接続
23 TCP t e lne t Te ln e t 接続
25 TCP s mtp s e ndmail/ qmail/ po s t fixなどのメール・サーバ接続
53 TCP/ UDP do main DNSドメイン・ネーム・サービス（）
67 UDP bo o t ps BOOTPサーバ＊
68 UDP bo o t pc BOOTPクライアント＊
69 UDP t ftp TFTPサーバ＊
70 TCP go ph e r Go ph e rサーバ＊
79 TCP finge r Finge rサービス＊
80 TCP h t tp We bサーバ
98 TCP linuxc o nf linuxc o nfネットワーク・サービス＊
109 TCP po p- 2 POP- 2メール受信用
110 TCP po p- 3 POP- 3メール受信用
111 TCP/ UDP s unrpc RPC 4.0 po rt mappe r＊
113 TCP ide nt ide ntクライアント・ユーザ確認（）＊
119 TCP nnt p インターネット・ニュース・サービス
123 TCP/ UDP nt p ネットワーク時刻同期サービス
135 TCP mic ro s o ft- rpc Mic ro s o ft RPC Exc h ange Se rve rのサービス（など）
137 UDP ne t bio s - ns MS- Ne t wo rkネーム・サービス＊
138 UDP ne t bio s - dgm MS- Ne t wo rkブラウジング・サービスなど＊
139 TCP ne t bio s - s s n MS- Ne t wo rk /ファイルプリンタ共有サービス＊
143 TCP imap IMAP4メール・サービス
144 TCP Ne WS Ne WSウィンドウ・システム・サービス＊
161 UDP s nmp ネットワーク管理用＊
162 UDP s nmp- t rap ネットワーク管理用（異常検知など）＊
443 TCP h t tps We b暗号化したサービス
445 TCP mic ro s o ft- DS Windo ws 2000 CIFS以降の接続用＊
512 TCP e xe c BSD UNIX re xe c d系のデーモン用＊
512 UDP biff UNIX biff（メール到着通知）サービス＊
513 TCP lo gin BSD UNIX rlo gind系のデーモン用＊
513 UDP wh o BSD UNIX rwh o d系のデーモン用＊
514 TCP s h e ll BSD UNIX rwh o d系のデーモン用＊
514 UDP s ys lo g BSD UNIX s ys lo gd系のデーモン用＊
515 TCP print e r BSD UNIX lpd系のデーモン用＊
517 UDP t alk BSD UNIX talkd系のデーモン用＊
518 UDP nt alk SunOS talkdのデーモン用＊
520 UDP ro ute BSD UNIX ro ut e d系のデーモン用＊
525 UDP t ime d BSD UNIX time d系のデーモン用＊
554 TCP/ UDP rts p リアルタイム・ストリーミング用
635 UDP mo unt NFSマウント・サービス＊
901 TCP s wat Samba We bのベース管理ツール用＊

てて (3)(3)
10241024 以降の定義済ポートの例以降の定義済ポートの例
 Microsoft SQL ServerMicrosoft SQL Server のの RPCRPC （（ Remote Procedure Call)Remote Procedure Call) で使うで使う 1433/TCP1433/TCP
 非透過型プロキシーサービス非透過型プロキシーサービス (delegate(delegate など）でなど）で 8080/TCP,1080/TCP8080/TCP,1080/TCP
 X WindowX Window のフォントサーバのフォントサーバ (xfs)(xfs) でで 7100/TCP7100/TCP
 X WindowX Window のの XX サーバーでサーバーで 6000/TCP6000/TCP
 仮名漢字変換仮名漢字変換 WnnWnn サーバーでサーバーで 22273/TCP22273/TCP
 仮名漢字変換仮名漢字変換 CannaCanna サーバーでサーバーで 5680/TCP5680/TCP
 NFSNFS でで 2049/UDP2049/UDP
インターネットに公開すべきでないポートがほとんどインターネットに公開すべきでないポートがほとんど

てて (4)(4)
10241024 以降で以降で IANAIANA 未定義だがよくウィルスに使われるポートの例未定義だがよくウィルスに使われるポートの例
 SasserSasser ウィルスが使うウィルスが使う Microsoft RPCMicrosoft RPC のの 1025/TCP1025/TCP
 DamewareDameware ウィルスが使うバックドアポートウィルスが使うバックドアポート 6129/TCP6129/TCP
 MyDoomMyDoom ウィルスが使うバックドアポートウィルスが使うバックドアポート 3127/TCP3127/TCP
 SQL SnakeSQL Snake ウィルスが使うウィルスが使う Microsoft SQL ServerMicrosoft SQL Server のの 1433/TCP1433/TCP
 バックドアバックドア (( トロイの木馬）プログラムトロイの木馬）プログラム WinHoleWinHole でで 1080/TCP1080/TCP
 バックドアプログラムバックドアプログラム RingZeroRingZero でで 8080/TCP8080/TCP とと 3128/TCP3128/TCP
 Windows XPWindows XP のリモートデスクトップが使うのリモートデスクトップが使う 3389/TCP3389/TCP
絶対にインターネットに公開すべきでないポート絶対にインターネットに公開すべきでないポート

てて (5)(5)
危険なソースルーティング危険なソースルーティング
コンピュータ C攻撃者 B
コンピュータ A
送信元：送信元： AA 宛先：宛先： CC
経由：経由：
送信元：送信元： CC 宛先：宛先： AA
経由：経由： BB
送信元：送信元： CC 宛先：宛先： AA
経由：経由：
送信元：送信元： AA 宛先：宛先： CC
経由：経由： BB
通常のパケット
ソースルーティン
グされると・・・

てて (6)(6)
TCPTCP の特殊な状態の特殊な状態 (1)(1) ～接続～接続～～ 3-Way Handshake3-Way Handshake
SEQ ：シーケンス番
号
ACK ：返信番号
CTL ：制御フラグ
③<411> <312> <ACK>+ データ
① <311> <SYN>
② <411> <312> <SYN,ACK>
要求者 A 相手 B
SEQ ACK CTL
3-3- ウェイ・ハンドシウェイ・ハンドシ
ェイクェイクパケットフィルタリ
ングで防御しきれな
い
•① を大量に送りつけ
て B をサービス不能
に・・・ → SYN Flood
攻撃
•① の応答②があるか
どうかでポートスキ
ャン
Syslog にもでてきませ
ん
Syslog にもでてきませ
ん
防御にはサーバ上のユー
ティリティなどが必要
防御にはサーバ上のユー
ティリティなどが必要
Web やｆｔ
ｐを一切サ
ービスして
ないなら防
御可能
Web やｆｔ
ｐを一切サ
ービスして
ないなら防
御可能

