Debian セキュリティマニュアル
補遺 A - 段階ごとの強化過程

きまった手順はいつも役に立ちます。なぜならそれはシステム強化過程全体を わかるようにするとともにあなたが判断できるようにするからです。 Debian 2.2 GNU/Linux でのこのような手順として可能なもののひとつが 以下に示されています。これはインストール後の手順です。設定中に取るべき 手段についての段階ごとのチュックリストは設定チェックリスト, 補遺 B をごらんください。 さらに、この手順は (現時点では) ネットワークサービスの強化により向いている ものです。

• システムのインストールを行いましょう (パーティション分割についての この howto の情報を考慮してください)。base インストールが終わったら 手動でのインストールに進みましょう。task パッケージを選ばす、shadow パスワードを選びましょう。

• dselect を行い、[I]nstall の前に不要だが選択されている パッケージを削除しましょう。本当に最小限のソフトウェアだけをサーバに 残しましょう。

• セキュリティ上の更新を実行する, 第 4.6 節 ですでに説明されているように security.debian.org で 利用できる最新のパッケージすべてを更新しましょう。

• ユーザ quota、ログインの定義や lilo など、このマニュアルで示されて いる提案を導入しましょう。

• サービス強化のために、いまあなたのシステムで動いているサービスの リストを作りましょう。

       $ ps -aux
       $ netstat -pn -l -A inet 
       $ /usr/sbin/lsof -i | grep LISTEN
  

  3 番目のコマンドがうまくいくためには lsof-2.2 をインストール する必要があるでしょう (root として実行してください)。lsof は LISTEN という 単語をあなたのロケールの設定にあわせて翻訳するかもしれないことに注意する べきです。

• 不要なサービスを取りのぞくために、まずそれがどうやって起動されているか、 どのパッケージがそれを提供しているか調べてください。これはソケットに 応答しているプログラムを調べることによって簡単に行うことができます。 以下の例はこの道具と dpkg を使って調べます

       #!/bin/sh
       # FIXME: this is quick and dirty; replace with a more robust script snippet
       for i in `sudo lsof -i | grep LISTEN | cut -d " " -f 1 |sort -u` ; do
               pack=`dpkg -S $i |grep bin |cut -f 1 -d : | uniq`
               echo "Service $i is installed by $pack";
               init=`dpkg -L $pack |grep init.d/ `
               if [ ! -z "$init" ]; then
                        echo "and is run by $init"
               fi
       done
  

• 望まないサービスを見つけたら、そのパッケージを (dpkg --purge で) 削除するか、役には立つが起動時には有効に なるべきではないならば、それをシステムの起動から取りのぞくのに update-rc.d を使いましょう (デーモンサービスを停止する, 第 3.6.1 節 を ごらんください)。

• inetd のサービス (スーパーデーモンから起動されるもの) については 有効なサービスをすぐに調べることができます。たとえばこのようにして:

       $ grep -v "^#" /etc/inetd.conf | sort -u
  

  そして不要なものをその行をコメントアウトするなりパッケージを削除するなり update-inetd を使うなりして停止しましょう。

• ラップされたサービス (/usr/sbin/tcpd を使うもの) が あれば、/etc/hosts.allow と /etc/hosts.deny が あなたのサービスポリシーにしたがって設定されていることを確かめましょう。

• 可能であれば、サービスによっては、外部インターフェイスが複数あるとき そのうちひとつだけに応答するように制限したいかもしれません。たとえば、 内部で FTP アクセスがほしいならば FTP デーモンを自分の管理インターフェイス だけに応答するようにして、すべてのインターフェイス (すなわち、 0.0.0.0:21) には応答しないようにしましょう。

• マシンを再起動するか、シングルユーザに移行してこのようにして マルチユーザに戻りましょう。

       $ init 1
       (....)
       $ init 2
  

• サービスがいまでも利用可能か調べて、もし必要ならば、上記の手順を くりかえしましょう。

• そしてまだインストールしていないなら必要なサービスをインストールし、 適切に設定しましょう。

• 利用可能なサービスを動かすのにどのユーザが使われているか 調べましょう。たとえばこのようにして:

       $ for i in `/usr/sbin/lsof -i |grep LISTEN |cut -d " " -f 1 |sort -u`; do user=`ps -ef |grep $i |grep -v grep |cut -f 1 -d " "` ; echo "Service $i is running as user $user"; done
  

  そしてセキュリティを向上させるためにこれらのサービスを与えられたユーザや グループに変更したりそしてひょっとしたら chroot することも検討しましょう。 これは /etc/init.d スクリプトを変更することによって可能です。 ここでサービスが起動します。Debian のサービスのほとんどは start-stop-daemon を使うのでこれらのサービスを設定するのに --change-uid オプションや --chroot オプションが使えます。サービスを chroot するのはこの文書の範囲をこえていますが、警告が一言必要です: dpkg -L を使ってそのサービスのパッケージによってインストールされたファイル 全部と、それが依存するパッケージを chroot された環境に入れる必要が あるかもしれません。

• 望むサービスだけが動いていて、それも望むユーザやグループの組みあわせで 動いているのを確かめるため上記の手順をくりかえしましょう。

• 期待どおりに動いていることを確かめるためインストールされている サービスをテストしましょう。

• システムの脆弱性 (設定ミス、古いサービスまたは不要なサービス) を 調べるために (nessus のような) 脆弱性評価スキャナを使って システムを調べましょう。

• (snort や logsentry のような) ネットワーク侵入対策やホスト侵入対策をインストールしましょう。

• ネットワークスキャナの手順をくりかえして侵入検知システムがきちんと 動いているかどうか検証しましょう。

本物のパラノイアのためには、以下も考慮しましょう:

• ファイアウォール能力をシステムに追加して、外部からの接続を 提供されているサービスへのみ受けいれ、外部への接続を公認のものだけに 制限しましょう。

• 自分のシステムから外部のホストへの接続をネットワークスキャナを 使って調べ、望まない接続が出ていかないことを検証しましょう。

FIXME: この手順はサービスの強化は考慮しているがユーザレベルでの システム強化を考慮していない。ユーザのパーミッションや setuid された ファイルの確認、それに ext2 ファイルシステムを使ってシステムの変更を凍結する ことについての情報を含める。

Debian セキュリティマニュアル