Linuxホーム・オフィスの賢い運用法――その2――（1/2 ページ）

このシリーズでは、小規模オフィスを対象にLinuxの運用法について解説している。今回は、インターネットへの接続について考えてみよう。もちろん、システムのセキュリティも考えねばならない。

[Corinne-McKay-and-Daniel-J.-Urist，japan.linux.com]

　このシリーズでは、小規模オフィスを対象にLinuxの運用法について解説している。前回はハードウェアとオペレーティング・システムを取り上げた。基本システムの準備ができたら、次はインターネットへの接続である。そして、もちろん、システムのセキュリティについて考えねばならない。

　Linuxの人気が高まっているのは、セキュリティが高いという評価があるからである。しかし、コンピュータ・セキュリティに対する脅威は日々急速に増大している。したがって、システムのセキュリティ対策に終わりはない。セキュリティにおける第一の原則は「間違っても閉じろ」、すなわち、オフが基本、である。動かす必要のないサービスは止める。開けておく必要のないファイアウォールのポートは閉じる。必要のないソフトウェアは削除する。セキュリティの高さとは、げに、衛生状態の高さなのである。

　オペレーティング・システムをインストールしたら、真っ先に、セキュリティ・アップデートを適用すること。そして、セキュリティ・アップデートを自動化しておくべきである。ほとんどのベンダーは、自動化のための簡単なコマンドライン・ツールを用意している。APT、yum、up2dateなどだ。これを、Unixの標準スケジューリング・ツールcronで定期的に実行させればよい。

　次に、不要なサービス（デーモン）を停止させ削除すること。これはリソースの節約にもなり、ついでにマシンの起動時間も短くなる。少し厄介なのが、ディストリビューションによってサービスを管理するツールが異なる点だ。コマンドライン・ツールは、DebianとUbuntuではupdate- rc.dまたはrcconfだが、Fedoraはchkinstallである。GUIツールも用意されているが、こちらもマチマチだ。主要なLinuxディストリビューションでは、ほとんどの場合、Ksysv（KDEウィンドウ・マネージャー）かGSTRRunlevel Editor（GNOME）が動く。が、SUSEではYaSTという独自のランレベル・エディタだ。FedoraとMandrakeでは、汎用GUIツールの他にredhat-config-services（Fedora）とDrakXServices（Mandrake）という独自ツールも用意されている。

　サービスが必要かどうかがわからない場合は、停止させて様子を見るとよい。問題が発生して必要なサービスであることがわかったら、ディストリビューションに用意されている適切なツールを使い、サービスを元通りに起動する。また、ソフトウェアをアップデートした場合は、その度に必ずサービスの動作状態を確認すること。アップデートすることで、無効にしたはずのサービスが動き出すことがあるからである。

　多くのディストリビューションでは、インストール時に基本的なファイアウォールを構成できるようになっている。ただし、インストール時の構成では細かな設定ができないことが多い。ファイアウォールは、できる限り制限する方向で設定すること。ファイアウォールは、ほとんどの攻撃に対する守りの最前線だからである。

　筆者らのホーム・オフィスでは、内部のネットワークからのアクセスを許し、DSLルーターあるいは外部からのアクセスを拒否するように、マシンのファイアウォールを設定している。アプリケーションによっては、待ち受け用のポートを開くものがある。ピア・ツー・ピアやVoIPアプリケーションなどだが、そうしたアプリケーションをインストールして使用する場合は慎重を期すこと。いかにセキュリティに関する素晴らしい実績を誇るアプリケーションであろうと、ファイアウォールで待ち受け用ポートを開けばそれだけ攻撃に弱くなるからである。待ち受け用ポートを開く必要がある場合は、Snortなどの侵入検知システムをインストールするとよい。

　不要なソフトウェア・パッケージは削除すること。攻撃を仕掛ける者に機会を与えないためである。さらに、バックアップのサイズが小さくなるという利点もある。たとえば、Debianの場合、フランスのMinitelシステムをエミュレートする必要がなければxtelパッケージは不要だ。

　とは言え、不要なパッケージを削除するのは、簡単な場合ばかりではない。インストールには通常千を超えるパッケージが含まれており、その多くは相互に依存しているからだ。幸いなことに、APTやyumなどの最近のパッケージ管理ユーティリティには削除機能が付いており、パッケージをインストールする際と同じように、依存パッケージを調べて不要なものをアンインストールできる。

　手始めに、使う予定のない主要アプリケーション・スイートを削除する。たとえば、PostgreSQLやMySQLなどのリレーショナル・データベース管理システムが不要なら削除する。同様に、ApacheなどのWebサーバーが要らなければ、これも削除する。不要なパッケージを1つ削除する場合は、Debianのdeborphanのようなツールがきわめて便利である。

次ページ：ISPの選定