てて (7)(7)
TCPTCP の特殊な状態の特殊な状態 (2)(2) ～切断～切断～～
SEQ ：シーケンス番
号
ACK ：返信番号
CTL ：制御フラグ
パケットフィルタリ
ングで防御しきれな
い
•① の応答②があるか
どうかでポートスキ
ャン
実際は双方向通信なので
、反対向きも行われる
実際は双方向通信なので
、反対向きも行われる
① <FIN>
② <FIN,ACK>
リクエスト側
SEQ ACK CTL
リクエストを受ける側
多くの機器や OS ではサー
ビスが有効なら未接続の状
態でも <FIN> に反応する
多くの機器や OS ではサー
ビスが有効なら未接続の状
態でも <FIN> に反応する

てて (8)(8)
UDP(User Datagram Protocol)UDP(User Datagram Protocol) についてについて
 パケットが相手に到達したことが確認できないパケットが相手に到達したことが確認できない
 「接続を覚えて」おかなくてもよい「接続を覚えて」おかなくてもよい
 TCPTCP と異なり相手の返信をまたなくてもよいと異なり相手の返信をまたなくてもよい
インターネットサービスでは少数派、主にインターネットサービスでは少数派、主に DNS/snmpDNS/snmp 等で利用される等で利用される
名前←→ IP アドレス変換の
問い合わせなど
名前←→ IP アドレス変換の
問い合わせなど
プライマリ DNS とセカンダリ
DNS とのデータ複写で TCP も利
用している
プライマリ DNS とセカンダリ
DNS とのデータ複写で TCP も利
用している

てて (9)(9)
ICMP(Internet Control Message Protocol)ICMP(Internet Control Message Protocol) についてについて
 データ通信には使われないデータ通信には使われない
 ネットワーク障害によるエラー通知ネットワーク障害によるエラー通知
 診断機能用のメッセージのやりとり診断機能用のメッセージのやりとり
 いくつかのメッセージタイプがあるいくつかのメッセージタイプがある
 ﾌﾞﾛｰﾄﾞｷｬｽﾄｱﾄﾞﾚｽ宛てのﾌﾞﾛｰﾄﾞｷｬｽﾄｱﾄﾞﾚｽ宛ての ICMPICMP には全機器が反応には全機器が反応
Host
Unreachable
Host
Unreachable
Network
Unreachable
Network
Unreachable
自サイトのﾌﾞﾛｰﾄﾞｷｬｽﾄｱﾄﾞﾚｽ宛の自サイトのﾌﾞﾛｰﾄﾞｷｬｽﾄｱﾄﾞﾚｽ宛の ICMPICMP は遮断しなければならないは遮断しなければならない
Ping や
traceroute など
Ping や
traceroute など
Smurf という
DDoS の防止
Smurf という
DDoS の防止

てて (10)(10)
タイプ名前意味
0 Ec ho Re ply ICMP ping/ trac e routeエコー応答（の返信用）
3 De s tination Unre ac hable あて先アドレスに到達不可能
4 Sourc e Que nc he 受信バッファあふれによる送信元への通信停止要求
5 Re dire c t 最適な経路でないことを送信元に通知
8 Ec ho ICMP ping/ trac e routeエコー要求（の送信用）
9 Route r Adve rtis e me nt ルータ通知
10 Route r Se le c tion ルータ選択
11 Time Exc e e d TTL Time To Live（）時間の超過
12 Parame te r Proble m パケットのパラメータ異常
13 Time s tamp タイム・スタンプ保持要求
14 Time s tamp Re ply タイム・スタンプ保持応答
17 Addre s s Mas k Re que s t アドレス・マスク要求
18 Addre s s Mas k Re ply アドレス・マスク応答
ICMP メッセージのタイプ
Windows 版の tracert
コマンドが利用
Windows 版の tracert
コマンドが利用
UNIX/Linux 版の traceroute は
UDP/33434 を使用
UNIX/Linux 版の traceroute は
UDP/33434 を使用

てて (11)(11)
ICMPICMP Ｓｍｕｒｆ攻撃のしくみＳｍｕｒｆ攻撃のしくみ
(1)(1)
1.1. 攻撃者は攻撃者は IPIP アドレスをなアドレスをな
りすまして各サイトのﾌﾞりすまして各サイトのﾌﾞ
ﾛｰﾄﾞｷｬｽﾄｱﾄﾞﾚｽにﾛｰﾄﾞｷｬｽﾄｱﾄﾞﾚｽに ICMPICMP
エコーを送信エコーを送信
ﾀｰｹﾞｯﾄ
攻撃者

てて (12)(12)
ICMPICMP Ｓｍｕｒｆ攻撃のしくみＳｍｕｒｆ攻撃のしくみ
(2)(2)
1.1. 攻撃者は攻撃者は IPIP アドレスをなアドレスをな
りすまして各サイトのﾌﾞりすまして各サイトのﾌﾞ
ﾛｰﾄﾞｷｬｽﾄｱﾄﾞﾚｽにﾛｰﾄﾞｷｬｽﾄｱﾄﾞﾚｽに ICMPICMP
エコーを送信エコーを送信
2.2. 各サイトの全機器がター各サイトの全機器がター
ゲットに一斉にゲットに一斉に ICMPICMP エエ
コーリプライを送信コーリプライを送信
3.3. ネットワークがパンクネットワークがパンク
ﾀｰｹﾞｯﾄ
攻撃者

てて (13)(13)
実は実は SmurfSmurf 攻撃には攻撃には DNSDNS クエリクエリ SmurfSmurf 攻撃もあります攻撃もあります
1.1. 犠牲者ホストの犠牲者ホストの IPIP アドレスをなりすました端末かアドレスをなりすました端末か
らの問いあわせ（クエリ）をネット上のらの問いあわせ（クエリ）をネット上の DNSDNS サーバサーバ
群に一斉送信群に一斉送信
2.2. DNSDNS サーバがインターネット側からのクエリに反応サーバがインターネット側からのクエリに反応
して、検索結果を返すして、検索結果を返す
3.3. 犠牲者ホストにクエリの結果が溢れて犠牲者ホストにクエリの結果が溢れて DDoSDDoS になるになる
　　
これは本来、これは本来、 LANLAN 内からの端末クエリしか反応しない様に内からの端末クエリしか反応しない様に
DNSDNS が適切に設定されていれば防げるものですが適切に設定されていれば防げるものです

てて (14)(14)
短命なポート（エフェメラル・ポート）短命なポート（エフェメラル・ポート）
Web サーバ
ＰＣポート番号：１
２３４
ポート番号：８
０
ポート番号：１
２３４
ポート番号：８
０
•接続を依頼する側が一時的に使用す
るポート
•1024 番以降の適当なポートを使用

