7.インターネット常時接続の恐怖!!!

「常時インターネットに接続する」事は「常時サーバ乗っ取りの恐怖にさらされる」と言う事ですので、

  1. サーバが乗っ取られないようにする
  2. 乗っ取られた場合には素早く検知できるようにする

事を心がけましょう。

1.の対処は

  1. 不要なデーモンは起動しない 
     xinetdの設定をdisable=yesにする(RedHat Linux8以降?とFedora Coreでは既定値です)
  2. ポートへのアクセス制限を実施する
     TCPwrapper, xinetd, iptables, ipchains等のアクセス制限機能の使用
  3. インストールしているパッケージを最新のものに保つ
     新バージョンのパッケージが出たらアップデートする(yumコマンドは便利です)
     これにより、ソフトウェアの脆弱性を少なく出来ます

2.の対処は

  1. ファイルの改竄検知プログラムを定期的に実行する (tripwire等)
  2. ログファイルを定期的にチェックする (logwatch等)
    この場合には多くのメッセージをログファイルに書き出すようにしている事が前提です

注意)
 Fedora Core 1ではtripwireは自動ではインストール設定されません
  CD-ROMにも収容されていませんので、RedHat9用のもの(tripwire-2.3.1-17.i386.rpm)を使用しました
  (特に問題なくインストールできました)

次へ