Jump to content 日本-日本語

製品  >  ソフトウェア  >  HP- UX Developer Edge

Install Time SecurityとBastilleで実現する盤石のホスト構築

HP-UX/Integrityサーバー お問い合せ
コンテンツに進む
Install Time SecurityとBastilleで実現する盤石のホスト構築 HP-UXで実現するネットワーク&セキュリティ
Install Time SecurityとBastilleで実現する盤石のホスト構築
「はじめからセキュアなホスト」を作る
ホストを「要塞化」するツール、Bastille

ホストを「要塞化」するツール、Bastille


Bastilleは、UNIXシステムに対してロックダウン(不要なサービスの停止)や各種設定を施すことでセキュリティを強化するツールである。上述したとおり、元々はLinux向けのオープンソース・ソフトウェアとして開発されたものだ。HPでは、このBastilleをHP-UX向けに移植し、機能拡張を施したものをWebサイト上で無償提供している。

Bastilleでは、図3の設定画面を利用して全ての設定を行う。同画面の左側には「モジュール」と呼ばれる項目が並んでおり、それぞれの項目についてウィザード形式の質問事項が表示される。各項目についてYesかNoかを選択したり設定値を入力したりすることで、それに応じた適切なセキュリティ設定を実施する仕組みである。

図3:Bastilleの設定画面
図3:Bastilleの設定画面

Security Patch Checkによるパッチ管理


例えばBastilleのモジュールPatchesでは、HPが提供するパッチ管理ツールSecurity Patch Check(SPC)のセットアップが可能だ。簡単な質問に答えるだけで、SPCの起動やcrontabへの登録、起動時間の設定などを行える。これにより、毎日一定の時間にSPCが起動し、ホストに適用されているセキュリティパッチの一覧とHPが公開するパッチ一覧の比較が行われる。

ファイル・パーミッションとアクセス権管理の強化


モジュールFile Permissionでは、HP-UXのファイル・システムに対してworld-writableなディレクトリ(全てのユーザから読み書き可能なディレクトリ)のスキャンを実施するかどうかを指定できる。このスキャンを実施すると、world-writableなディレクトリのパーミッション設定を個別に編集するためのスクリプトを自動作成できる。

また、モジュールAccount Securityでは、ユーザ・アカウントのアクセス権管理の詳細なチューニングが可能だ。例えば、全てのユーザとシェルにおけるデフォルトのumask値(作成されるファイルのパーミッション値)の設定をはじめ、ログイン・ポリシー(ログイン拒否やログイン許可数、ルートログイン禁止)およびパスワード・ポリシー(パスワード変更間隔や期限切れ警告、シャドウ・パスワードの利用)の設定を容易に行える。さらには、HP-UXの高信頼性モードを利用したセキュリティ監査(全てのシステムコールのトレース)も指定することができる。

ネットワーク・サービスのロックダウン


一方、モジュールSecure InetdおよびMiscellaneous Daemonsでは、HP-UXに備わる多数のネットワーク・サービスのロックダウン設定が可能である。実際には、inetdデーモンにより起動される大半のサービス(telnetやftp/tftp、login/shell/exec、finger/ident、bootp、uucp、ntalkなど)や、NFS、NIS、snmpdなどは全てデフォルトで無効となる。よって、本当に利用したいサービスだけを個別に起動を指定すればよい。

また、Webやメール、DNSなどの標準的なインターネット・サービスのセキュリティ保護のためのモジュールとして、ApacheおよびSendmail、DNS、FTPが用意されている。これらのモジュールでは、Apache httpdやsendmailのロックダウンを行えるほか、chroot を利用してBINDやApacheのプロセスがアクセス可能なディレクトリを制限することも可能だ。

インターネットに適応し、進化した商用UNIX


Install Time SecurityとBastilleの導入によって、DMZホストとして十分な強度のセキュリティを容易に達成できることがお分かりいただけたはずだ。また、DMZホスト構築の観点から見れば、HP-UXはさらにユニークな特長をいくつか備えている。