てて (15)(15) ～パケットフィルタリン～パケットフィルタリン
グの要点～グの要点～
パケットフィルタリングで利用できるパラメータパケットフィルタリングで利用できるパラメータ
 送信元送信元 IPIP アドレスアドレス
 あて先あて先 IPIP アドレスアドレス
 送信元ポート番号送信元ポート番号
 あて先ポート番号あて先ポート番号
 プロトコル種別プロトコル種別
 TCPTCP のフラグ（のフラグ（ SYN,FIN,ACKSYN,FIN,ACK など）など）
 ICMPICMP のタイプのタイプ
これらの情報を必要に応じて組み合わせて設定するこれらの情報を必要に応じて組み合わせて設定する
範囲指定が可能
機器によっては未対機器によっては未対
応応

パケットフィルタリングについてパケットフィルタリングについて
(16)(16)
ブロードバンドルーターの設定の要点ブロードバンドルーターの設定の要点
 NAT+IPNAT+IP マスカレードでは外部からの攻撃はまず不可能マスカレードでは外部からの攻撃はまず不可能
 外部からの攻撃を防止する目的のパケットフィルタリング不要外部からの攻撃を防止する目的のパケットフィルタリング不要
　→　→ SYNFloodSYNFlood 攻撃防止機能を持つものもある攻撃防止機能を持つものもある
 LANLAN からの外向きのパケットフィルタリングが必要からの外向きのパケットフィルタリングが必要
 ウィルス感染ウィルス感染 PCPC からのパケット発信（からのパケット発信（ SMTPSMTP 大量送信など）防大量送信など）防
止止
 Microsoft NetworkMicrosoft Network （ネットワークフォルダ（ネットワークフォルダ )) 等のパケットの漏洩を防等のパケットの漏洩を防
止止
 公開サーバは簡易公開サーバは簡易 DMZDMZ もしくはポート単位で公開するもしくはポート単位で公開する
 ルータルータ 22 台用いて、本格的な台用いて、本格的な DMZDMZ を組むことを強くを組むことを強く
推奨します推奨します

(17)(17)
公開サーバーの設定の要点公開サーバーの設定の要点
 いくつかの公開サービスいくつかの公開サービス
 プライマリプライマリ DNSDNS
 通常の通常の 53/UDP53/UDP へのアクセスと、セカンダリをお願いしているセへのアクセスと、セカンダリをお願いしているセ
カンダリカンダリ DNSDNS のの IPIP アドレスからのアドレスからの 53/TCP53/TCP への接続許可が必要への接続許可が必要
 セカンダリメール・サーバー（受けてあげるなら・・セカンダリメール・サーバー（受けてあげるなら・・
・）・）
 他の人のプライマリ・メール・サーバーに何らかの障害があると他の人のプライマリ・メール・サーバーに何らかの障害があると
きにメールを代行受信きにメールを代行受信
 25/TCP25/TCP への接続を許可した上で、プライマリ・メール・サーバへの接続を許可した上で、プライマリ・メール・サーバ
ーのーの 25/TCP25/TCP への接続を許可し受信済メールを転送可能にへの接続を許可し受信済メールを転送可能に

(18)(18)
公開サーバーの設定例公開サーバーの設定例
番号パケットの向き IP送信元アドレス IPあて先アドレスプロトコル送信元ポート番号あて先ポート番号 ICMPのタイプ /通過破棄説明
1 IN すべて 61.211.1.178 TCP すべて 25,80,443 －通過 We b SMTP，の接続を許可
2 IN 192.168.0.0/ 24 61.211.1.178 TCP すべて 22 －通過 LAN s s hからのみを許可
3 IN IPｾｶﾝﾀﾞﾘのｱﾄﾞﾚｽ 61.211.1.178 TCP すべて 53 －通過 DNSセカンダリからのゾーン転送を許可
4 IN すべて 61.211.1.178 UDP すべて 53 －通過 DNSへの問い合わせを許可
5 IN すべて 61.211.1.178 ICMP －－ 0 3 8 11，，，通過ネットワーク試験用
6 IN すべてすべてすべてすべてすべてすべて破棄上記以外の入力パケットを遮断
7 OUT 61.211.1.178 IPﾌﾟﾗｲﾏﾘのｱﾄﾞﾚｽ TCP すべて 25 －通過プライマリ・メール・サーバへの転送を許可
8 OUT 61.211.1.178 すべて TCP 25 80 443，，すべて－通過より安全にするなら設定する
9 OUT 61.211.1.178 61.211.1.180 TCP 22 すべて－通過同上
10 OUT 61.211.1.178 61.210.22.254 TCP すべて 53 －通過同上
11 OUT 61.211.1.178 すべて UDP 53 すべて－通過同上
12 OUT 61.211.1.178 すべて ICMP －－ 0 3 8 11，，，通過同上
13 OUT すべてすべてすべてすべてすべてすべて破棄－
MTA の設定不良によ
るオープンリレーの防
止
MTA の設定不良によ
るオープンリレーの防
止
管理者の ssh アクセスをインターネットから可
能にするならルール２を変更。この場
合、 /etc/hosts.allow などでアクセス元を限定
すること。
管理者の ssh アクセスをインターネットから可
能にするならルール２を変更。この場
合、 /etc/hosts.allow などでアクセス元を限定
すること。
パッケージのアップデートはｆｔｐを
使う場合がほとんどなので、この場合
、ルール 13 を止めないといけない
パッケージのアップデートはｆｔｐを
使う場合がほとんどなので、この場合
、ルール 13 を止めないといけない

パケットフィルタリングの具体例パケットフィルタリングの具体例 (1)(1)
LinuxLinux のの iptablesiptables 利用上の注意点利用上の注意点
1. インターネットに接続した状態で /etc/rc.d/init.d/iptables restart
するのはあまり好ましくありません。
1. 上記スクリプトの設計上、いったん全部削除して、ポリシーだ
け残るので、 ACCEPT ポリシーだけ残った状態で全てのポート
が一瞬オープン状態になります
2. システムの再起動ならば、 iptables のポリシが設定されてから
ネットワークが立ち上がるので安全です。
2. ネットワークを切断してコンソールで作業するか、シス
テムを再立ち上げしましょう。
ＣｅｎｔＯＳもデフォルトではポリシがＣｅｎｔＯＳもデフォルトではポリシが ACCEPTACCEPT ですです

ＣｅｎｔＯＳでﾌｧｲｱｳｫｰﾙｵﾝの標準例ＣｅｎｔＯＳでﾌｧｲｱｳｫｰﾙｵﾝの標準例
(/etc/sysconfig/iptables)(/etc/sysconfig/iptables)
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

ＣｅｎｔＯＳでﾌｧｲｱｳｫｰﾙｵﾝ標準設定ＣｅｎｔＯＳでﾌｧｲｱｳｫｰﾙｵﾝ標準設定
を改善してみましょう！を改善してみましょう！
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type ping -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type pong -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

