Jump to content 日本-日本語
日本HPホーム 製品とサービス サポートとドライバ ソリューション ご購入方法
≫  お問い合わせ
日本HPホーム
製品とサービス  >  ソフトウェアとOS  >  HP- UX Developer Edge

Install Time SecurityとBastilleで実現する盤石のホスト構築

HP-UX 11i v3 Update 3 ミッションクリティカル環境での仮想化機能を強化
UNIXの教科書 応用編 2日目:ファイルの検索
HAクラスタの教科書 第2日目:ネットワークを設定する
特集:第4世代の仮想化ソフトウェアIntegrity VM4.0の魅力を徹底解剖
コンテンツに進む
Install Time SecurityとBastilleで実現する盤石のホスト構築 HP-UXで実現するネットワーク&セキュリティ
セキュアなホストをゼロから構築していくというのは、システム管理者にとって時間と手間、そしてスキルを要求される面倒な作業だ。HP-UX 11i v2より搭載された「Install Time Security」は、OSのインストール時に、そのサーバの使用目的に合わせたセキュリティ・レベルを設定できるというもの。これにより、「はじめからセキュアなホスト」を実現することができるのである。
Install Time SecurityとBastilleで実現する盤石のホスト構築
「はじめからセキュアなホスト」を作る
ホストを「要塞化」するツール、Bastille
2004年5月
テクニカルライター:吉川 和巳

「はじめからセキュアなホスト」を作る

周知のとおり、Webサーバやメールサーバ、DNSサーバなど、インターネット環境に直接さらされるホスト(DMZホスト)のインストールと管理には、セキュリティの確保という頭の痛い問題が常についてまわる。不要なポートは開けないようにし、使用していないプロセスやサービスを停止し、絶えず更新されるパッチを当てて・・・・。「ここまでやれば大丈夫」と言い切れないのが、セキュリティ対策のやっかいなところである。

しかし一方で、現在の多様化するネットワーク環境に対応すべく、OSのあり方も変化を遂げつつある。つまり、システム管理者のチューニング作業によってセキュアなホストをゼロから構築していくのではなく、一通りのセキュリティ対策を済ませたDMZホストをOSのインストール時点で提供するという考え方だ。

この考えを具体化したテクノロジーが、HP-UX 11i v2より搭載された「Install Time Security」だ。Install Time Securityとは、HP-UXに備わる以下の4種類のツールでさまざまなセキュリティ設定をインストール時に自動的に実施するための機能である。
 
  • Bastille(セキュリティ強化)
  • IPFilter(パケットフィルタリング)
  • SSH(暗号化シェル)
  • Security Patch Check(パッチ管理)
  これら4つのツールのうち、最初の3つ(BastilleおよびIPFilter、SSH)はいずれも広く普及しているオープンソースのセキュリティ・ツールであり、それらをHPがHP-UX向けに移植し機能拡張を施したものである。Install Time Securityのメリットは、これらツールの機能詳細や設定方法を十分に習得していないシステム管理者であっても、それらの能力をOSインストール時点でフルに引き出せることだ。これにより、管理者のセキュリティ対策のスキルに左右されることなしに、「はじめからセキュアなホスト」を実現できるのである。

Install Time Securityの実際

ここで、Install Time Securityの機能を具体的に紹介しよう。同機能を利用するには、HP-UXのインストール作業時に、以下のセキュリティ・レベルのいずれかを選択する(図1)。

  • Sec00Tools
  • Sec10Host
  • Sec20MngDMZ
  • Sec30DMZ
図1:HP-UX 11i v2インストール時のセキュリティ・レベル選択
図1:HP-UX 11i v2インストール時のセキュリティ・レベル選択

セキュリティ・レベルを選択すると、Install Time Securityによって上述した各種ツールの機能が呼び出され、HP-UX全体が指定されたセキュリティ・レベルにまで強化される仕組みだ(図2)。各レベルの内容は以下の通りである。

図2:Install Time Securityのメカニズム
図2:Install Time Securityのメカニズム

【Sec00Tools】
レベルSec00Toolsは、セキュリティ設定をまったく行わないレベルである。BastilleおよびIPFilter、SSH、Security Patch Checkのインストールだけを実施し、それらの機能は起動しない。全てのセキュリティ設定をシステム管理者自らがカスタマイズしたい場合に適したレベルである。

【Sec10Host】
Bastilleを利用した約50種類のロックダウン(不要なサービスの停止)を実施する(ただしtelnetおよびftpは利用可能)。そのままインターネット上に公開できるほどのセキュリティ強化は施されないため、社内ネットワークで利用されるホストに適したレベルと言えるだろう。

【Sec20MngDMZ】
BastilleおよびIPFilter、SSHを起動し、ロックダウンに加えてパケットフィルタリングの設定も実施する。セキュアなプロトコルによる通信(SSHやWebmin、WBEM、IDSなど)のみ許可し、pingなど通常のプロトコルによる通信はすべて拒否される。例えば、ファイアウォール・アプライアンスなどにより保護されたDMZホストへの適用が考えられる。

【Sec30DMZ】
ロックダウンとパケットフィルタリングをフルに実施し、SSH以外の通信は一切拒否する構成である。インターネット環境に直にさらされるDMZホストに適した、強固なセキュリティ保護を提供する。

このように、Install Time Securityの利用はごく簡単に行える。インストール時のメニューにおいて、ホストの利用目的に合ったセキュリティ・レベルを選択するだけである。あとは、BastilleやIPFilterなどの各ツールの設定を変更し、必要に応じたカスタマイズを行えばよい。例えば、Webサーバであればポート80番へのアクセスを許可したり、メールサーバであればsendmailを起動したり、といった具合である。

では、Bastilleによるセキュリティ強化とはどのような内容なのか、もう少し掘り下げて紹介しよう。

トップへ   次のページへ ※本文の続きを閲覧するには、HP-UX Developer Edgeへの会員登録が必要です。

本ページの内容は執筆時の情報に基づいており、異なる場合があります。
印刷用画面へ
プライバシー 本サイト利用時の合意事項 ウェブマスターに連絡
© 2008 Hewlett-Packard Development Company, L.P.