|
技術的なもの以前の心構えとかについて書いてみます。これで全てではありませんが、気づいたら追加する予定。
■ 他人の言うことは鵜呑みにしない ■ いきなり性格悪いですが、つまり、自分でもしっかり調べて確認とりましょ、ということ。このサイトの内容についてももちろんです。そもそも私なんぞの書いたこと信じるのもどうかと(笑)。 デマメールなんかその良い例ですし、わざと嘘を書いている悪意のあるサイトも無いとはいえません(ある)。 自分の判断に責任を持てるようになるのは管理者にとって基本でしょう(かっこつけすぎ(^^;)。 ■ 情報漏洩に気を配る ■ これには大きく分けて2つあります。 ※管理ポリシーの問題 まったくよくあるのは Web鯖 の設定ミスで、ディレクトリ内のファイルインデックスが表示され、隠してるつもりのファイルまでまる見え、というやつ。私は Apache しか細かいことまではわかりませんが、あまりにショボい設定ミスです(わざとなら知らんが)。最近このミスで顧客情報漏洩つーのが続けて新聞記事になりました。ま、設定ミスというより、システム設計がアホ過ぎたのですな。Web鯖 の手の届く範囲に重要なファイルを置いとくなんてのは論外なわけ。 あと、インデックスが表示されないように設定していたとしても、「ありがちな」ファイル名で重要なファイルを置いとくのはダメ。test とか work なんてのは当然として、とにかく全然ダメ。簡単に見つかるし、リンクがついてれば逆検索もできるし(うちのリンク集にあるよ)。手法は選択に困るほど多いです。 企業さんなんかの場合でレンタルサーバーなんかを利用している場合もあるでしょう。レンタルサーバーはセキュリティ的に結構ヤバいとこが多いですぜ。て、いうか使い勝手とのトレードオフでそうなっているのです。サーバーの管理はよくわからないから.....という理由でレンタル、というパターンが一番ヤバいのです。まあ、細かくは書きませんが。今どこのクライアントと商談中だとか、どういったとこが顧客なのかとか、事業計画とか、まる見えの場合があります。 レンタルサーバーでなくても、クライアントの名前のディレクトリを掘っている場合があります。一つ見つかったなら、同じ階層あたればいくらでも出てくることでしょう。これもいかんですなあ。でも非常に多い。 ま、すべて一般論です。私はクラッカーではないので、これ以上は書きません。 ナニモノも意味なく動かさない、というのも重要です。鯖は動かさなければその分だけ LAN の安全性は増すのは当たり前。で、テスト運用というのが一番良くない。設定が枯れてないので、最も危険な状態です。走らせるまでが重要なのです。 それから、鯖に限らず、「公開」にあたるものは全て避けるのが安全性を向上させます。このサイトのようなのは完全にご法度です。公開するなら、後で書きますが、「奥の手は見せない」というポリシーにおいて、ある一線を見切らねばなりません。平和な常時接続環境が欲しければおとなしくしてるのが一番なのです。私のようなのは単に好戦的なのです。 ※重箱のスミ ホームページというのは情報の宝庫です。いらないものまで発信します。たとえば、ハンドルネーム、管理者のスキル、ファイル名命名の癖、生年月日や出身地が書いてあることもあります。これだけあれば、スキルや意識の低いユーザーの場合、アカウントやパスワードが非常に特定しやすくなります。占い師が相手を納得させるために、外見からいろいろと言い当てますが、それに近いかそれ以上のことが可能です。パケット盗聴なんぞしなくても大量の情報が手に入るのです。このユーザーになりすまして FTP などの 鯖にログインするのは容易です。それだけならまだしも、そのアカウント、パスワードは XXXX銀行のインターネットバンキングでも有効かもしれません!パスワードは安易なものにせず、しかも頻繁に変えましょう、というのはだてに叫んでる訳じゃありません。また、上記の内容は鯖管理者がユーザーを管理するのにも重要です。 