カーネルレベルでバッファオーバーフロー対策


その1つが、HP-UXにおけるバッファオーバーフロー対策である。同機能を有効にすると、意図的にオーバーフローさせたスタック領域のコード実行をHP-UXのカーネルレベルで検出し、禁止することができる(図4)。

図4:カーネルレベルのバッファオーバーフロー対策
図4:カーネルレベルのバッファオーバーフロー対策

この機能のメリットは、監視のためにシステム・リソースを消費したり、検知が遅れたりすることがない点である。また、既存のアプリケーション・コードに修正を加える必要もない。

もっとも、アプリケーションの中には、スタック領域からコード実行を行うものもわずかながら存在する。そのためHP-UXでは、そうしたアプリケーションだけを個別にチェック対象外とする手段(ゾーン・バイパス機能)を提供している。また、スタック領域におけるコード実行のログ記録だけを行い、アプリケーションに適用可能かどうかをテストするトライアル・モードも利用できる。

オープンソース・ソフトウェアを積極的にサポート


HP-UXのもう1つの特長は、ApacheやTomcat、Samba、Webmin、Mozzila、IPFilter、SSHなどの定番のオープンソース・ソフトウェアを、オペレーティング環境の一部分として統合している点だ。HPでは、これらのソフトウェアを単に移植するだけでなく、HP-UX上で最大のパフォーマンスを引き出すべく最適化を施し、OS本体と同レベルの品質検査を実施しているという。また、いずれのソフトウェアにも商用製品としての正式サポートを提供している。確固としたセキュリティ対策が要求されるミッション・クリティカルなインターネット・サービスの構築では、こうしたオープンソース・ソフトウェアに対するベンダー・サポートは大変有り難いと言えるだろう。

さらにHPでは、CERT/CCなどのセキュリティ監視組織とも連携し、HP-UX上で利用されるオープンソース・ソフトウェアで発見されたセキュリティ脆弱性への迅速な対応を行っている。HPの「ITリソース・センタ」では、こうしたセキュリティ脆弱性の情報を速報する「Security Bulletin」を随時配布しており、会員登録さえ行えばつねに最新の情報を入手することができる。


ホスト型侵入検知システムHP-UX HIDSを統合


HP-UXには、ホスト型侵入検知システム「HP-UX HIDS」が統合されている点も興味深い。HP-UX HIDSは、HP-UXカーネルと密接に連携して動作することで、サード・パーティ製品では実現できないトータルな分析と侵入検知を可能としている。また、伝統的なシグネチャ・マッチングによる脆弱性監視ではなく、攻撃された際によく見られる特定のアクティビティ パターンを監視することで、機知の攻撃パターンに加え将来登場してくる攻撃シナリオにも柔軟に対応できる。頻繁なシグネチャの更新作業も不要である。

ここまで見てきたとおり、今日のネットワーク環境の急速な変化に適応すべく、商用UNIXのセキュリティ機能も着実に進化を遂げている。この新たな能力を上手に活用すれば、日増しに高まりつつあるセキュリティ対策の負担を軽減することも難しくはないだろう。


関連リンク

 
ツール - ネットワーク&セキュリティ - セキュリティ機能
  IPFilter、IPSec、Secure Shell、Bastille、Install Time Securityなどセキュリティ機能関係のアプリケーションの紹介ページです。
TIPS - HP-UX 11i v2 Install Time Security
  HP-UX 11i v2では、Install Time Securityという機能が導入されました。これにより、OSインストール時に数種類のセキュリティ設定が選択できます。もちろん、インストール後にセキュリティ設定を運用状況に合わせて、細かく再設定することも可能です。
ドキュメント - ネットワーク&セキュリティ
  ネットワークセキュリティの技術とソリューション、認証技術と、DNS (ドメインネームサービス)経路指定、sendmail 、および暗号化におけるセキュリティ機能、ネットワークセキュリティ製品に関する情報、等のドキュメントを掲載しています。
 
最初に戻る 戻る  

その他のコラム(特集)もお読み下さい

 
 

本ページの内容は執筆時の情報に基づいており、異なる場合があります。
印刷用画面へ
プライバシー ご利用条件・免責事項