Bastilleで確実なセキュリティ対策――第2回 HP-UXのセキュア設定(その2):UNIX USER9月号「unixuser.jpサーバー構築記」より転載(2/2 ページ)
HP-UXには標準でセキュリティ強化・ロックダウンツールの「Bastille」が用意されている。セキュリティ強化の方法はある程度決まっているので、それらをツールで実行することで、作業ミスや手順が抜けるといったことを防げる。今回はBastilleを紹介していく。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
TODO.txtにはいくつかの項目が書き込まれたが、多くが報告的なもので、これまでの作業の場合、セキュリティパッチの確認と、ファイアウォールであるIPFilterの調整が実質的な作業となる。この2つに加えて、以下ではrootログインも禁止しておこう。
セキュリティパッチの確認
HP-UXには、security_patch_checkというツールが用意されており、利用中のシステム構成と、最新のパッチとを比較できるようになっている。Bastille適用後はcronで毎日起動し、チェックするように設定されている(リスト2)。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
リスト2のようなコマンドを実行すればFTPアクセスで最新カタログを取り寄せチェックできるのだが、ここではチェック機構の流れを把握するためにも、外部へのFTPアクセスを拒否するポリシーで運用していることを想定して、別のマシンで最新情報のカタログファイルを取り寄せ、チェックする手順で作業していく。
- 最新カタログの取得
まず、管理端末のマシンで最新のカタログファイルを取得する。最新のカタログファイルは、次のURLに用意されている。
ftp://ftp.itrc.hp.com/export/patches/security_catalog
security_catalog.gzというgzip形式になっているファイルもあるので、こちらをダウンロードするといいだろう。ダウンロードしたら、scpコマンドでHP-UXマシンへ転送しておく。
- 適用状況のチェック
次に、security_patch_checkコマンドを実行する(実行例4)。いくつかのものが未適用な状態であるのが分かる。この例ではWebサーバーとして緊急に適用するものはないが、先頭のSendmailを例にインストールしていこう。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
- パッケージの入手
最新のパッケージは、実行例4の最後に表示されているように「ITリソース・センタ」から入手できるが、このURLではなく、「パッチデータベース ホーム」のページで検索するのが分かりやすいだろう。
http://www1.itrc.hp.com/service/patch/mainPage.do
このページの「特定パッチの検出」の欄に、実行例4で表示された番号「29913」を入力すれば、一発で検索できる。あとは、該当のパッチにチェックを入れ、[選択済みパッチリストに追加]ボタン、[選択済みパッチのダウンロード]ボタンと押していけば、Webブラウザからファイルがダウンロードできる。ファイルフォーマットはいくつか選べるが、ここではgzipを選び、hpux_800_11.23_08020450.tgzをダウンロードした。
このファイルもHP-UXマシンにscpで転送したら、/tmpなど任意のディレクトリで展開する(実行例5)。PHNE_29913が本体であり、これを実行するとHP-UX標準のパッケージ形式である、depotという拡張子のついたファイルが現れる。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
- depotファイルのインストール
depotファイルをインストールには、実行例6のようにswinstallコマンドを使う。「-s」オプションのあとにインストールしたいファイルを指定するが、ファイル名指定は絶対パスである点に注意していただきたい。ファイル名だけを指定しても正常に実行されない。
depotファイルをインストールしたら、念のため、再びsecurity_patch_checkを実行してみよう。Sendmailの項目が消えていればOKだ。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
80番ポートを開ける
Bastilleによって、ファイアウォールIPFilterの設定は、22番ポート以外はふさがった状態である。Webサーバーとして構築するので80番ポートは空けておかなければならない。
IPFilterの設定は/etc/opt/ipf/ipf.confで行うが、リスト3のように、このファイルはBastilleによって管理されている状態である。何らかの変更を加える場合は、/etc/opt/sec_mgmt/bastille/ipf.customrulesに追加設定を記述し、再度「bastille -b」コマンドを実行する。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
/etc/opt/sec_mgmt/bastille/ipf.customrulesファイルには、デフォルトで内側から外側へのアクセス許可と、Windowsネットワークに関連したアクセス拒否が設定されている(リスト4)。後者の設定は意味がなさそうだが、これによってWindowsからのブロックログが大量に書かれてしまうことを防いでいる。
80番ポートを開ける設定を記述したら、再度「bastille -b」コマンドを実行して完了である。今度はIPFilter設定の適用のみなので、それほど時間はかからない。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
Telnet、SSHでのrootログインを禁止する
Bastille(DMZ)適用後の環境では、telnet(tty?)からのrootのリモートログインは禁止されている。これは/etc/securettyファイルで設定しており、consoleのみが許可されている。一方でSSHでのログインは許可されている。
複数管理者がいるときなどは、一般ユーザーアカウントでログインさせ、suコマンドなどでrootにスイッチさせるほうが、誰が操作したのかが把握できて良い。どうしても利便性を考えてrootで直接ログインしたい場合も、パスワード認証ではなく、鍵交換による認証に変更したほうが安全だろう。
SSH経由でのrootのログインを禁止させるには、/opt/ssh/etc/sshd_configでコメントアウトされている「PermitRootLogin」の部分をリスト5のように変更する。これでOS再起動後に有効になるが、即時適用させるため、sshdを再起動させておく(実行例7)。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
主にセキュリティ関連、とくにBatille関連の設定を解説したが、ほかのOSのソースやドキュメントを見ていくと、Linuxディストリビューションの違いや各システムでの作業例が分かるので、参考にしてはいかがだろう。
次回はWebサーバー構築に向けたボリューム設定と、Apacheの設定を紹介する予定だ。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
関連記事
- 名前解決の設定確認――第2回 HP-UXのセキュア設定(その1)
- より身近な64ビット時代へ――第1回 IA64とHP-UX(その1)
- HP-UX 11iv2のインストール――第1回 IA64とHP-UX(その2)
- インストール直後の環境整備――第1回 IA64とHP-UX(その3)
関連リンク
Copyright(c)2010 SOFTBANK Creative Inc. All rights reserved.