*第4回オープンソース茶話会「オープンソース・セキュリティ」 @神戸電子専門学校 08/28/2003 16:00〜18:00 #contents ---- *0.「はじめに」 -本茶話会の趣旨 --専門学校の部会 ---WindowsかLinuxかどちらかの踏み絵 --サーバ(とくにエンタープライズサーバ)としてLinuxが注目されている~ ---(とくに兵庫県南部の)システムハウスが今後の動向にどう対応していくか? -政府の動き --経済産業省の動き(ITスキルスタンダード) --総務省の動き(「OSSの現状と今後の課題」) *1.「オープンソース・セキュリティ」 神戸電子専門学校 教育第一部 赤松徹先生 **vsftpd -新入生用のサーバにRH9を入れようとして気がついた(以前はwuftpdだったのに) -Stadaloneやxinetdで起動 -特徴 --セキュリティが高い(chroot) --パフォーマンスがよい --安定している **ftpdのセキュリティ問題 -あまり安全ではない --2つ以上のポートを利用 --簡単なスクリプトでアタック可能 --実習室から使えるが、職員室からは使えないようにしている -Passiveモードの危険性 --サーバが空けているポートがわかってしまう(通信内容から計算) --iptablesがあっても運用上セキュリティ問題が発生 **ftpdのセキュリティを高める -ソースに手を加えてセキュリティを高める --同時にログを取ったりファイルをコピーしておくと良い --セキュリティ甲子園対策のためだった -バナーの変更 --ハニーポットlikeなのを仕掛けて情報収集 -.historyログを取る -anonymous ftpを限定する ---じゃあhoge@kobedenshi.ac.jpならいいの?(もちろんIP詐称はいるが) -iptablesでSYN攻撃への対応 --2回以上のSYNアクセスは破棄してしまう --ダイナミックフィルタリング **vsftpdのセキュリティを高める -anonymous ftpの利用制限 -ファイルアクセスの制限 -chrootの活用 --ただし設定が紛らわしい(tunable_chroot_list_enableの動作) -PAMの活用 -ファイルの上書きを制御 --上書きしようとしてもファイル名を変更してしまう --ファイルの上書きをメールで確認(anonymous ftp) **そのほかのセキュリティ対策 -バッチ処理させる(暗号化や署名で本人確認) -昼間:音やランプを使って監視 -夜間:ログや緊急時にはメール -デジタル証明書を利用(authやstartTLS) *2.「フリートーク」 **Q&A -今後ftpはなくなりますか? --Apacheにかわるでしょう(Port80で十分)。 -LinuxとBSDについてどうかんがえてますか? --昔はBSD。でもシリアルマウスしかだめだったのでLinuxに。 -今後のファイル転送プロトコルはどうなるか? --tftpもつかえる(基本はとめるが、各種設定ファイルを送れるし)。 --でも、やっぱりhttpになるだろう。 -最初に教える言語にはなにがよいか?(Pascalを教えているが) --昔Pascalのコンパイラを作った --今はC言語だが、そのポインタを教えるために、アセンブラ(CASL)を教えている -じゃあオブジェクト指向は? --OOは知らない(勉強する時間がない)。 -DoS攻撃の対策とiptablesでの対策。 --もちろんiptablesでパケットフィルタリング。 --でもプロキシのほうがセキュリティが高いでしょう。 --定期的にログを見ておくとよい。あと、カーネルにも手を加えておくとさらに良い。 **補足 -この茶話会の背景 --OSSへの理解を深める --中国はLinux技術者をどんどん生み出そうとしている -LinuxかBSDか --世間一般での商用利用ではLinux --したがって、学校でもLinuxが中心 -OSSの方向性 --LAPPかLAMPか(この茶話会ではLAMP) --ディストリビューションの行方(RedHatのような体制が残るか) |