実習実習 11 ：： CentOSCentOS のファイアウォールのファイアウォール
　　機能をカスタマイズしてみよう　　機能をカスタマイズしてみよう
（（ 55 分）分）
 CentOSCentOS は、は、 RedHat Enterprise LinuxRedHat Enterprise Linux と同様にと同様に
iptablesiptables を利用したパケットフィルタ機能によを利用したパケットフィルタ機能によ
り簡易ファイアウォールを実現しています。り簡易ファイアウォールを実現しています。
 前前 33 ページの内容を見て、実際に簡易ファイページの内容を見て、実際に簡易ファイ
アウォールを設定してみましょう。そして、アウォールを設定してみましょう。そして、
その効果を確認してみましょう。その効果を確認してみましょう。 icmpicmp の設定の設定
も変更してみましょう。も変更してみましょう。
 GUIGUI の設定コマンドはの設定コマンドは rootroot で、次のコマンドで、次のコマンド
を実行します。を実行します。
# system-config-securitylevel# system-config-securitylevel
また、設定ファイルは、また、設定ファイルは、 /etc/sysconfig/iptables/etc/sysconfig/iptables
です。です。

サーバー構築手順～インストールサーバー構築手順～インストール
編～編～
インストール時にはブロードバンドルータ内で作業せインストール時にはブロードバンドルータ内で作業せ
よ！よ！
 TCP/IPTCP/IP の制限でﾌｧｲﾔｰｳｫｰﾙ機能の制限でﾌｧｲﾔｰｳｫｰﾙ機能 (( ﾊﾟｹｯﾄﾌｨﾙﾊﾟｹｯﾄﾌｨﾙ
ﾀﾀ )) だけでは防止できないものもあるだけでは防止できないものもある
 ディストリビューションディストリビューション CDCD だけではなく最だけではなく最
初にアップデートするのにインターネット接初にアップデートするのにインターネット接
続が必要続が必要
 ディストビューションディストビューション CDCD はセキュリティ的はセキュリティ的
に問題のある「古い状態」であることが多いに問題のある「古い状態」であることが多い

 CentOSCentOS は、インターネットに接続した上でオは、インターネットに接続した上でオ
ンラインで追加インストールをしたり、ソフンラインで追加インストールをしたり、ソフ
トウェアの更新版をインストールしたりできトウェアの更新版をインストールしたりでき
ます。ます。
 本講座で使用する追加のソフトウェアの大半本講座で使用する追加のソフトウェアの大半
をを Cent OSCent OS のアップデータ（のアップデータ（ yum)yum) でインスでインス
トールできるようにするソフトウェア書庫トールできるようにするソフトウェア書庫
（リポリトジ）もいくつか公開されています（リポリトジ）もいくつか公開されています
。。
 時間がないので実習は行いませんが、内容は時間がないので実習は行いませんが、内容は
実習補助資料にあるので、後で自分で環境構実習補助資料にあるので、後で自分で環境構
築してみてください。築してみてください。
CenCen ｔｔ OSOS を使った追加ソフトを使った追加ソフト
ウェアウェア
インストールについてインストールについて

サーバー構築手順～最初の１手サーバー構築手順～最初の１手 (1)(1) ～～
sshssh サーバー以外をまずは非公開にサーバー以外をまずは非公開に
 ssh 環境を最初に構築しよう
 端末側（ Windows) は PuTTY や TeraTERM pro
+ TTSSH 、 Poderosa で環境を構築しよう
 セキュリティ的な検討、日本語化度を考慮
するとＰｏｄｅｒｏｓａがオススメ。ただ
し、 ssh2 の鍵の互換性に若干の問題がある
。

サーバー構築手順～最初のサーバー構築手順～最初の 11 手手 (2)(2) ～～
PuTTYPuTTY
 ダウンロードサイトダウンロードサイト (( 英語英語 ))
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.htmlhttp://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
 ダウンロードサイト（非公式日本語パッチ版ダウンロードサイト（非公式日本語パッチ版 ))
http://www11.tok2.com/home/hdk/download.htmlhttp://www11.tok2.com/home/hdk/download.html
 非公式日本語パッチ作成者サイト非公式日本語パッチ作成者サイト
http://hp.vector.co.jp/authors/VA024651/#PuTTYkj_tophttp://hp.vector.co.jp/authors/VA024651/#PuTTYkj_top
 特徴特徴
 SSH1(RSA), SSH2SSH1(RSA), SSH2 （（ DSA)DSA) に対応に対応
 cp, ftpcp, ftp に対応するに対応する PSCP, PSFTPPSCP, PSFTP コマンドがあるコマンドがある
 Windows 95/98/Me/NT/2000/XP for x86Windows 95/98/Me/NT/2000/XP for x86 以外に以外に NT on AlphaNT on Alpha も対応も対応

TeraTERM pro + TTSSHTeraTERM pro + TTSSH 日本語版日本語版
 TeraTERM TeraTERM→TeraTERM TeraTERM→ 日本語版 →　日本語版 →　 TTSSH →TTSSH → 　　 TTSSHTTSSH 日本語版と順番にバ日本語版と順番にバ
イナリファイルの差分を上書きする必要がある（日本語メニューが不要であイナリファイルの差分を上書きする必要がある（日本語メニューが不要であ
れば、日本語版は不要）れば、日本語版は不要）
 インストール手順、ダウンロード先、および使い方については以下のサイトインストール手順、ダウンロード先、および使い方については以下のサイト
が詳しいが詳しい
http://www.netlab.is.tsukuba.ac.jp/~one/ssh/http://www.netlab.is.tsukuba.ac.jp/~one/ssh/
 特徴特徴
 SSH1(RSA)SSH1(RSA) にのみ対応にのみ対応
 安定した日本語環境安定した日本語環境
 開発、メインテナンスはすでに終了開発、メインテナンスはすでに終了
 右のように右のように UTF-8UTF-8 対応、対応、 ssh2ssh2 対応も有志の方により対応も有志の方により
　　進んでいます。　　進んでいます。
 UTF-8UTF-8 はは Fedora CoreFedora Core 以降が標準コードに採用以降が標準コードに採用
・最近、 ssh2 対応などの拡張
をしようというプロジェクトが
できました。対応するサイトは
、
http://www.ayera.com/teraterm
で TeraTERM 3.1.3 が公開されて
います。日本語版はまだない模
様。
・ ttssh で UTF-8 をサポートす
るプロジェクトもあります
・最近、 ssh2 対応などの拡張
をしようというプロジェクトが
できました。対応するサイトは
、
http://www.ayera.com/teraterm
で TeraTERM 3.1.3 が公開されて
います。日本語版はまだない模
様。
・ ttssh で UTF-8 をサポートす
るプロジェクトもあります
(ssh2 対応含む ) 。

