Bastilleで確実なセキュリティ対策――第2回 HP-UXのセキュア設定（その2）：UNIX USER9月号「unixuser.jpサーバー構築記」より転載（1/2 ページ）

HP-UXには標準でセキュリティ強化・ロックダウンツールの「Bastille」が用意されている。セキュリティ強化の方法はある程度決まっているので、それらをツールで実行することで、作業ミスや手順が抜けるといったことを防げる。今回はBastilleを紹介していく。

[渡辺真次，UNIX USER]

Bastilleで確実なセキュリティ対策

HP-UXには標準でセキュリティ強化・ロックダウンツールのBastilleが用意されている。これは、一連のセキュリティ強化に必要な作業がPerlで書かれ、設定ファイルに従って自動的に作業してくれるものだ。ポートを閉じる、不要なサービスを止めるなど、セキュリティ強化の方法はある程度決まっているので、それらをツールで実行することで、作業ミスや手順が抜けるといったことを防げる。また、ほかの管理者に作業を任せる場合にも有効だ。

　Bastille自体は、オープンソースコミュニティで開発されていて、主にLinux向けに開発されている。

http://www.bastille-linux.org/

　Linux以外では、Mac OS XとHP-UX用のものが用意されている。この手の管理ツールは継続的なメンテナンスが重要なだけに、HP-UXでOS標準となっているのは心強い。また詳しい解説が以下のURLから日本語で参照できる。

http://docs.hp.com/ja/5187-2219/ch08s12.html

設定ファイル

　Bastilleの設定ファイルは、/etc/opt/sec_mgmt/bastilleディレクトリ下に置かれている。ここにはいくつかのファイルがあるが、その中で*.configファイルは、インストール時のセキュリティ設定と対応している。

DMZ.config Sec30DMZ MANDMZ.config Sec20MngDMZ HOST.config Sec10Host

　実際に使われる設定ファイルは同じディレクトリにあるconfigファイルである。インストール時にSec30DMZを選んだ環境では、DMZ.configとconfigファイルが同一設定になっている。

設定方法

　Bastilleの設定はX環境が必要となる*。configファイルを直接編集して作業できないこともないが、設定の解説も表示されたりするので、一度はX上のツールを使うことをお勧めする。標準のrx1600のようにVGAがない場合や、別のゾーンのリモートから利用している場合などは、前回紹介したSSHの6000番ポートフォワードを設定して、別のX環境にXの画面を飛ばすと良い。

　Bastilleの設定ツールを起動するにはbastilleコマンドを実行する。図1のような画面が表示され、右下の［OK］ボタンを押して、対話的に設定していく。英語表示となるが、その解説が以下のURLで公開されているので、不明な部分は適宜参照するといいだろう。

http://docs.hp.com/ja/5187-2219/apbs01.html

図1　Batilleの起動画面

　設定項目数はけっこうあるが、インストール時のセキュリティ設定をしていれば、ほとんどのものがデフォルトのままで問題ない。unixuser.jpの場合はWebサーバーとして構築するので、Sec30DMZではOFFになっているApacheの起動設定と、chroot環境でApacheを起動する設定を変更するだけである（図2）。

図2　Apacheの起動設定

　ここでの設定は慎重に越したことはないが、誤った設定を保存してしまっても、やり直しは簡単だ。前述の設定ファイルのディレクトリで、設定したいレベルのファイル、たとえばDMZ.configをconfigという名前でコピーしてからbastilleコマンドを再度実行すれば、Sec30DMZの状態から調整できる。用途によっては、カスタマイズした設定をいくつか別ファイル名で保存しておくといいだろう。

　なお、質問項目はシステム上の各設定ファイルの状態によって変化する*ので、注意されたい。たとえば、一度httpd.confでchroot設定をした後だと、chroot設定をするかどうかの質問ページは表示されない。

設定の反映

　最後まで設定すると、ダイアログで設定を保存するか聞かれるので［Save Configuration］ボタンを押して設定を保存する。ここで新しいconfigファイルができているはずだ。次のダイアログ（図3）で［Apply Configuration System］ボタンを押すと、その設定でシステムが変更される。

図3　実行確認のダイアログ

　しかし、設定ファイルさえできればコマンドからシステムへ適用できるので、ここでは［Exit Without Changing System］を選んで設定の保存だけにし、先に設定ファイルを確認しておく。たとえば、実行例3のようにconfigファイルとDMZ.configを比較したり、configファイルの中身を一通り確認したりしておこう。

実行例3　設定ファイルの比較（実際にはコメントが異なるものがある）

# diff config DMZ.config 26c26 < Apache.chrootapache="Y" --- > Apache.chrootapache="N" 28c28 < Apache.deactivate_hpapache2="N" --- > Apache.deactivate_hpapache2="Y"

　configファイルに問題がなければ、バッチモードで設定を適用する「bastille -b」を実行する。さまざまな作業が行われていくので、時間がかかる。しばらくして終了すると、/var/opt/sec_mgmt/bastille/以下に作業ログや、追加で必要となるTODOリストがTODO.txtとして出力される。作業が終わったら、TODO.txtを読み、そこに指示が書かれていれば、それに従って、調整作業をしていくことになる。

　なお、「bastille -r」コマンドを実行すると、Bastilleによって適用した作業を元に戻せる。ただし、過去に適用した、インストール時にセキュリティ設定を行っていればそれも含めた設定が戻る。アンドゥとは違うのものなで注意していいただきたい。

このページで出てきた専門用語

X環境が必要となる Linux用のBastilleはコンソールでも利用可能 各設定ファイルの状態によって変化する /opt/sec_mgmt/bastille/lib/test*スクリプトなどで評価している。