Linux セキュリティの初歩として不必要なサービスを停止させておくというのはもはや鉄則です。上位にファイアーウォールやルータがあるからといって安心しきってばかりもいられません。内部のサーバーに侵入され、乗っ取られれば踏み台として悪用される危険性だってあります。また、不要なサービスを停止させておくことでサーバーのリソースを無駄に消費することなく、他のサービスに有効に活用することができます。その他、サーバーの再起動も劇的に早くなります。不要なサービスを停止させることは得をすることがあっても、損をすることは決してないので各サービスの役割をきちんと理解した上で不要なサービスは極力停止させておくようにしましょう。なお、ここで紹介したものがサービスの全てではなく、Linuxインストール時にどのパッケージをインストールしたかによってもデフォルトで起動するサービスの種類も変わってきます。あくまで参考程度にとどめてください。

■不要なサービスポートの確認

　nmapを使用して現在立ち上がっているサービスポートを確認し、その中で不必要と思われるサービスは停止させておきます。　まず、OpenSSHサーバーを立ち上げているならば、telnet、rlogin、rcp、rsh、ftp に関してはOpenSSH で代用ができるので停止させてしまいましょう。111番ポートのsunrpc は、NFSの基礎として使用されており、外部ネットワークに対して開かれていると非常に危険で侵入される可能性も高くなるので停止させておきましょう。sunrpcを停止させるには、portmap を停止させます（chkconfig --level 345 portmap off ）。

# nmap localhost Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Interesting ports on ns1.kororo.jp (127.0.0.1): (The 1589 ports scanned but not shown below are in state: closed) Port State Service 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 25/tcp open smtp 53/tcp open domain 110/tcp open pop-3 111/tcp open sunrpc 953/tcp open rndc 3128/tcp open squid-http 3306/tcp open mysql 5432/tcp open postgres 8080/tcp open http-proxy

■必要なサービス

　まず、サービスを起動しておいた方が望ましいサービスについて以下に列挙します。

network	TCP/IPネットワーク
xinetd	スーパーサーバー
random	乱数発生。SSLをサポートする場合に必要となる
syslog	システムのログを管理する
crond	定期的なジョブを実行する
anacron	cronの機能をサポートする
keytable	キーマップをロードする
kudzu	システム起動時に新しいハードウェアを検出する
iptables	ネットワークセキュリティツール
rawdevices	「Raw」デバイスのサポート

■不要なサービス（必要に応じて起動させる）

　基本的には必要がないと思われるサービスを列挙します。各自の環境によって必要と思われるものは随時、起動させるようにしてください。

netfs	/etc/fstabに記述してあるNFS、SMB、NCPなどのネットワークファイルシステムをマウントする # chkconfig --level 345 netfs off
apmd	電源管理を行うAPMデーモン # chkconfig --level 2345 apmd off
atd	atコマンドにより、時間を指定してプログラムを実行する # chkconfig --level 345 atd off
gpm	コンソールでのマウスエミュレータ # chkconfig --level 2345 gpm off
autofs	自動でマウントするデーモン # chkconfig --level 2345 autofs off
irda	IrDA赤外線通信デバイスの制御サービス（デフォルトoff）
isdn	ISDN用接続スクリプトサービス。ISDNを使用しているのでなければ停止する。 # chkconfig --level 2345 isdn off
portmap	リモートプロシージャコールのポートを管理（NFSサーバーで利用） # chkconfig --level 345 portmap off
nfs	ファイル共有を行うNFS（Network File System）サーバー（デフォルトoff）
nfslock	NFSでファイルのロックを行う # chkconfig --level 345 nfslock off
sendmail	電子メールサーバー。他メールサーバーを使用しているならば停止させる。 # chkconfig --level 2345 sendmail off
rhnsd	RedHatに接続し、アップデートがないか定期的にチェックする # chkconfig --level 345 rhnsd off
xfs	XFree86用のフォントサーバー。X-Windowを使用していなければ不要。 # chkconfig --level 2345 xfs off
canna	カナ漢字変換 # chkconfig --level 2345 canna off
FreeWnn	カナ漢字変換 # chkconfig --level 2345 FreeWnn off
lpd	ラインプリンタデーモン。プリントサーバーでないのなら不必要。

■xinetd ベースのサービス

　xinetd を介して起動されるサービスで不要と思われるものは停止しておきましょう。特にtelnet は外部に対してサービスを稼動させるのは厳禁です。

chargen-udp	デバックなどで利用するキャラクタージェネレーター[ UDP ]（デフォルトoff）
rsync	ファイルの同期を行う（デフォルトoff）
chargen	デバックなどで利用するキャラクタージェネレーター[ TCP ]（デフォルトoff）
daytime-udp	日時を通知する[ UDP ]（デフォルトoff）
daytime	日時を通知する[ TCP ]（デフォルトoff）
echo-udp	pingコマンドへの応答[ UDP ]（デフォルトoff）
echo	pingコマンドへの応答[ TCP ]（デフォルトoff）
time-udp	timeプロトコル[ UDP ]（デフォルトoff）
time	timeプロトコル[ TCP ]（デフォルトoff）
dbskkd-cdb	RedHatに接続し、アップデートがないか定期的にチェックする
sgi_fam	ファイルやディレクトリの変更を知らせるサービス。使用していないのであれば停止させておく。デフォルトではon # chkconfig sgi_fam off
telnet	Telnetサービス。停止した方が望ましい。（デフォルトoff）

■待機しているポートの確認

　netstatコマンドを使って待機しているポートを確認しておくことで不必要なサービスが稼動していないか調べることができます。もし、不必要なサービスが稼動していれば必要に応じて停止させておきましょう。

# netstat -an | more Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 127.0.0.1:10024 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:10025 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN tcp 0 0 172.16.50.2:53 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:5432 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN

TOPに戻る