Poderosa(Poderosa( ポデローサ）ポデローサ）
 日本語の扱いや日本語の扱いや WindowsWindows プログラムとしての安定性に特徴があります。プログラムとしての安定性に特徴があります。
 純粋な、純粋な、 .NET Framework.NET Framework を使用したアプリケーションです。を使用したアプリケーションです。
 タブ式タブ式 GUIGUI 、、 SSH2SSH2 をサポートしているオープンソースのをサポートしているオープンソースの WindowsWindows 用ターミ用ターミ
ナルエミュレータ。ナルエミュレータ。
 インストール手順、ダウンロード先、および使い方については以下のサイトインストール手順、ダウンロード先、および使い方については以下のサイト
が詳しいが詳しい
http://ja.poderosa.org/http://ja.poderosa.org/
 特徴特徴
 SSH1,SSH2SSH1,SSH2 に対応に対応
 .NET Framework.NET Framework 対応言語でマクロを記述可能対応言語でマクロを記述可能
 ローカルのローカルの CygwinCygwin やや SFU(Services for UNIX)SFU(Services for UNIX) に対応に対応
 タブ式ウィンドウ画面タブ式ウィンドウ画面
 SSH2SSH2 ポートフォワードツール、ポートフォワードツール、 SSHSSH 鍵作成ウィザード、鍵作成ウィザード、 SOCKSSOCKS 対対
応、応、 IPv6IPv6 対応など多くのサポート機能、ツールがある対応など多くのサポート機能、ツールがある

CentOSCentOS のサーバー側のサーバー側 sshdsshd の設定上の注意の設定上の注意
 /etc/ssh/sshd_config/etc/ssh/sshd_config のパラメータのパラメータ
PermitRootLogin noPermitRootLogin no root→ root→ での直接ログイン不可での直接ログイン不可
MaxAuthTries 1MaxAuthTries 1 1→ 1→ セッションの最大試行回数１セッションの最大試行回数１
回回
PasswordAuthentication no →PasswordAuthentication no → 生パスワードでの認証不可生パスワードでの認証不可
GSSAPIAuthentication no GSSAPI→GSSAPIAuthentication no GSSAPI→ 認証不可認証不可
 etc/hosts.allowetc/hosts.allow のパラメータのパラメータ
sshd:[sshd:[ 自サイトのネットワークアドレス自サイトのネットワークアドレス ]/[]/[ ネットマスネットマス
クク ]]
sshd: .jp*sshd: .jp*
ほとんどのイリーガルアクセスを防止
可能

SSHSSH の裏まで知りたいあなたに・・の裏まで知りたいあなたに・・
・・
～優良推薦図書～～優良推薦図書～
「実用「実用 SSHSSH 第第 22 版版 -- ｾｷｭｱｼｪﾙ徹底活用ガｾｷｭｱｼｪﾙ徹底活用ガ
イド」イド」
http://www.oreilly.co.jp/books/4873112877/http://www.oreilly.co.jp/books/4873112877/
 細かな使い方や設定方法が書かれています細かな使い方や設定方法が書かれています
。。
 新しい使い方のヒントが載っています。新しい使い方のヒントが載っています。
 コンパイル時のオプションコンパイル時のオプション
 サーバ全体のオプションサーバ全体のオプション
 各ユーザが利用可能なオプション各ユーザが利用可能なオプション
 ftpftp をを SSHSSH に通すに通す
 鍵の種類で利用できる機能を制限鍵の種類で利用できる機能を制限

実習２：ｓｓｈ環境を構築しよう！実習２：ｓｓｈ環境を構築しよう！
（（ 11 ５分）５分）
 ここまでのｓｓｈの説明に従った設定を行います。ここまでのｓｓｈの説明に従った設定を行います。
/etc/ssh/sshd_config/etc/ssh/sshd_config ファイルはデフォルト（記述しなファイルはデフォルト（記述しな
かった場合の動作）がかった場合の動作）が ## コメントとして書かれてコメントとして書かれて
います。これと異なる部分だけ記述してやればＯいます。これと異なる部分だけ記述してやればＯ
Ｋです。Ｋです。
 補助教材を参考に実習してください。補助教材を参考に実習してください。
※※ なお、今回はＣｅｎｔＯＳ自身のローカル接なお、今回はＣｅｎｔＯＳ自身のローカル接
続をおこないます。時間が余った人続をおこないます。時間が余った人
は、は、 PoderosaPoderosa でのリモートログインもチャレでのリモートログインもチャレ
ンジしてみてください。ンジしてみてください。

サーバー構築手順～サーバー構築手順～ sudosudo の利用の利用 (1)(1) ～～
ｓｕｄｏでｓｕｄｏで rootroot になれるユーザを限定するになれるユーザを限定する
 歴史的理由により /etc/sudoers ファイルで wheel グループに属している
ユーザに root になれる権限を設定します
 root になってもよいユーザを vigr コマンドで wheel グループに登録しま
す
 登録されたユーザは、ユーザ毎のパスワードで root になれます
 sudo で指定したコマンドや権限のないユーザの sudo の試みは syslog に記
録されます
ローカルマシンの一般ユーザのローカルマシンの一般ユーザの rootroot 権限奪取の防止権限奪取の防止
コマンド毎やユーザをグル
ープ毎にして、細かく制御
も可能
コマンド毎やユーザをグル
ープ毎にして、細かく制御
も可能

サーバー構築手順～サーバー構築手順～ sudosudo の利用の利用 (2)(2) ～～
root::0:rootroot::0:root
bin::1:root,daemon,majordomo,majbin::1:root,daemon,majordomo,maj
ordomoordomo
daemon::2:root,daemondaemon::2:root,daemon
sys::3:root,admsys::3:root,adm
adm::4:root,adm,daemonadm::4:root,adm,daemon
tty::5:tty::5:
disk::6:rootdisk::6:root
lp::7:daemon,lplp::7:daemon,lp
mem::8:mem::8:
kmem::9:kmem::9:
wheel::10:root,suzuki,tanaka,itowheel::10:root,suzuki,tanaka,ito
mail::12:mail,binmail::12:mail,bin
……
/etc/group
vigr で編集しないとシャ
ドウパスワードファイル
が更新されない
vigr で編集しないとシャ
ドウパスワードファイル
が更新されない
##
# This file MUST be edited with the 'visudo' command as# This file MUST be edited with the 'visudo' command as
root.root.
##
# See the sudoers man page for the details on how to write# See the sudoers man page for the details on how to write
a sudoers file.a sudoers file.
##
# Host alias specification# Host alias specification
# User alias specification# User alias specification
# Cmnd alias specification# Cmnd alias specification
# User privilege specification# User privilege specification
root ALL=(ALL) ALLroot ALL=(ALL) ALL
%wheel ALL (ALL) ALL%wheel ALL (ALL) ALL
/etc/sudoers
‘‘=’=’ がないがない
！！
visudo コマンドを使うと
こういった文法エラーを
チェックしてくれます
visudo コマンドを使うと
こういった文法エラーを
チェックしてくれます

