Jump to content 日本-日本語

製品  >  ソフトウェア  >  HP-UX   >  Knowledge-on-Demand  >  知っておくべきセキュリティ対策

知っておくべきセキュリティ対策
-HP-UXのセキュリティを極める-

第4回 Bastilleによるシステムアセスメント

HP-UX/Integrityサーバー お問い合せ
コンテンツに進む
第4回 Bastilleによるシステムアセスメント
Bastilleは、HP-UXシステムのセキュリティ設定を強化するツールである。GUIやTUI上でのインタラクティブな操作を通じて、システムのロックダウン(不要なサービスの停止やシステム設定の変更)を簡単に実施できるのが、最大の特徴だ。ただ従来のBastilleには「実施しているロックダウンの詳細内容がレポートとして残らない」という不便な点があった。そこでBastilleの最新バージョンである3.0では、新たにシステムアセスメント結果をレポート出力する機能が追加されている。
知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める- 第4回
Bastilleが備える特徴とは
ネットワーク・サービスのロックダウン
2008年4月
テクニカルライター 吉川和巳
ページ: 1   2   |   次へ 

Bastilleが備える特徴とは

Bastilleは、UNIXシステムに対してロックダウン(不要なサービスの停止やシステム設定の変更)を実施し、セキュリティを強化するツールである。もともとはオープンソース・ソフトウェアとして開発されたもので、HPではこのBastilleをHP-UX向けに移植し、機能拡張を施したものをWebサイト上で無償提供している。Bastilleは、おもに以下のような特徴を備える。

システムのロックダウン
  • 各種デーモン設定やシステム設定のセキュリティ強化
  • 不要なサービスの停止
  • JailによるWebサーバーやDNSなどのインターネット・サービスのセキュリティ強化
  • Software AssistantやSecurity Patch Checkの自動実行設定
  • IPFilterベースのファイアウォール設定
アセスメントレポート作成
  • HTMLやテキスト形式、設定ファイル形式でアセスメントレポートを生成
  • システムのベースライン設定を記録し、その後の変化をチェックする
HP SIMとの連携
  • HP SIMメニュー上からのロックダウン設定やレポート表示が可能
  • SIMサーバーのロックダウンをサポート
その他
  • セキュリティ設定方法を解説したヘルプテキストを豊富に提供
  • Bastille実行前の設定を簡単に復元可能
BastilleのGUI画面
図1:BastilleのGUI画面

Bastilleの最大の特徴は、図1のようなGUIやTUI上でのインタラクティブな操作を通じて、システムのロックダウンを簡単に実施できる点だ。この画面の左側には「モジュール」と呼ばれる項目が並んでおり、それぞれの項目についてウィザード形式の質問事項が表示される。個々の質問事項では、その設定を実施することで得られるセキュリティ強化のメリットと、それにともなうデメリットが詳細に解説されている。管理者は、それぞれの項目についてYesかNoかを選択したり設定値を入力したりすることで、用途に応じて適切なロックダウンを実施できる。すべての質問に答えると、Bastilleが自動的にロックダウンを開始する。もっとも、すべての設定が自動化されているわけではなく、管理者による手動設定が必要な部分については「To Do」リストを作成してくれる。

では、Bastilleによるロックダウンの内容をもう少し詳しく見ていこう。


ファイル・パーミッションやパッチ管理の強化

Bastilleのモジュール「File Permission」では、HP-UXのファイル・システムに対してworld-writableなディレクトリ(すべてのユーザから読み書き可能なディレクトリ)のスキャンを実施するかどうかを指定できる。このスキャンを実施すると、world-writableなディレクトリのパーミッション設定を個別に編集するためのスクリプトを自動作成できる。

また、モジュール「Account Security」では、ユーザ・アカウントのアクセス権管理の詳細なチューニングが可能だ。例えば、すべてのユーザとシェルにおけるデフォルトのumask値(作成されるファイルのパーミッション値)の設定をはじめ、ログイン・ポリシー(ログイン拒否やログイン許可数、ルートログイン禁止)およびパスワード・ポリシー(パスワード変更間隔や期限切れ警告、シャドウ・パスワードの利用)の設定を容易に行える。さらには、HP-UXの高信頼性モードを利用したセキュリティ監査(すべてのシステムコールのトレース)も指定することができる。

一方、モジュール「Patches」では、HPが提供するパッチ管理ツールSoftware Assistant(SWA)やSecurity Patch Check(SPC)のセットアップが可能だ。簡単な質問に答えるだけで、SWAの起動やcrontabへの登録、起動時間の設定などを行える。これにより、毎日一定の時間にSWAが起動し、ホストに適用されているセキュリティパッチの一覧とHPが公開するパッチ一覧の比較が行われる。

連載記事一覧 ページ: 1   2   |   次へ  次のページへ

本ページの内容は執筆時の情報に基づいており、異なる場合があります。

お問い合わせ

ご購入前のお問い合わせ


ご購入後のお問い合わせ

HPEサポートセンター
製品の標準保証でご利用いただける無償のサービスです。

ショールーム

ショールーム 導入をご検討のお客様へ
業務アプリケーションの継続・標準化・開発性とシステム担当者様、システム開発者様が抱える悩み・疑問に対する解決策実体験して頂けます。
印刷用画面へ
プライバシー ご利用条件・免責事項