Jump to content 日本-日本語
日本HPホーム 製品 & サービス サポート & ドライバー ソリューション ご購入方法
≫  お問い合わせ

製品とサービス  >  ソフトウェアとOS  >  HP-UX   >  Knowledge-on-Demand

HP Apache-based Web Server セキュリティ強化

HP-UX/Integrityサーバー お問い合せ
コンテンツに進む

Webサーバーを運用する際のセキュリティ強化


Webサーバーは、とても便利な機能であり、現在ではインターネットを介しての広い情報発信や、企業内での Intra-netなどにたいへん役立っています。しかしながら、インターネットを介して不特定のクライアントからアクセス可能なWebサーバーは、常に悪意のある攻撃者から狙われている可能性があります。

ここでは、以下の観点から Webサービスのセキュリティを強化する方法についてまとめます。
   
 
  • Webサービスに関するOSでのセキュリティ強化
  • セキュリティを強化するWebサーバーの設定
  • セキュリティを保つサーバー管理
HP Apache-based Web Server セキュリティ強化
はじめに
セキュリティ強化
Webサーバーの設定
サーバー管理
付録:セキュリティ機能

Webサービスに関するOSでのセキュリティ強化


ここでは、ネットワークなどを介する攻撃や不正な侵入者に対するOSのセキュリティ強化について述べます。
 
  • 不必要なサービスの停止または削除
    不必要なポートがオープンされていると、侵入者に不正利用されてしまう場合があります。

プロトコル

ポート番号

攻撃の可能性

FTP 20、21 高 - ファイルシステムにたいするアクセスの危険性
Telnet 23 高 - 不正コマンド実行の危険性、パスワードの漏洩
TFTP 69 高 - 不正データの書き込みなど
Finger 79
RPC 111、135 高 - 不正プロセス起動の危険性
RSH 514 高 - 不正アクセスの危険性

  • サービスを停止するには、rootユーザで /etc/servicesファイルの該当する行をコメントアウト
    (行頭に '#'記号を挿入)して保存し、/usr/sbin/inetd -c コマンドを実行します。

  • 不必要なシェルやインタープリターの削除

    CGIで Perlが不必要な場合などは、Perlをアンインストールします。

    ※ HP-UX 11iでは、Perlはデフォルトでインストールされるようになっています。コンポーネントを削除するには、rootユーザで /usr/sbin/swremoveコマンドを起動し、perlコンポーネントを選択します。

  • 攻撃者に利用されやすいコマンドなどの削除

    例)finger, whois, nslookup, NISなど
    これらのファイルは、ベースOSに含まれているのでswremoveで削除することは推奨されません。このコマンドを含むプロダクトをswremoveすると他の重要なコマンドも削除されてしまいます。直接 /usr/bin/などにあるコマンドファイルから実行権限パーミッションを消すか、ファイルを削除します。

  • ファイルパーミッションは厳密に設定する。

    要塞化ツール bastilleを使用すると、システムの全ユーザに対してデフォルトumaskを設定することができます。これによりWebコンテンツオーナーがあやまったファイルパーミッションを設定する可能性を減らせます。
    デフォルトの umaskを設定するには以下のいずれかの方法を実行します。

    rootユーザで/opt/sec_mgmt/bastille/bin/bastilleコマンドを実行し、以下の設問に Yesと答え、次の設問でumaskの値を指定し、設定をシステムに反映させる。
    Q: Do you want to set the default umask?

    Install Time Securityで Sec10Host または Sec20MngDMZ、Sec30DMZのいずれかを選択する。(HP-UX 11i v2以降)
    このとき自動的に設定されるumaskの値は 027です。

  • 脆弱性のあるサービスを強固なものに変更する。

    • telnetや rlogin、rshコマンドは削除し、sshコマンドを使用する。
    • FTP、TFTPは削除し、Secure Shellに含まれる SFTPを使用する。
    • rcpは削除し、Secure Shellに含まれる scpを使用する。
    • サーバー/クライアント間は 暗号化された通信を使用する。
      SSH コマンドは暗号化された通信を行います。
    ※ HP-UX 11i v2から、Secure Shellは Foundation OEに含まれています。HP-UX11i v1用や最新の Secure Shellは、 HPのWebページ からダウンロードできます。

  • パスワードの保護

    • 長くて複雑なパスワードを使用し、定期的に更新する。

      パスワードポリシーを設定するには以下の方法を実行します。
      rootユーザで /opt/sec_mgmt/bastille/bin/bastilleコマンドを実行し、以下の設問に Yesと答え、設定をシステムに反映させる。
      Q: Do you want to setup password policies?
    • /etc/passwdファイルは、すべてのユーザからハッシュされたパスワードが参照可能なので、shadowパスワードに切換える

      shadowパスワードに切換えるためには以下のいずれかの方法を実行します。
      • rootユーザで /opt/sec_mgmt/bastille/bin/bastilleコマンドを実行し、以下の設問に Yesと答えて設定をシステムに反映させる。
        Q: Would you like to hide the encrypted passwords on this system?
      • rootユーザで /usr/sbin/pwconvコマンドを実行する。
      • Install Time Securityで Sec10Host または Sec20MngDMZ、Sec30DMZのいずれかを選択する。(HP-UX 11i v2以降)
  • アプリケーションに対する chroot設定

    chrootの機能は UNIXシステムだけが持つものです。chroot機能とはファイルシステムのルートディレクトリの位置を変更するもので、chrootするとそのプロセスと全ての子プロセスはchrootしたディレクトリ階層より上のファイルを開くことができなくなります。
    これにより、もしWebサーバーがバッファーオーバフロー攻撃などで悪意あるユーザに攻撃され制御をのっとられたとしても、その攻撃者は chroot指定されたディレクトリ以外にはアクセスできず機密性の高いファイルを参照したりシステムコマンドを実行できないため、被害を最低限に食い止めることができます。
    HP-UX Apache-based Web Serverを chrootするには以下の方法を実行します。

    rootユーザで /opt/sec_mgmt/bastille/bin/bastilleコマンドを実行し、以下の設問に Yesと答え、設定をシステムに反映させる。
    Q: Would you like to chroot your Apache Server?
以下は、この章で紹介されたセキュリティに関する設定項目と、Install Time Securityで自動設定される項目について一覧表にまとめたものです。

セキュリティ項目

Install Time Securityでの設定項目

bastilleによる設定

Sec10HOST

Sec20MngDMZ

Sec30DMZ

サービスの停止(telnet、ftp) -
サービスの停止(finger、tftp、rsh、rexec)
ポートの制御のためのIPFilter設定 -
不必要なシェルやインタープリターの削除 - - - ×
攻撃者に利用されやすいコマンドの削除 - - - ×
ファイルパーミッション - umaskの設定
パスワードポリシーの設定 - - -
shadowパスワード機能の適用
HP-UX Apache-based Web Serverのchroot - - -
Security Patch Checkerの自動実行設定(セキュリティを保つサーバー管理参照)
  前のページへ 次のページへ

お問い合わせ

ご購入前のお問い合わせ


ご購入後のお問い合わせ

オンラインサポート
製品の標準保証でご利用いただける無償のサービスです。

ショールーム

ショールーム 導入をご検討のお客様へ
業務アプリケーションの継続・標準化・開発性とシステム担当者様、システム開発者様が抱える悩み・疑問に対する解決策実体験して頂けます。
印刷用画面へ
プライバシー ご利用条件・免責事項 ウェブマスターに連絡