ログイン失敗を数回繰り返した場合、不正ログインと判断して何らかのアクションが起こるように設定する鯖が多いので、実際はそううまくいきません。身元を完全に隠さない限り(セキュリティが強固な鯖は多段串経由でもばれます)クラッカーはお縄になるでしょう。しかし、ひと工夫すればクラッカーの天国であるということです。 ホームページを持っていなくても、MLや掲示版に参加するだけでも同じことです。無駄に情報をバラまいていないか再点検してみましょう。あと、他でも書きましたが、「初心者管理者です」「設定が分かりません」なんて発言したら最後、あくる日にゃ、そこんちのポートは大賑わいですぜ! ■ 奥の手は明かさない ■ こんなサイトをやっていると、セキュリティ対策を公開しているようなもんで、クラッカーには何よりのご馳走になります。奥の手は絶対見せないようにしなくてはなりません。対策の一つとしての防火壁についてもパケットフィルタリングしてスニッファが監視している、くらいまでは書けますが、それ以上の仕掛けや設定については極秘。それらの設定を公開しているサイトもありますが、それをまんま使っていないにしても、癖は分かる。ウチではとてもできません、すまんのう。 実際は「奥の手」どころか、大したことなさそうなものでもよく考えてからの方がよいのです。なぜなら... ★もし仮に私が破壊活動をするなら 1 常時接続導入記関連のWEBサイトを検索し、リストアップ 2 スキルの低そうな管理者のサイトをさらにピックアップ 3 OS等のインストール記事があれば、どんなものが動いているかわかるので、狙いやすいものに絞る フツーなら、地道で根気のいる調査活動(ポートスキャンとか)の結果ここまでこれるかこれないか、といったところです。ここまでが大変なのですな。それがホームページのおかげでショートカットできるわけです。 こっから先は出回っている「よく知られた脆弱性」を突っつくだけです。 というわけで、やたらめったらインストール記や導入記を公開するのは問題ありなのです。リンク集もそう。ウチの「ケロりんく」でも「だまし」を入れてますし、出してないのもあります。 ま、なんだかんだ言っても私の場合、このサイトが自前の鯖内のものではないというのが最大のポイントですかね(笑)。あ、でもこのサイト全体をよく読めば私の持ってるドメインは簡単に特定できるね。ただし、私の公開 Web 鯖用途のは全く思いもよらないドメイン名だし、そこのサイトには Linux の「リ」の字もないし、カエルもいないし、このサイトと同じ管理者だってことまず分からんでしょう。 ■ 何もかも自動化しない ■ 数台のホストが稼働していると、その管理のほとんどは自動化せざるをえませんが、何もかも自動化するのも考えものです。例えば、ウイルスソフトの定義ファイルを定期的に更新なんてのは自動化したいところですが、こういうのはだいたい FTP や HTTP ダウンロードですな。こいつが改竄されてたら困ります。自動で持ってきて知らんうちにトロイの木馬が仕掛けられたなんてことが起こらないともいえないでしょう。メールとかダウンロードものは再点検ですな。多少手動の部分を残すのは気づきにくい落し穴が見えたりする場合があるので、好ましいと思います。 ■ 保守は計画的に ■ ログチェック、バグ、セキュリティ情報のチェック、ウイルススキャンなどは計画的に洩れの無いように行ないます。毎日のものは習慣化しますが、数日おき程度の頻度のものもありますから計画表を作成しておくとよいでしょう。モノによってはスクリプトで毎日チェックしておいて、数日おきに手動で確認、というのもよい方法。怪しげなファイルが存在していないかとか、おかしなユーザーが追加されてないか /etc/passwd をチェックするとか。 ■ ツールに溺れないように ■ セキュアな環境を構築しようとすると、ついたくさんのツールを使いがちです。しかし、それだけ保守が面倒になります。セキュリティツールがシステムに被害を与えてしまうようなことが無いとも言えません。自分が把握できる範囲で、よく吟味してから導入するべきです。 |