サーバー構築手順～サーバー構築手順～ sudosudo の応用例～の応用例～
## ホストエイリアスの指定ホストエイリアスの指定
Host_Alias DMZ = *.famm.ne.jp, aaa.bbb.ccc.ddd/255.255.255.240Host_Alias DMZ = *.famm.ne.jp, aaa.bbb.ccc.ddd/255.255.255.240
## ユーザ名エイリアスの指定ユーザ名エイリアスの指定
User_Alias OPERATOR = suzuki, hayashi, itohUser_Alias OPERATOR = suzuki, hayashi, itoh
## コマンドエイリアスの指定コマンドエイリアスの指定
Cmnd_Alias OPERATION = /etc/rc.d/init.d/* restart, /usr/sbin/useraddCmnd_Alias OPERATION = /etc/rc.d/init.d/* restart, /usr/sbin/useradd
## 特権ユーザの指定特権ユーザの指定
root ALL = (ALL) ALLroot ALL = (ALL) ALL
%wheel ALL = (ALL) ALL%wheel ALL = (ALL) ALL
# OPERATOR# OPERATOR に属する管理者はメインテナンス用にに属する管理者はメインテナンス用に OPERATIONOPERATION で定義したコマンドで定義したコマンド
だけ実行可能だけ実行可能
OPERATOR DMZ = (root) OPERATIONOPERATOR DMZ = (root) OPERATION
/etc/sudoers
ワイルドカード指定でワイルドカード指定で
きますきます
引数を指定するこ引数を指定するこ
ともできますともできます
実行コマンド例：
1. sudo –u root /etc/rc.d/init.d/httpd restart
2. sudo –u root /usr/sbin/useradd –m milky
実行コマンド例：
1. sudo –u root /etc/rc.d/init.d/httpd restart
2. sudo –u root /usr/sbin/useradd –m milky
セキュリティ的には・・・：
1. 応用例は、よりセキュア。
2. root だけでは、ちょっといまひとつ・・・
。
セキュリティ的には・・・：
1. 応用例は、よりセキュア。
2. root だけでは、ちょっといまひとつ・・・
。

実習３：ｓｕｄｏを体感する（１実習３：ｓｕｄｏを体感する（１
０分）０分）
 前ページの設定を行い、実行例がきちんと前ページの設定を行い、実行例がきちんと
できることを確認してください。できることを確認してください。
 このとき、このとき、 syslogsyslog に出て来るメッセージも確認に出て来るメッセージも確認
します。します。
 実行権限のないユーザが実行しようとして実行権限のないユーザが実行しようとして
跳ねられることを確認してください。跳ねられることを確認してください。
 このとき、このとき、 syslogsyslog に出て来るメッセージも確認に出て来るメッセージも確認
します。します。
 次に、特定のユーザだけシステムのリブー次に、特定のユーザだけシステムのリブー
トを可能にする設定を考えてみてくださいトを可能にする設定を考えてみてください
。。

サーバー構築手順～サーバー構築手順～ inetdinetd の設定の設定 (1)(1) ～～
inetdinetd 本体の設定　本体の設定　 /etc/inetd.conf/etc/inetd.conf
 不必要なネットワークサービスは起動しない
 デーモンモードで常時起動するものも書かない
 TurboLinux では turboservice, RedHat Linux では ntsysv でも
設定可能
 最低必要なものは以下のようなものです
ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a -d
pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d
pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d
imap stream tcp nowait root /usr/sbin/tcpd imapd

サーバー構築手順～サーバー構築手順～ inetdinetd の設定の設定 (2)(2) ～～
tcp_wrappertcp_wrapper の設定例　　の設定例　　 /etc/hosts.allow/etc/hosts.allow
in.ftpd :211.9.xx.xxx
in.ftpd :61.9.xx.xxx/255.255.255.0
ipop2d,ipop3d,imapd,in.ftpd :.ykhm00.ap.so-net.ne.jp
ipop2d,ipop3d,imapd,in.ftpd :.iwate.ppp.infoweb.ne.jp
sshd : .samba.gr.jp
sshd : .jp
ALL : ALL : spawn (/usr/sbin/safe_finger –l @%h | /bin/mail –s %s-%h
alert ) & : deny
１度アクセスし
てもらいエラー
ログから判断す
る
１度アクセスし
てもらいエラー
ログから判断す
る
先方のログイン
ユーザを調べて
メール
先方のログイン
ユーザを調べて
メール

サーバー構築手順～サーバー構築手順～ xinetdxinetd の設定の設定 (1)(1)
～～
chkconfigchkconfig による設定による設定
 起動するサービスとアクセス制限内容は inetd.conf +
tcp_wrapper とおなじ
 turboservice/ntsysv でも設定可能
 設定するコマンド
/sbin/chkconfig --level 345 ftp on
/sbin/chkconfig --level 345 pop3 on
/sbin/chkconfig --level 345 pop2 on
/sbin/chkconfig --level 345 imap on
 chkconfig --list で必要なサービスのみ上っていることを確認

サーバー構築手順～サーバー構築手順～ xinetdxinetd の設定の設定 (2)(2)
～～
サービス毎のアクセス制限　サービス毎のアクセス制限　 /etc/xinetd.d/ftp/etc/xinetd.d/ftp のの
例例
 only_from = パラメータで指定する
service ftp {
disable = no
only_from = 211.9.xx.xxx
only_from = 61.9.xx.xxx/255.255.255.yyy
only_from = 210.9.xx.0
only_from = .iwate.ppp.infoweb.ne.jp
…..
log_on_failure += USERID
}

サーバー構築手順～起動ｻｰﾋﾞｽの設定サーバー構築手順～起動ｻｰﾋﾞｽの設定 (1)(1)
～～
ntsysv/turboservicentsysv/turboservice による設定による設定
 redhat-config-services/system-config-services は RedHat
系、 turboservice は TurboLinux

サーバー構築手順～起動ｻｰﾋﾞｽの設定サーバー構築手順～起動ｻｰﾋﾞｽの設定 (2)(2)
～～
自動起動させるサービスの例自動起動させるサービスの例
 apmd/acpidapmd/acpid
 atd/crond/anacronatd/crond/anacron
 random/httpd(Webrandom/httpd(Web サービスをするならサービスをするなら ))
 inet/network/inetd/xinetd
 ipchains(2.2 系 )/iptables(2.4 系 )
 iplog/syslog
 keytable
 irqbalance
 rawdevices
 kudzu/readahead/readahead_early/rhnsd/yum
(RedHat Linux 等 )
 named(DNS を動かすなら）
 portmapportmap
 sendmailsendmail(MTA(MTA にに sendmailsendmail を使うならを使うなら ))
 snmpd(mrtgsnmpd(mrtg 等を使うなら等を使うなら ))
 sshd
 smartd
 xntpd(ntpd を使うなら )

