Home Update クッキー及びWeb ビーコンについて



アカウントの管理

不要なサービスを停止させる

 Linux セキュリティの初歩として不必要なサービスを停止させておくというのはもはや鉄則です。上位にファイアーウォールやルータがあるからといって安心しきってばかりもいられません。内部のサーバーに侵入され、乗っ取られれば踏み台として悪用される危険性だってあります。また、不要なサービスを停止させておくことでサーバーのリソースを無駄に消費することなく、他のサービスに有効に活用することができます。その他、サーバーの再起動も劇的に早くなります。不要なサービスを停止させることは得をすることがあっても、損をすることは決してないので各サービスの役割をきちんと理解した上で不要なサービスは極力停止させておくようにしましょう。なお、ここで紹介したものがサービスの全てではなく、Linuxインストール時にどのパッケージをインストールしたかによってもデフォルトで起動するサービスの種類も変わってきます。あくまで参考程度にとどめてください。




■不要なサービスポートの確認

 nmapを使用して現在立ち上がっているサービスポートを確認し、その中で不必要と思われるサービスは停止させておきます。 まず、OpenSSHサーバーを立ち上げているならば、telnet、rlogin、rcp、rsh、ftp に関してはOpenSSH で代用ができるので停止させてしまいましょう。111番ポートのsunrpc は、NFSの基礎として使用されており、外部ネットワークに対して開かれていると非常に危険で侵入される可能性も高くなるので停止させておきましょう。sunrpcを停止させるには、portmap を停止させます(chkconfig --level 345 portmap off )。



# nmap localhost

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on ns1.kororo.jp (127.0.0.1):
(The 1589 ports scanned but not shown below are in state: closed)
Port State Service
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
25/tcp open smtp
53/tcp open domain
110/tcp open pop-3
111/tcp open sunrpc
953/tcp open rndc
3128/tcp open squid-http
3306/tcp open mysql
5432/tcp open postgres
8080/tcp open http-proxy

■必要なサービス

 まず、サービスを起動しておいた方が望ましいサービスについて以下に列挙します。

 network TCP/IPネットワーク
 xinetd スーパーサーバー
 random 乱数発生。SSLをサポートする場合に必要となる
 syslog システムのログを管理する
 crond 定期的なジョブを実行する
 anacron cronの機能をサポートする
 keytable キーマップをロードする
 kudzu システム起動時に新しいハードウェアを検出する
 iptables ネットワークセキュリティツール
 rawdevices 「Raw」デバイスのサポート

■不要なサービス(必要に応じて起動させる)

 基本的には必要がないと思われるサービスを列挙します。各自の環境によって必要と思われるものは随時、起動させるようにしてください。

 netfs /etc/fstabに記述してあるNFS、SMB、NCPなどのネットワークファイルシステムをマウントする
# chkconfig --level 345 netfs off
 apmd 電源管理を行うAPMデーモン
# chkconfig --level 2345 apmd off
 atd atコマンドにより、時間を指定してプログラムを実行する
# chkconfig --level 345 atd off
 gpm コンソールでのマウスエミュレータ
# chkconfig --level 2345 gpm off
 autofs 自動でマウントするデーモン
# chkconfig --level 2345 autofs off
 irda IrDA赤外線通信デバイスの制御サービス(デフォルトoff)
 isdn ISDN用接続スクリプトサービス。ISDNを使用しているのでなければ停止する。
# chkconfig --level 2345 isdn off
 portmap リモートプロシージャコールのポートを管理(NFSサーバーで利用)
# chkconfig --level 345 portmap off
 nfs ファイル共有を行うNFS(Network File System)サーバー(デフォルトoff)
 nfslock NFSでファイルのロックを行う
# chkconfig --level 345 nfslock off
 sendmail 電子メールサーバー。他メールサーバーを使用しているならば停止させる。
# chkconfig --level 2345 sendmail off
 rhnsd RedHatに接続し、アップデートがないか定期的にチェックする
# chkconfig --level 345 rhnsd off
 xfs XFree86用のフォントサーバー。X-Windowを使用していなければ不要。
# chkconfig --level 2345 xfs off
 canna カナ漢字変換
# chkconfig --level 2345 canna off
 FreeWnn カナ漢字変換
# chkconfig --level 2345 FreeWnn off
 lpd
ラインプリンタデーモン。プリントサーバーでないのなら不必要。

■xinetd ベースのサービス

 xinetd を介して起動されるサービスで不要と思われるものは停止しておきましょう。特にtelnet は外部に対してサービスを稼動させるのは厳禁です。

 chargen-udp デバックなどで利用するキャラクタージェネレーター[ UDP ](デフォルトoff)
 rsync ファイルの同期を行う(デフォルトoff)
 chargen デバックなどで利用するキャラクタージェネレーター[ TCP ](デフォルトoff)
 daytime-udp 日時を通知する[ UDP ](デフォルトoff)
 daytime 日時を通知する[ TCP ](デフォルトoff)
 echo-udp pingコマンドへの応答[ UDP ](デフォルトoff)
 echo pingコマンドへの応答[ TCP ](デフォルトoff)
 time-udp timeプロトコル[ UDP ](デフォルトoff)
 time timeプロトコル[ TCP ](デフォルトoff)
 dbskkd-cdb RedHatに接続し、アップデートがないか定期的にチェックする
 sgi_fam ファイルやディレクトリの変更を知らせるサービス。使用していないのであれば停止させておく。デフォルトではon
# chkconfig sgi_fam off
 telnet Telnetサービス。停止した方が望ましい。(デフォルトoff)



■待機しているポートの確認

 netstatコマンドを使って待機しているポートを確認しておくことで不必要なサービスが稼動していないか調べることができます。もし、不必要なサービスが稼動していれば必要に応じて停止させておきましょう。

# netstat -an | more
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 127.0.0.1:10024         0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:10025         0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN
tcp        0      0 172.16.50.2:53          0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:5432            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:3128            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN







TOPに戻る

Sponcerd Link


Search
 
Web サイト内
Rental Server

【レンタルサーバのXbit】 低価格・高品質のビジネスクオリティー。300メガ1,050円〜30分で サービススタート可能!


容量300MB、月額125円、高性能なサーバが日本最大級のバックボーンに直結。
さくらのレンタルサーバ



当サイトはLinux自宅サーバーの構築を目的としたサイトです。
当サイトに関するご意見、ご要望等は、こちらのメールアドレスよりお願いします。
Beginning | Introduction | Installation | Server |
Security | Tips | Guest Book | Related-Sites
Copyright©2003-2006 KORO All Rights Reserved.
総計:
今日:
昨日: