資料 1 - 東京大学情報基盤センター

Download Report

Transcript 資料 1 - 東京大学情報基盤センター 

安全なサーバー
Linuxの場合
平成12年度東京大学技術職員研修
11月29日14:00-17:00@図書館
情報基盤センター 安東孝二
<[email protected]>
東京大学のネットワーク事情
• 主にUTnet(情報基盤センター)が運用
– 事務系、病院系は今日は考えない
• 支線は独自に管理
– 管理する体制が準備されているところもされて
ないところも
– さまざまなセキュリティポリシーとsectionalism
– firewallの導入は難しい
• 工学部のように研究室ごとのNAT環境への移行
が進んでいるところも
東京大学のセキュリティ事情
(1)
• 情報基盤センターのネットワークセキュリ
ティ掛を中心に啓蒙
PortScan
各種アタックは日常茶飯事
潜在的な踏み台は多い?
← http://www.nc.u-tokyo.ac.jp/security/index.html
東京大学のセキュリティ事情
(2)
• 部局ごとのレベルのばらつき
• コンピュータ and/or ネットワークセキュリ
ティへの理解不足
• 人材不足
– みんながユーザー、管理者は数少ない
– 管理者への負担
– そもそもマシン管理は本業ではない
• 人材不足の悪循環
大学における過去の被害例
学内で求められるセキュリティ
• 最低限のセキュリティレベルを維持する
– 自分の知らない人に使われないこと
• Open Relay Block
• アタックの踏み台
• etc.
– 自分の知らない人に使われないための努力
– 知ってる人にもちゃんと使ってもらう努力
安全なサーバー
• 何のためのサーバーなのか?
– 必要のないサービスはしない
• 誰のためのサービスなのか?
– 必要な人だけにサービス
• 最低限のセキュリティレベルは確保
Windows vs UNIX
• さまざまな点を考慮して、適材適所!
–
–
–
–
Single User vs Multi User
Desktop vs Server
エンドユーザー向け vs 管理者向け
Commercial Product vs OpenSource
• UNIXベースの方がInternetになじむ
Linuxの特徴
• OpenSourceでUNIX likeなOSである
• 多くの場合GUIが用意され、エンドユー
ザーにやさしく見える
• Desktopも充実
• 日本語環境も充実してきた
• 初心者にやさしくするあまりセキュリティに
落とし穴も
Linuxの位置付け
(きわめて個人的)
学内での安全なLinuxサーバー
の運用
•
•
•
•
•
distributionの選択
パッケージの管理
サービスの管理
アクセス制限
暗号化
distributionの選択
• Desktopは必要か?
– 便利そうなツールほど穴になる
• セキュリティと便利さは反比例
• 日本語は必要なのか?
– 日本語ならではの穴
• サーバー用として売っているLinuxはそれ
でいいのか?
パッケージの管理
• Redhat系、Debian系、etc. 流儀が違う
– ソースから作らないなら、パッケージ管理のプ
ロになれ!
• キーとなるサービスはやはりソースから押
さえることをお勧め
サービスの管理
• インストール後は/usr/sbin/setupをすぐに
チェック
• いらないサービスを放置するのは犯罪に
等しい
– cf. DoS attack
サービス管理のために
アクセス制限
• tcpwrapper
• xinetd
• ipchains,etc パケットフィルタリング
暗号化
• ssh
• SSL
– telnet -ssl
– imap-ssl
– pop-ssl
• (ちょっとちがうけど)OTPも有効
• PGP/S-MIME
Linux 情報のキャッチアップ
– Linuxはユーザーが多いので、security holeも
たくさん見つかる。
– Linuxはユーザーが多いので、security patchも
すぐに出てくる。
OpenSourceのよいところ?
有効なリソース(1)
• 各distributionのWEBサイト・メイリングリス
ト
• Apache/Samba/sendmail,etc各サービスア
プリケーションのWEBサイト・メイリングリ
スト
• CERTなど
– JP CERTに多少の日本語リソース
有効なリソース(2)
• アングラ系も重要
– BugTraq
• BugTraq JPには(株)ラックからの日本語訳サマ
リーも流れます
– http://www.insecure.org
– http://www.slashdot.org
どきどきしながら運用する
• でも、それってみんながすること?
• 外注してもいいんじゃない?
情報基盤センターで受けられる
サービス
• セキュリティ掛でのサービス
– ネットワークセキュリティ診断
– ワクチンソフトの配布
• ECCS掛でのサービス
– WEBサーバーのレンタル
• http://park.itc.u-tokyo.ac.jp/
– メールサービスの請負(予定)
紙にかけない話
• 撮影禁止、オフレコで