サーバー構築手順～サーバー構築手順～ DNS(1)DNS(1) ～～
ネームサーバーの設定ネームサーバーの設定
 セカンダリネームサーバ以外には情報の転送を不許可にするセカンダリネームサーバ以外には情報の転送を不許可にする
 /etc/named.conf/etc/named.conf で、で、
allow-transfer { IPallow-transfer { IP アドレスアドレス 1 ; //1 ; // 転送を許可するセカンダリネームサーバ転送を許可するセカンダリネームサーバ 11
IPIP アドレスアドレス 2 ; // // 22 ; // // 2
…… };};
 バージョンチェックできないようにするバージョンチェックできないようにする (( バグバージョンを探す攻バグバージョンを探す攻
撃防止撃防止 ))
 /etc/named.conf/etc/named.conf で、で、
zone bind” chaos { allow-query { localhost; }; // localhost“zone bind” chaos { allow-query { localhost; }; // localhost“ からしか許さないからしか許さない
type master;type master;
file bind”;“file bind”;“
};};
Bind 9.x では不必要
！
Bind 9.x では不必要
！

サーバー構築手順～サーバー構築手順～ DNS(2)DNS(2) ～～
ネームサーバーの設定ネームサーバーの設定 (( つづき）つづき）
 /var/named/bind (/var/named/bind ( 標準）で、標準）で、
$origin bind.$origin bind.
@ 1d chaos soa localhost. root.localhost. (@ 1d chaos soa localhost. root.localhost. (
1 ; serial1 ; serial
3H ; refresh3H ; refresh
1H ; retry1H ; retry
1W ; expiry1W ; expiry
1D ) ; minimum1D ) ; minimum
chaos ns localhost.chaos ns localhost.
chaos A 127.0.0.1chaos A 127.0.0.1
[ チェック方法 ]
$nslookup –class=chaos –query=txt localhost
version.bind( 実際は１行 )
Server: localhost
Address: 127.0.0.1
VERSION.BIND text = 8.2.3-REL”“

実習４：実習４： CentOSCentOS でのでの version.bindversion.bind の有効の有効
性を調べてください性を調べてください (( ５分５分 ))
 前ページのような前ページのような chaoschaos クラスを利用した脆クラスを利用した脆
弱性の発見方法がＣｅｎｔＯＳで有効かど弱性の発見方法がＣｅｎｔＯＳで有効かど
うかを調べてください。うかを調べてください。

サーバー構築手順～メールサーサーバー構築手順～メールサー
バ～バ～
オープンリレー（オープンリレー（ OpenRelay)OpenRelay) しないようしないよう
に注意に注意
 Sendmail 8Sendmail 8 系以降、系以降、 qmailqmail 、、 postfixpostfix ではリレーしないではリレーしない
のが基本のが基本
－しかし、設定を誤るとオープンリレーになってしまう－しかし、設定を誤るとオープンリレーになってしまう
。。
 2004/072004/07 で２台のサーバーで観測すると、オープで２台のサーバーで観測すると、オープ
ンリレーチェックのメールサーバーアクセスがンリレーチェックのメールサーバーアクセスが
5757 回回 /109/109 回回
 telnettelnet でも手軽にチェックできるので、設定を変でも手軽にチェックできるので、設定を変
更するたびにチェックしよう更するたびにチェックしよう


サーバー構築手順～ファイル転送サーバー構築手順～ファイル転送 (1)(1)
～～
FTPFTP サービスとサービスと WebDAVWebDAV
 よりセキュアなのはよりセキュアなのは WebDAVWebDAV
 FTPFTP ではシステムにアカウントが必要、ではシステムにアカウントが必要、 WebDAVWebDAV は不要は不要
 システム中のアクセスできるファイルエリアを制御しやすいのはシステム中のアクセスできるファイルエリアを制御しやすいのは
WebDAVWebDAV 。。 FTP(wuFTPD, proftpdFTP(wuFTPD, proftpd 等）ではユーザ毎の等）ではユーザ毎の chrootchroot 環境が必要で、これを環境が必要で、これを
構築、維持、運用構築、維持、運用 (( ユーザの追加など）するのは結構たいへんユーザの追加など）するのは結構たいへん
 FTPFTP では認証に生パスワードが流れる。では認証に生パスワードが流れる。 WebDAVWebDAV はは BASICBASIC 認証でなく、認証でなく、 digestdigest
認証ならばパスワードは暗号化される認証ならばパスワードは暗号化される
 WebDAVWebDAV は接続がは接続が [[ クライアントクライアント ] [→] [→ サーバー：サーバー： 80/TCP]80/TCP] に固定。に固定。 FTPFTP はモーはモー
ドによってドによって [[ クライアントクライアント ] [←→] [←→ サーバサーバ ]] どちらの接続もありえるし、使用どちらの接続もありえるし、使用
ポートも流動的ポートも流動的
FTP はパケットフィ
ルタリングしにくい
FTP はパケットフィ
ルタリングしにくい
WindowsWindows のの WEBWEB フォフォ
ルダ機能を実現するルダ機能を実現する
ApacheApache のモジュールのモジュール

～～
～～
FTPFTP サービスサービス (( 通常モード）通常モード）
[ 制御コネクション ]Ftp ｸﾗｲｱﾝﾄ (1024
)
Ftp ｻｰﾊﾞ (21)
PORT 192,168,1,1,4,0
OK
[ データコネクション ]Ftp ｸﾗｲｱﾝﾄ (1024
)
GET のデータ転送
4,0 は、 0x04,
0x00
で、 0x0400 、つ
まり 1024 を示す
。
4,0 は、 0x04,
0x00
で、 0x0400 、つ
まり 1024 を示す
。
接続の向き 20/TCP1024/TCP
接続の向き
とポート番
号が問題

～～
FTPFTP サービスサービス (PASV(PASV モード）モード）
[ 制御コネクション ]Ftp ｸﾗｲｱﾝﾄ (3000
)
PASV
OK(211,9,36,180,4,255)
[ データコネクション ]Ftp ｸﾗｲｱﾝﾄ (3001
)
GET のデータ転送
4,0 は、 0x04,
0xff で、 0x04ff 、
つまり 1279 を示
す。
4,0 は、 0x04,
0xff で、 0x04ff 、
つまり 1279 を示
す。
接続の向き 1279/TCP3001/TCP
接続の向き
とポート番
号が問題

～～
WebDAVWebDAV の欠点もあるの欠点もある
 あまり多くの日本語情報がないあまり多くの日本語情報がない
 ApacheApache ではでは 2.02.0 系でないと標準モジュールでない系でないと標準モジュールでない
 日本語を上手に使おうとすると非標準モジュール日本語を上手に使おうとすると非標準モジュール (mod_encoding)(mod_encoding) が必が必
要要
 非標準モジュールがソースでしか配布されていない非標準モジュールがソースでしか配布されていない (RPM/de(RPM/de ｂがなｂがな
い）い）
 クライアントによって挙動が違うことがあるクライアントによって挙動が違うことがある (Windows XP(Windows XP など）など）
ａｃｈｅのａｃｈｅの V.upV.up でバイナリが非互換になるとちょっと悲しいことにでバイナリが非互換になるとちょっと悲しいことに
Apache のセキュリテ
ィホール対策版の
1.3.26 など・・・
1.3.26 など・・・

