KAWANO's PukiWiki Plus! - sawakai_vsftpd の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• sawakai_vsftpd へ行く。

*第４回オープンソース茶話会「オープンソース・セキュリティ」
＠神戸電子専門学校
08/28/2003 16:00〜18:00

#contents

----

*0.「はじめに」
-本茶話会の趣旨
--専門学校の部会
---WindowsかLinuxかどちらかの踏み絵
--サーバ（とくにエンタープライズサーバ）としてLinuxが注目されている~
---（とくに兵庫県南部の）システムハウスが今後の動向にどう対応していくか？
-政府の動き
--経済産業省の動き（ITスキルスタンダード）
--総務省の動き（「OSSの現状と今後の課題」）

*1.「オープンソース・セキュリティ」
　　神戸電子専門学校　教育第一部　赤松徹先生
**vsftpd
-新入生用のサーバにRH9を入れようとして気がついた（以前はwuftpdだったのに）
-Stadaloneやxinetdで起動
-特徴
--セキュリティが高い（chroot）
--パフォーマンスがよい
--安定している

**ftpdのセキュリティ問題
-あまり安全ではない
--2つ以上のポートを利用
--簡単なスクリプトでアタック可能
--実習室から使えるが、職員室からは使えないようにしている
-Passiveモードの危険性
--サーバが空けているポートがわかってしまう（通信内容から計算）
--iptablesがあっても運用上セキュリティ問題が発生

**ftpdのセキュリティを高める
-ソースに手を加えてセキュリティを高める
--同時にログを取ったりファイルをコピーしておくと良い
--セキュリティ甲子園対策のためだった
-バナーの変更
--ハニーポットlikeなのを仕掛けて情報収集
-.historyログを取る
-anonymous ftpを限定する
---じゃあhoge@kobedenshi.ac.jpならいいの？（もちろんIP詐称はいるが）
-iptablesでSYN攻撃への対応
--２回以上のSYNアクセスは破棄してしまう
--ダイナミックフィルタリング

**vsftpdのセキュリティを高める
-anonymous ftpの利用制限
-ファイルアクセスの制限
-chrootの活用
--ただし設定が紛らわしい（tunable_chroot_list_enableの動作）
-PAMの活用
-ファイルの上書きを制御
--上書きしようとしてもファイル名を変更してしまう
--ファイルの上書きをメールで確認（anonymous ftp）

**そのほかのセキュリティ対策
-バッチ処理させる（暗号化や署名で本人確認）
-昼間：音やランプを使って監視
-夜間：ログや緊急時にはメール
-デジタル証明書を利用（authやstartTLS）

*2.「フリートーク」
**Q&A
-今後ftpはなくなりますか？
--Apacheにかわるでしょう（Port80で十分）。
-LinuxとBSDについてどうかんがえてますか？
--昔はBSD。でもシリアルマウスしかだめだったのでLinuxに。
-今後のファイル転送プロトコルはどうなるか？
--tftpもつかえる（基本はとめるが、各種設定ファイルを送れるし）。
--でも、やっぱりhttpになるだろう。
-最初に教える言語にはなにがよいか？（Pascalを教えているが）
--昔Pascalのコンパイラを作った
--今はC言語だが、そのポインタを教えるために、アセンブラ（CASL）を教えている
-じゃあオブジェクト指向は？
--OOは知らない（勉強する時間がない）。
-DoS攻撃の対策とiptablesでの対策。
--もちろんiptablesでパケットフィルタリング。
--でもプロキシのほうがセキュリティが高いでしょう。
--定期的にログを見ておくとよい。あと、カーネルにも手を加えておくとさらに良い。

**補足
-この茶話会の背景
--OSSへの理解を深める
--中国はLinux技術者をどんどん生み出そうとしている
-LinuxかBSDか
--世間一般での商用利用ではLinux
--したがって、学校でもLinuxが中心
-OSSの方向性
--LAPPかLAMPか（この茶話会ではLAMP）
--ディストリビューションの行方（RedHatのような体制が残るか）