第4回オープンソース茶話会「オープンソース・セキュリティ」
@神戸電子専門学校
08/28/2003 16:00〜18:00
0.「はじめに」
- 本茶話会の趣旨
- 専門学校の部会
- サーバ(とくにエンタープライズサーバ)としてLinuxが注目されている
- (とくに兵庫県南部の)システムハウスが今後の動向にどう対応していくか?
- 政府の動き
- 経済産業省の動き(ITスキルスタンダード)
- 総務省の動き(「OSSの現状と今後の課題」)
1.「オープンソース・セキュリティ」
神戸電子専門学校 教育第一部 赤松徹先生
vsftpd
- 新入生用のサーバにRH9を入れようとして気がついた(以前はwuftpdだったのに)
- Stadaloneやxinetdで起動
- 特徴
- セキュリティが高い(chroot)
- パフォーマンスがよい
- 安定している
ftpdのセキュリティ問題
- あまり安全ではない
- 2つ以上のポートを利用
- 簡単なスクリプトでアタック可能
- 実習室から使えるが、職員室からは使えないようにしている
- Passiveモードの危険性
- サーバが空けているポートがわかってしまう(通信内容から計算)
- iptablesがあっても運用上セキュリティ問題が発生
ftpdのセキュリティを高める
- ソースに手を加えてセキュリティを高める
- 同時にログを取ったりファイルをコピーしておくと良い
- セキュリティ甲子園対策のためだった
- バナーの変更
- .historyログを取る
- anonymous ftpを限定する
- iptablesでSYN攻撃への対応
- 2回以上のSYNアクセスは破棄してしまう
- ダイナミックフィルタリング
vsftpdのセキュリティを高める
- anonymous ftpの利用制限
- ファイルアクセスの制限
- chrootの活用
- ただし設定が紛らわしい(tunable_chroot_list_enableの動作)
- PAMの活用
- ファイルの上書きを制御
- 上書きしようとしてもファイル名を変更してしまう
- ファイルの上書きをメールで確認(anonymous ftp)
そのほかのセキュリティ対策
- バッチ処理させる(暗号化や署名で本人確認)
- 昼間:音やランプを使って監視
- 夜間:ログや緊急時にはメール
- デジタル証明書を利用(authやstartTLS)
2.「フリートーク」
Q&A
- 今後ftpはなくなりますか?
- Apacheにかわるでしょう(Port80で十分)。
- LinuxとBSDについてどうかんがえてますか?
- 昔はBSD。でもシリアルマウスしかだめだったのでLinuxに。
- 今後のファイル転送プロトコルはどうなるか?
- tftpもつかえる(基本はとめるが、各種設定ファイルを送れるし)。
- でも、やっぱりhttpになるだろう。
- 最初に教える言語にはなにがよいか?(Pascalを教えているが)
- 昔Pascalのコンパイラを作った
- 今はC言語だが、そのポインタを教えるために、アセンブラ(CASL)を教えている
- じゃあオブジェクト指向は?
- DoS攻撃の対策とiptablesでの対策。
- もちろんiptablesでパケットフィルタリング。
- でもプロキシのほうがセキュリティが高いでしょう。
- 定期的にログを見ておくとよい。あと、カーネルにも手を加えておくとさらに良い。
補足
- この茶話会の背景
- OSSへの理解を深める
- 中国はLinux技術者をどんどん生み出そうとしている
- LinuxかBSDか
- 世間一般での商用利用ではLinux
- したがって、学校でもLinuxが中心
- OSSの方向性
- LAPPかLAMPか(この茶話会ではLAMP)
- ディストリビューションの行方(RedHatのような体制が残るか)