Bastilleで確実なセキュリティ対策――第2回 HP-UXのセキュア設定（その2）：UNIX USER9月号「unixuser.jpサーバー構築記」より転載（2/2 ページ）

HP-UXには標準でセキュリティ強化・ロックダウンツールの「Bastille」が用意されている。セキュリティ強化の方法はある程度決まっているので、それらをツールで実行することで、作業ミスや手順が抜けるといったことを防げる。今回はBastilleを紹介していく。

[渡辺真次，UNIX USER]

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　TODO.txtにはいくつかの項目が書き込まれたが、多くが報告的なもので、これまでの作業の場合、セキュリティパッチの確認と、ファイアウォールであるIPFilterの調整が実質的な作業となる。この2つに加えて、以下ではrootログインも禁止しておこう。

セキュリティパッチの確認

　HP-UXには、security_patch_checkというツールが用意されており、利用中のシステム構成と、最新のパッチとを比較できるようになっている。Bastille適用後はcronで毎日起動し、チェックするように設定されている（リスト2）。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　リスト2のようなコマンドを実行すればFTPアクセスで最新カタログを取り寄せチェックできるのだが、ここではチェック機構の流れを把握するためにも、外部へのFTPアクセスを拒否するポリシーで運用していることを想定して、別のマシンで最新情報のカタログファイルを取り寄せ、チェックする手順で作業していく。

• 最新カタログの取得

　まず、管理端末のマシンで最新のカタログファイルを取得する。最新のカタログファイルは、次のURLに用意されている。

ftp://ftp.itrc.hp.com/export/patches/security_catalog

　security_catalog.gzというgzip形式になっているファイルもあるので、こちらをダウンロードするといいだろう。ダウンロードしたら、scpコマンドでHP-UXマシンへ転送しておく。

• 適用状況のチェック

　次に、security_patch_checkコマンドを実行する（実行例4）。いくつかのものが未適用な状態であるのが分かる。この例ではWebサーバーとして緊急に適用するものはないが、先頭のSendmailを例にインストールしていこう。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

• パッケージの入手

　最新のパッケージは、実行例4の最後に表示されているように「ITリソース・センタ」から入手できるが、このURLではなく、「パッチデータベース ホーム」のページで検索するのが分かりやすいだろう。

http://www1.itrc.hp.com/service/patch/mainPage.do

　このページの「特定パッチの検出」の欄に、実行例4で表示された番号「29913」を入力すれば、一発で検索できる。あとは、該当のパッチにチェックを入れ、［選択済みパッチリストに追加］ボタン、［選択済みパッチのダウンロード］ボタンと押していけば、Webブラウザからファイルがダウンロードできる。ファイルフォーマットはいくつか選べるが、ここではgzipを選び、hpux_800_11.23_08020450.tgzをダウンロードした。

　このファイルもHP-UXマシンにscpで転送したら、/tmpなど任意のディレクトリで展開する（実行例5）。PHNE_29913が本体であり、これを実行するとHP-UX標準のパッケージ形式である、depotという拡張子のついたファイルが現れる。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

• depotファイルのインストール

　depotファイルをインストールには、実行例6のようにswinstallコマンドを使う。「-s」オプションのあとにインストールしたいファイルを指定するが、ファイル名指定は絶対パスである点に注意していただきたい。ファイル名だけを指定しても正常に実行されない。

　depotファイルをインストールしたら、念のため、再びsecurity_patch_checkを実行してみよう。Sendmailの項目が消えていればOKだ。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

80番ポートを開ける

　Bastilleによって、ファイアウォールIPFilterの設定は、22番ポート以外はふさがった状態である。Webサーバーとして構築するので80番ポートは空けておかなければならない。

　IPFilterの設定は/etc/opt/ipf/ipf.confで行うが、リスト3のように、このファイルはBastilleによって管理されている状態である。何らかの変更を加える場合は、/etc/opt/sec_mgmt/bastille/ipf.customrulesに追加設定を記述し、再度「bastille -b」コマンドを実行する。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　/etc/opt/sec_mgmt/bastille/ipf.customrulesファイルには、デフォルトで内側から外側へのアクセス許可と、Windowsネットワークに関連したアクセス拒否が設定されている（リスト4）。後者の設定は意味がなさそうだが、これによってWindowsからのブロックログが大量に書かれてしまうことを防いでいる。

　80番ポートを開ける設定を記述したら、再度「bastille -b」コマンドを実行して完了である。今度はIPFilter設定の適用のみなので、それほど時間はかからない。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

Telnet、SSHでのrootログインを禁止する

　Bastille（DMZ）適用後の環境では、telnet（tty?）からのrootのリモートログインは禁止されている。これは/etc/securettyファイルで設定しており、consoleのみが許可されている。一方でSSHでのログインは許可されている。

　複数管理者がいるときなどは、一般ユーザーアカウントでログインさせ、suコマンドなどでrootにスイッチさせるほうが、誰が操作したのかが把握できて良い。どうしても利便性を考えてrootで直接ログインしたい場合も、パスワード認証ではなく、鍵交換による認証に変更したほうが安全だろう。

　SSH経由でのrootのログインを禁止させるには、/opt/ssh/etc/sshd_configでコメントアウトされている「PermitRootLogin」の部分をリスト5のように変更する。これでOS再起動後に有効になるが、即時適用させるため、sshdを再起動させておく（実行例7）。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　主にセキュリティ関連、とくにBatille関連の設定を解説したが、ほかのOSのソースやドキュメントを見ていくと、Linuxディストリビューションの違いや各システムでの作業例が分かるので、参考にしてはいかがだろう。

　次回はWebサーバー構築に向けたボリューム設定と、Apacheの設定を紹介する予定だ。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***