特集
» 2006年12月12日 10時58分 公開

Bastille:自学にも適したセキュリティ評価ツールLeverage OSS(1/2 ページ)

Bastilleはセキュリティの侵害が起こるのを待って反応するのではなく、システムの脆弱性を取り除くことによってセキュリティ侵害を未然に回避する。システムセキュリティを向上させるためのこのソフトウェアを紹介する。

[Bruce-Byfield,Open Tech Press]
SourceForge.JP Magazine

 BastilleはDebian、Fedora、Gentoo、Mandriva、Red Hat Enterprise Linux、SUSEのシステムセキュリティを向上させるためのプログラムである。現在利用できるパケットスニファ、アンチウイルスプログラム、大多数のセキュリティプログラムとは異なり、Bastilleはセキュリティの侵害が起こるのを待って反応するのではなく、システムの脆弱性を取り除くことによってセキュリティ侵害を未然に回避する。多くのディストリビューションでは利便性という名のもとにデフォルトのインストール設定のセキュリティ保護を甘くしているが、このアプローチではおのずとBastilleが不可欠なプログラムになる。

 Bastilleは単にシステムを強固にするだけのものではない。支援ツールを用いることにより、Bastilleではシステムセキュリティの評価が行える。その内容はCenter for Internet Security(CIS)ベンチマークが提供する評価にも匹敵し、個々のセキュリティ施策の相対的効果を確認できる。さらに、Bastilleは対話的に実行され、それぞれの段階では取りうる選択肢の説明、変更決定の前には必ずその内容を取り消す機会が与えられるため、Bastilleを利用することは、GNU/Linuxセキュリティの入門者を対象としたチュートリアル全体に短時間で目を通すことにも相当する。

 システムのセキュリティに真剣に取り組むなら、システムの状態を正確に把握するために、おそらくオペレーティングシステムのインストール中に可能なオプションをすべてカスタマイズすることから始める必要があるだろう。しかし、例えこのアプローチを時間がかかり過ぎるとして拒否しても、インストールの直後にBastilleをインストールして実行すれば、まだシステムのセキュリティを向上させることが可能だ。

 Bastilleのダウンロードページには、対応しているディストリビューションごとに最新のパッケージが用意されている。グラフィカルなインタフェースを使いたければ、使っているディストリビューションのリポジトリからperl-tkパッケージもインストールする必要がある。Bastille自体もディストリビューションのリポジトリからインストールできるかもしれないが、その場合はバージョン番号を確認しておくことだ。Debianだと、少なくとも最新版の1:3.0.9は実験版のリポジトリにしか含まれていない。幸いなことに、依存関係はあまり重要でないので、不安定版やテスト版を使っていてもインストールによって環境が破壊されるようなことはない。以前にリリースされたものも役には立つが、評価機能など一部の機能が欠けている。この記事ではBastilleの最新バージョンを取り上げるので、一部の説明は以前のバージョンには当てはまらない可能性があることに注意してもらいたい。

 まず、rootでログインしてbastille -aと入力すると、セキュリティの現在の状態が10段階で評価される。この評価の尺度は絶対的なものでも累積的なものでもない。つまり10点満点は、すべての予防措置を取っていることを示すだけであって、システムが各種の攻撃に耐えられることを示すわけではない。また、10点と評価されたシステムのセキュリティの高さが5点のシステムの2倍あるわけでもない。

 ただし、システムの全体的なセキュリティ性を示す一般的な指標としては確かに役立っている。この評価はサービスの稼働率や新規ファイルのデフォルトパーミッションといった標準的なセキュリティの尺度に沿って行われ、各項目はその重要性に応じて重み付けがされている。セキュリティの専門家であれば重み付けのカスタマイズが可能だが、おそらく大半のユーザーはデフォルトの重み付けに不満を感じることはないだろう。

 最初の評価結果を記録した後(結果は/var/log/Bastille/AssessmentでテキストおよびHTML形式で参照可能)、Bastilleを対話的に実行してもう一度評価を行えば、セキュリティが正確にどれだけ改善されたのか、また個々のオプションがどれくらい重要かもはっきり分かるだろう。Debianテスト版の2つの環境でわたしが実施した評価の結果が典型的なものだとすれば、使っているディストリビューションにもよるが、おそらく評価の点数には何の不自由もなく6.0くらいから8.0を上回る程度までの改善――インストール直後の状態に比べ明らかに大きな改善――が期待できるだろう。

関連キーワード

Leverage OSS | セキュリティ | テスト | 脆弱性


       1|2 次のページへ

Copyright © 2010 OSDN Corporation, All Rights Reserved.

注目のテーマ