Jump to content 日本-日本語

製品  >  ソフトウェア  >  HP-UX   >  Knowledge-on-Demand

HP Apache-based Web Server セキュリティ強化

HP-UX/Integrityサーバー お問い合せ
コンテンツに進む

セキュリティを保つサーバー管理


HP Apache-based Web Server セキュリティ強化
はじめに
セキュリティ強化
Webサーバーの設定
サーバー管理
付録:セキュリティ機能

システムの管理


  • 常に最新のセキュリティ情報に目を通します。
    Webサーバーだけでなく 稼動しているすべてのプロダクトに関するセキュリティ情報について注意しておきます。

  • パッチが提供された場合は、早急に適用します。
    定期的にベンダーからの情報をチェックし、最新のパッチを適用します。

  • 不測の事態に備え、リカバリーテープを作成しておきます。

  • Security Patch Checkを実行し、セキュリティ・パッチの適用もれがないことを確認します。

  • IPFilterなど セキュリティを強化する HP-UXのプロダクトを適用します。

    ※ Install Time Security(HP-UX 11i v2のみ) および ホスト要塞化ツール bastilleで IPFilterの設定や、Security Patch Checkの自動実行などの設定が行えます。

Webサーバーの管理


リモートでのサーバー管理は、セキュリティの確保された手段で行います。

  • リモートでの管理コマンドの実行は SSHを使用する。

  • GUIで管理を行う場合は、Webmin SSLモードなどセキュリティの確保されたGUIを使用する。

  • 管理者権限を付与する場合は、必要最低限なタスクに限定する。

  • インターネット Webサーバーとイントラネットサーバーの間のNFSファイル転送は使用せず、sftpなどを使用する。

システムの監視


  • "rm"や "login"などのコマンドが実行されていないか監視する。またCGIなどを許可していない場合には "perl"、"/bin/sh"などのコマンドも監視する。

  • RPCサービスの監視には、"rpcinfo"コマンドを使用する。

  • 定期的にシステムログを監視する。

  • インターネット Webサーバーとイントラネットサーバーの間のNFSファイル転送は使用せず、sftpなどを使用する。

    • 見知らぬドメイン/IPアドレスからの多数のアクセス
    • 不完全なログの記録
    • 不自然なタイムスタンプのログ
  • setUIDまたはsetGIDされたシェルスクリプトのモニター

    以下のコマンドで setUIDまたはsetGIDされたファイルのリストが可能です。定期的に確認して不自然なファイルが存在しないか確認します。
    # find / -type f -perm -4000 -o -perm -2000

    数が多い場合には該当するファイルの数を確認するのも良いでしょう。
    # find / -type f -perm -4000 -o -perm -2000 | wc -l

    ユーザのために書き込み許可としているファイル・システムに対しては /etc/fstab中で nosuidオプションを指定します。

  • "tail"や "last"、"lastcomm"、"netstat"などのコマンドを使い、定期的に侵入の試みを探査します。

    システムファイルや分散ソフトウェアの設定の不自然な変更

    数多く繰り返されたLoginの試み

    システムパフォーマンスの低下

    バックグラウンドで実行されている見慣れないプロセス

    ファイル・パーミッションや ファイル名、ファイルサイズなどの変更

    通常起こらないエラーメッセージ

Webサーバーの監視


  • シンボリック・リンク

    以下のようなコマンドを利用して、Rootディレクトリや、Document Rootディレクトリ、あるいはプログラムの実行可能なディレクトリにシンボリックリンクが張られてないことを確認します。
    # find /opt/hpws/apache/htdocs -type l

  • ユーザ・ディレクトリの検査

    • CGIや SSIスクリプトの潜在的 脆弱性
    • 重要なシステム情報などが反映されたファイル
    • シンボリック・リンク
  • 各設定ファイル(httpd.conf、ldap.conf、ssl.conf)が改ざんされていない事を定期的に確認します。

    以下は、Webサーバー・ログファイルの検知例です

    アクセス不可クライアントからの接続要求エラーの検知例)

    # grep "client denied" error_log | tail -n 10
    [Thu Jul 11 17:18:39 2002] [error] [client foo.bar.com] client denied by server configuration:/apache/.htpasswd

    認証エラー時のログの例)

    [Wed Jul 16 12:54:19 2003] [error] [client foo.bar.com] user admin: authentication failure
    for "/mycgi.exe": Password Mismatch
    [Wed Jul 16 12:55:03 2003] [error] [client foo.bar.com] user foo not found: /mycgi.exe

最初のページへ 前のページへ 次のページへ

お問い合わせ

ご購入前のお問い合わせ


ご購入後のお問い合わせ

オンラインサポート
製品の標準保証でご利用いただける無償のサービスです。

ショールーム

ショールーム 導入をご検討のお客様へ
業務アプリケーションの継続・標準化・開発性とシステム担当者様、システム開発者様が抱える悩み・疑問に対する解決策実体験して頂けます。
印刷用画面へ
プライバシー ご利用条件・免責事項