Linuxホーム・オフィスの賢い運用法――その2――(1/2 ページ)
このシリーズでは、小規模オフィスを対象にLinuxの運用法について解説している。今回は、インターネットへの接続について考えてみよう。もちろん、システムのセキュリティも考えねばならない。
このシリーズでは、小規模オフィスを対象にLinuxの運用法について解説している。前回はハードウェアとオペレーティング・システムを取り上げた。基本システムの準備ができたら、次はインターネットへの接続である。そして、もちろん、システムのセキュリティについて考えねばならない。
Linuxの人気が高まっているのは、セキュリティが高いという評価があるからである。しかし、コンピュータ・セキュリティに対する脅威は日々急速に増大している。したがって、システムのセキュリティ対策に終わりはない。セキュリティにおける第一の原則は「間違っても閉じろ」、すなわち、オフが基本、である。動かす必要のないサービスは止める。開けておく必要のないファイアウォールのポートは閉じる。必要のないソフトウェアは削除する。セキュリティの高さとは、げに、衛生状態の高さなのである。
オペレーティング・システムをインストールしたら、真っ先に、セキュリティ・アップデートを適用すること。そして、セキュリティ・アップデートを自動化しておくべきである。ほとんどのベンダーは、自動化のための簡単なコマンドライン・ツールを用意している。APT、yum、up2dateなどだ。これを、Unixの標準スケジューリング・ツールcronで定期的に実行させればよい。
次に、不要なサービス(デーモン)を停止させ削除すること。これはリソースの節約にもなり、ついでにマシンの起動時間も短くなる。少し厄介なのが、ディストリビューションによってサービスを管理するツールが異なる点だ。コマンドライン・ツールは、DebianとUbuntuではupdate- rc.dまたはrcconfだが、Fedoraはchkinstallである。GUIツールも用意されているが、こちらもマチマチだ。主要なLinuxディストリビューションでは、ほとんどの場合、Ksysv(KDEウィンドウ・マネージャー)かGSTRRunlevel Editor(GNOME)が動く。が、SUSEではYaSTという独自のランレベル・エディタだ。FedoraとMandrakeでは、汎用GUIツールの他にredhat-config-services(Fedora)とDrakXServices(Mandrake)という独自ツールも用意されている。
サービスが必要かどうかがわからない場合は、停止させて様子を見るとよい。問題が発生して必要なサービスであることがわかったら、ディストリビューションに用意されている適切なツールを使い、サービスを元通りに起動する。また、ソフトウェアをアップデートした場合は、その度に必ずサービスの動作状態を確認すること。アップデートすることで、無効にしたはずのサービスが動き出すことがあるからである。
多くのディストリビューションでは、インストール時に基本的なファイアウォールを構成できるようになっている。ただし、インストール時の構成では細かな設定ができないことが多い。ファイアウォールは、できる限り制限する方向で設定すること。ファイアウォールは、ほとんどの攻撃に対する守りの最前線だからである。
筆者らのホーム・オフィスでは、内部のネットワークからのアクセスを許し、DSLルーターあるいは外部からのアクセスを拒否するように、マシンのファイアウォールを設定している。アプリケーションによっては、待ち受け用のポートを開くものがある。ピア・ツー・ピアやVoIPアプリケーションなどだが、そうしたアプリケーションをインストールして使用する場合は慎重を期すこと。いかにセキュリティに関する素晴らしい実績を誇るアプリケーションであろうと、ファイアウォールで待ち受け用ポートを開けばそれだけ攻撃に弱くなるからである。待ち受け用ポートを開く必要がある場合は、Snortなどの侵入検知システムをインストールするとよい。
不要なソフトウェア・パッケージは削除すること。攻撃を仕掛ける者に機会を与えないためである。さらに、バックアップのサイズが小さくなるという利点もある。たとえば、Debianの場合、フランスのMinitelシステムをエミュレートする必要がなければxtelパッケージは不要だ。
とは言え、不要なパッケージを削除するのは、簡単な場合ばかりではない。インストールには通常千を超えるパッケージが含まれており、その多くは相互に依存しているからだ。幸いなことに、APTやyumなどの最近のパッケージ管理ユーティリティには削除機能が付いており、パッケージをインストールする際と同じように、依存パッケージを調べて不要なものをアンインストールできる。
手始めに、使う予定のない主要アプリケーション・スイートを削除する。たとえば、PostgreSQLやMySQLなどのリレーショナル・データベース管理システムが不要なら削除する。同様に、ApacheなどのWebサーバーが要らなければ、これも削除する。不要なパッケージを1つ削除する場合は、Debianのdeborphanのようなツールがきわめて便利である。
次ページ:ISPの選定
Copyright © ITmedia, Inc. All Rights Reserved.