これまでの章にある情報を全部読んだら、「自分のシステムを強化するにはとても 多くのことをしなければならない、これを自動化できないか?」と思うかもしれません。 この質問への答えははいですが、自動化された道具には注意してください。 強化ツールを使ってもよい管理への必要性はなくならないと信じる人もいます。 この過程をすべて自動化して関連する問題をすべて修正できるとは考えないで ください。セキュリティは管理者も遠くにいて道具にすべての仕事をさせるわけには いかず、参加しなければならない進行中の過程です。なぜならどの道具もすべての 考えられるセキュリティポリシーの導入やすべての攻撃そしてすべての環境に対応する ことはできないからです。
woody (Debian 3.0) 以降にはセキュリティ強化に役立つ特定のパッケージが 2 個
あります。harden
はパッケージの依存にもとづいてすばやく
セキュリティ関連の価値あるパッケージをインストールし欠陥のあるパッケージを
削除する方法をとります。パッケージの設定は管理者が行わなければなりません。
bastille
は管理者の以前の設定にもとづいてローカルシステムの
セキュリティポリシーを導入します (設定を構築することは簡単な yes/no の
質問にそって行うこともできます)。
harden
パッケージはよいセキュリティを必要とするホストの
インストールや管理をより簡単にしようとします。このパッケージはシステムの
セキュリティを高めるのにすばやい助けがほしい人に用いられるべきです。これを
行うためにこのパッケージは既知の欠陥があるパッケージと対立します。欠陥には
(これだけではありませんが) 以下が含まれます: 既知のセキュリティ関連のバグ
(バッファオーバーフローなど)、平文パスワードの使用、アクセス制御の
欠如などです。またこのパッケージはセキュリティを何らかの方法で高める道具を
自動的にインストールします: 侵入検知ツール、セキュリティ解析ツールなどです。
Harden は以下の仮想パッケージ (つまり、中身がなくて、他の
パッケージへの依存関係だけのもの) をインストールします:
harden-tools
: システムのセキュリティを高める 道具
(完全性チェッカー、侵入検知、カーネルパッチ...)
harden-doc
: このマニュアルおよびその他の
セキュリティ関連の文書パッケージを提供します。
harden-environment
: 強化された環境を設定するのを 助けます
(現時点では空です)。
harden-servers
: 何らかの理由で危険と考えられて
いるサーバを削除します。
harden-clients
: 何らかの理由で危険と考えられて
いるクライアントを削除します。
harden-remoteflaws
: リモートの攻撃者によって
システムを攻撃するのに利用され得る既知のセキュリティホールのあるパッケージを
削除します (バージョンつきの Conflicts: を使っています)。
harden-localflaws
: ローカルの攻撃者によって
システムを攻撃するのに利用され得る既知のセキュリティホールのあるパッケージを
削除します (バージョンつきの Conflicts: を使っています)。
harden-remoteaudit
: リモートからシステムを監査する 道具。
必要なソフトウェアがあって (そして何らかの理由でアンインストールしたくは
なくて)、それが上記のパッケージのどれかと対立していたら、 harden
を完全に利用することはできないので注意してください。 harden パッケージは
(直接には) 何もしません。しかし harden パッケージは
既知の安全でないパッケージと意図的に対立します。このようにすると、Debian の
パッケージシステムはこれらのパッケージをインストールすることを承認しなく
なります。たとえば、telnet デーモンを harden-servers
と
ともにインストールしようとすると、apt はこう言うでしょう:
# apt-get install telnetd The following packages will be REMOVED: harden-servers The following NEW packages will be installed: telnetd Do you want to continue (Y/n)
これは管理者の頭の中で警告を目立たせるはずですし、管理者は自分の行動を 考えなおすでしょう。
Bastille Linux
はもともと RedHat や Mandrake Linux
ディストリビューション向けの自動強化ツールです。 しかし、Debian で (woody 以降)
提供される bastille
パッケージは同じ機能を Debian GNU/Linux
システムで提供するためにパッチが 当てられています。
Bastille はいくつかのフロントエンドから使うことができます (Debian パッケージではどれも独自のマニュアルページで文書化されています)。これは 管理者が以下のことをするのを可能にします:
InteractiveBastille(8)
を使って)
BastilleChooser(8)
を使って)
AutomatedBastille(8)
を使って)
Debian セキュリティマニュアル
v2.4 Tue, 30 Apr 2002 15:41:13 +0200 (翻訳: Thu, 6 Jun 2002)jfs@computer.org
oohara@libra.interq.or.jp