実習５：実習５： WebDAVWebDAV 環境を構築する（環境を構築する（ 2020
分）分）
 DAVDAV の設定を行ってください。ユーザ認証の設定を行ってください。ユーザ認証
はは BASICBASIC 認証で設定してください。認証で設定してください。
 WindowsWindows のウェブブラウザから、のウェブブラウザから、 WebDAVWebDAV にに
アクセスしてファイルが置けることを確認アクセスしてファイルが置けることを確認
してください。してください。
 詳細は、補助資料を参考にしてください。詳細は、補助資料を参考にしてください。

サーバー構築手順～サーバー構築手順～ WWWWWW サービサービ
ス～ス～
Ａｐａｃｈｅ設定のポイントＡｐａｃｈｅ設定のポイント (1)(1)
 ApacheApache のバージョンを表示しないのバージョンを表示しない (httpd.conf)(httpd.conf)
ServerSignatureServerSignature OffOff
→→Apache 1.3Apache 1.3 以降。サーバが生成する以降。サーバが生成する (( エラーなどのエラーなどの )) ドキュメントドキュメント
にバージョン等の付加情報をつけないにバージョン等の付加情報をつけない
ServerTokensServerTokens 　　　　　　　　　　　　 ProductOnlyProductOnly
→→Apache 1.3.12Apache 1.3.12 以降。サーバレスポンスヘッダにバージョンや以降。サーバレスポンスヘッダにバージョンや
プリコンパイルモジュールの情報を含めないプリコンパイルモジュールの情報を含めない
1.3.26 以前のセキュリ
ティホールをつくワー
ムが近いうちにきっと
でてきます。
1.3.26 以前のセキュリ
ティホールをつくワー
ムが近いうちにきっと
でてきます。
Ｎｉｍｄａタイプの IP
アドレス総なめタイプ
かもしれませんが、バ
ージョンをチェックす
るタイプであればこの
防御は有効です。
Ｎｉｍｄａタイプの IP
アドレス総なめタイプ
かもしれませんが、バ
ージョンをチェックす
るタイプであればこの
防御は有効です。
設定していないと・・・：
HTTP/1.1 200 OK
Date: Thu, 27 Jun 2002 07:54:50 GMT
Server: Apache/1.3.23 (TurboLinux) mod_throttle/3.1.2 PHP/4.1.2
Connection: close
設定してあると・・・：
HTTP/1.1 200 OK
Date: Thu, 27 Jun 2002 07:54:50 GMT
Server: Apache
Connection: close
FreeBSDFreeBSD 版の版の
ワームはでてワームはでて
きてしまいまきてしまいま
したした
Slapper ワームがこの
機能を利用しています
Slapper ワームがこの
機能を利用しています

実習６：実習６： apacheapache のセキュリティを設定のセキュリティを設定
してみる（してみる（ 1010 分）分）
 /etc/httpd/conf/httpd.conf/etc/httpd/conf/httpd.conf で、で、
ServerSignature On/Off/EmailServerSignature On/Off/Email
ServerTokensServerTokens
ProductOnly/Major/Minor/Minimal/OS/FullProductOnly/Major/Minor/Minimal/OS/Full
と切り替えたときのレスポンスヘッダの違いを確と切り替えたときのレスポンスヘッダの違いを確
認してく認してく
ださい。ださい。→変更したら、必ず再起動→変更したら、必ず再起動 (service httpd(service httpd
restart )restart ) 　します。　します。
 ＣｅｎｔＯＳのデフォルトは、ＣｅｎｔＯＳのデフォルトは、 ServerServer
Tokens OS / ServerSignature OnTokens OS / ServerSignature On です。です。
 確認方法は、端末窓から、確認方法は、端末窓から、
$ telnet localhost 80$ telnet localhost 80
適当な文字＋リターン適当な文字＋リターン

ス～ス～
 BASICBASIC 認証を使わずにダイジェスト認証を使う認証を使わずにダイジェスト認証を使う
 BASICBASIC 認証ではパスワードは認証ではパスワードは mimemime エンコードされているだけの状態でネッエンコードされているだけの状態でネッ
トワークを流れているトワークを流れている
 盗聴盗聴 (Sniffer)(Sniffer) して簡単に生のパスワードが得られますして簡単に生のパスワードが得られます
 ダイジェスト認証は、ダイジェスト認証は、 MD5MD5 でハッシュ化されているのでほぼ安全でハッシュ化されているのでほぼ安全
 Apache 1.xApache 1.x の標準モジュールでないの標準モジュールでない (experimental(experimental のの )mod_auth_digest)mod_auth_digest モジュールでサモジュールでサ
ポートされているので手でコンパイルしてインストールしなければいけないポートされているので手でコンパイルしてインストールしなければいけない
→→ Apache 2.xApache 2.x では標準モジュールになっていますでは標準モジュールになっています
電子メールの添付ファイ電子メールの添付ファイ
ルの形式ルの形式
BASICBASIC 認証（認証（ ApacheApache の標準パスワード形式）はセキュリティがないのと同の標準パスワード形式）はセキュリティがないのと同

ス～ス～
 mod_auth_digestmod_auth_digest モジュールのインストール方法モジュールのインストール方法
1.1. ソースコードを取得、展開するソースコードを取得、展開する
2.2. cd apache_1.3.26/src/modules/experimentalcd apache_1.3.26/src/modules/experimental
3.3. /usr/bin/apxs –D DEV_RANDOM –c mod_auth_digest.c/usr/bin/apxs –D DEV_RANDOM –c mod_auth_digest.c でコンパイルでコンパイル
4.4. rootroot で、で、 /usr/bin/apxs –i mod_auth_digest.so/usr/bin/apxs –i mod_auth_digest.so でインストールでインストール
5.5. httpd.confhttpd.conf で、以下を追加するで、以下を追加する
　　　　 LoadModule digest_auth_module /usr/libexec/apache/mod_auth_digest.soLoadModule digest_auth_module /usr/libexec/apache/mod_auth_digest.so
　　　　 AddModule mod_auth_digest.cAddModule mod_auth_digest.c
6.6. パスワードの作成はパスワードの作成は htdigesthtdigest コマンドを使うコマンドを使う

セキュアなサーバを構築しよう（CentOS 5.xまで対応）

セキュアなサーバを構築しよう（CentOS 5.xまで対応）

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (6)

Similar to セキュアなサーバを構築しよう（CentOS 5.xまで対応）

Similar to セキュアなサーバを構築しよう（CentOS 5.xまで対応） (20)

セキュアなサーバを構築しよう（CentOS 5.xまで対応）

Editor's Notes