Jump to content 日本-日本語

製品  >  ソフトウェア  >  HP-UX   >  Knowledge-on-Demand  >  知っておくべきセキュリティ対策

知っておくべきセキュリティ対策
-HP-UXのセキュリティを極める-

第4回 Bastilleによるシステムアセスメント

HP-UX/Integrityサーバー お問い合せ
コンテンツに進む
第3回 PS-WSでつくるセキュアなWebサーバー
知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める- 第4回
Bastilleが備える特徴とは
ネットワーク・サービスのロックダウン
ページ:  戻る   |   1   2

ネットワーク・サービスのロックダウン

一方、モジュール「Secure Inetd」および「Miscellaneous Daemons」では、HP-UXに備わる多数のネットワーク・サービスのロックダウン設定が可能である。実際の設定では、inetdデーモンにより起動される大半のサービス(telnetやftp/tftp、login/shell/exec、finger/ident、bootp、uucp、ntalkなど)や、NFS、NIS、snmpdなどはすべてデフォルトで無効とすることが可能だ。よって、本当に利用したいサービスだけを個別に起動を指定すればよい。

また、Webやメール、DNSなどの標準的なインターネット・サービスのセキュリティ保護のためのモジュールとして、Apacheおよびsendmail、DNS、FTPが用意されている。これらのモジュールでは、Apache httpdやsendmailのロックダウンを行えるほか、chroot を利用してBINDやApacheのプロセスがアクセス可能なディレクトリを制限することも可能だ。

では、こうしたネットワーク・サービスのロックダウンの効果を実際に確認してみよう。まずは、ロックダウン実施前のHP-UXに対して、ネットワーク・スキャン・ツール「Nessus®」を実行し、ポートのオープン状態を確認する。図2は、その結果である。
ロックダウン前のポートのオープン状態
図2:ロックダウン前のポートのオープン状態
※このレポートはTenable Network Security社のNessus®を使用して生成されたものです。

このように、HP-UXのデフォルト設定ではsshやSMTPなどのポートがオープン状態であり、外部から接続可能であることがわかる。つづいて、Bastilleによる「DMZロックダウン」(DMZホスト向けのロックダウン)を実施し、その後にNessusを再度実行すると、図3のようなレポートが得られる。
ロックダウン後のポートのオープン状態
図3:ロックダウン後のポートのオープン状態
※このレポートはTenable Network Security社のNessus®を使用して生成されたものです。

このように、sshは接続可能であるものの、SMTPはストップしており、sshのような必要最小限のサービス以外はロックダウンされていることがわかる。

新たに追加されたシステムアセスメント機能

ここまで見てきたとおり、Bastilleを用いることでHP-UXのロックダウンが容易に実施でき、経験の浅い管理者でも高度なセキュリティ強化を施したシステムを構築できることがわかる。ただ、これまでのBastilleには「実施しているロックダウンの詳細内容がレポートとして残らない」という不便な点があった。つまり、どのサービスを停止し、どの設定をどのように変更したか、ひと目で理解できるようなドキュメントが得られないのである。とりわけ近年のIT統制の観点からすると、セキュリティ強化ポイントの文書化はぜひ提供してほしい機能だ。

そこでBastilleの最新バージョンである3.0では、新たにシステムアセスメント機能が追加された。同機能では、Bastilleによって実施したロックダウンの内容をHTML形式やテキスト形式のアセスメントレポートとして文書化できる。

アセスメントレポートの例
図4:アセスメントレポートの例

図4にあるように、例えばumask設定やhidepasswordsといったセキュリティ設定項目について、Bastille実行後のそれぞれの設定内容を簡単に確認できる。このHTMLページをそのままシステムアセスメントレポートとしてIT統制に活用できる仕組みだ。

また新バージョンでは、Bastille実行後のシステム設定状態を「ベースライン」として保存する機能が新たに追加され、IT統制で重要になる変更管理を強力に支援してくれる。このベースラインを起点として、例えばシステムの運用開始後に定期的に設定状態を再チェックし、ベースラインとの比較を行う。


# bastill_drift --from_baseline test-baseline
# more /var/opt/sec_mgmt/bastille/log/Assessment/Drift.txt
  1,2c1,2
  < AccountSecurity.ABORT_LOGIN_ON_MISSING_HOMEDIR="N"
  < AccountSecurity.NOLOGIN="N"
  ---
  > AccountSecurity.ABORT_LOGIN_ON_MISSING_HOMEDIR="Y"
  > AccountSecurity.NOLOGIN="Y"
  5,7c5,8
  < AccountSecurity.SU_DEFAULT_PATHyn="N"
  < AccountSecurity.create_securetty="N"
  < AccountSecurity.hidepasswords="N"
  ---
  > AccountSecurity.SU_DEFAULT_PATH="/sbin:/usr/sbin:/usr/bin"
  > AccountSecurity.SU_DEFAULT_PATHyn="Y"
  > AccountSecurity.create_securetty="Y"
  > AccountSecurity.hidepasswords="Y"
  10,11c11,13
  < AccountSecurity.system_auditing="N"
  < AccountSecurity.umaskyn="N"
  ---
  > AccountSecurity.system_auditing="Y"
  > AccountSecurity.umask="027"
  > AccountSecurity.umaskyn="Y"
  <以下略>
図5:ベースラインからの変更点の表示例

図5を見ても分かるとおり、ベースラインから変化した設定項目を洗い出すことができる。これにより、運用開始後のシステムに後から生じる新たなセキュリティ脆弱性のリスクをとらえ、プロアクティブなセキュリティ対策を講じることが可能だ。

以上、今回はBastilleによるHP-UXのロックダウン機能について概観した。とりわけ新機能であるシステムアセスメント機能を活用すれば、上司やクライアントからの「セキュリティ対策状況のレポートが欲しい」といったリクエストにも即対応でき、管理者にとっては便利なツールとなるはずだ。


関連資料

 
HP-UX システム管理者ガイド(vol 4):セキュリティの管理
 

連載記事一覧 戻る ページ:  戻る   |   1   2

連載 「知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める-」記事一覧

第1回 セキュリティの『多層防御』とHP-UX
第2回 EVFSとTCSによるデータ暗号化
第3回 PS-WSでつくるセキュアなWebサーバー
第4回 Bastilleによるシステムアセスメント
第5回 audsysとHIDSによる監査と侵入検知
第6回 RBACによる権限分掌
第7回 LDAPによるアカウント統合化

 その他の連載記事


本ページの内容は執筆時の情報に基づいており、異なる場合があります。

お問い合わせ

ご購入前のお問い合わせ


ご購入後のお問い合わせ

オンラインサポート
製品の標準保証でご利用いただける無償のサービスです。

ショールーム

ショールーム 導入をご検討のお客様へ
業務アプリケーションの継続・標準化・開発性とシステム担当者様、システム開発者様が抱える悩み・疑問に対する解決策実体験して頂けます。
印刷用画面へ
プライバシー ご利用条件・免責事項