Jump to content 日本-日本語
日本HPホーム 製品とサービス サポートとドライバ ソリューション ご購入方法
お問い合わせ
日本HPホーム
製品とサービス > ソフトウェアとOS > HP- UX Developer Edge

知っておくべきセキュリティ対策
-HP-UXのセキュリティを極める-

第4回 Bastilleによるシステムアセスメント

HP-UX
Developer Edge
設定ガイド(構築手順)
コマンド・リファレンス
ホワイトペーパー
ダウンロード
パートナー製品
技術コラム
特集、特別企画
連載
ダイジェスト
カタログ・ライブラリ
HP-UXサポート
テクニカルドキュメント
HP 教育サービス
HP-UX
  各種ソフトウェア
  書籍の紹介
日本HPサイトマップ
知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める-
UNIXの教科書〜はじめよう! WindowsとLinuxからのステップアップ〜
特集:仮想化のメリットを最大限に活かすHPの仮想化ソリューション・後編
HP Serviceguardクラスタ構築手順
コンテンツに進む
第4回 Bastilleによるシステムアセスメント
Bastilleは、HP-UXシステムのセキュリティ設定を強化するツールである。GUIやTUI上でのインタラクティブな操作を通じて、システムのロックダウン(不要なサービスの停止やシステム設定の変更)を簡単に実施できるのが、最大の特徴だ。ただ従来のBastilleには「実施しているロックダウンの詳細内容がレポートとして残らない」という不便な点があった。そこでBastilleの最新バージョンである3.0では、新たにシステムアセスメント結果をレポート出力する機能が追加されている。
知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める- 第4回
Bastilleが備える特徴とは
ネットワーク・サービスのロックダウン
2008年4月
テクニカルライター 吉川和巳

Bastilleが備える特徴とは

Bastilleは、UNIXシステムに対してロックダウン(不要なサービスの停止やシステム設定の変更)を実施し、セキュリティを強化するツールである。もともとはオープンソース・ソフトウェアとして開発されたもので、HPではこのBastilleをHP-UX向けに移植し、機能拡張を施したものをWebサイト上で無償提供している。Bastilleは、おもに以下のような特徴を備える。

システムのロックダウン
  • 各種デーモン設定やシステム設定のセキュリティ強化
  • 不要なサービスの停止
  • JailによるWebサーバやDNSなどのインターネット・サービスのセキュリティ強化
  • Software AssistantやSecurity Patch Checkの自動実行設定
  • IPFilterベースのファイアウォール設定
アセスメントレポート作成
  • HTMLやテキスト形式、設定ファイル形式でアセスメントレポートを生成
  • システムのベースライン設定を記録し、その後の変化をチェックする
HP SIMとの連携
  • HP SIMメニュー上からのロックダウン設定やレポート表示が可能
  • SIMサーバのロックダウンをサポート
その他
  • セキュリティ設定方法を解説したヘルプテキストを豊富に提供
  • Bastille実行前の設定を簡単に復元可能
BastilleのGUI画面
図1:BastilleのGUI画面

Bastilleの最大の特徴は、図1のようなGUIやTUI上でのインタラクティブな操作を通じて、システムのロックダウンを簡単に実施できる点だ。この画面の左側には「モジュール」と呼ばれる項目が並んでおり、それぞれの項目についてウィザード形式の質問事項が表示される。個々の質問事項では、その設定を実施することで得られるセキュリティ強化のメリットと、それにともなうデメリットが詳細に解説されている。管理者は、それぞれの項目についてYesかNoかを選択したり設定値を入力したりすることで、用途に応じて適切なロックダウンを実施できる。すべての質問に答えると、Bastilleが自動的にロックダウンを開始する。もっとも、すべての設定が自動化されているわけではなく、管理者による手動設定が必要な部分については「To Do」リストを作成してくれる。

では、Bastilleによるロックダウンの内容をもう少し詳しく見ていこう。

ファイル・パーミッションやパッチ管理の強化
Bastilleのモジュール「File Permission」では、HP-UXのファイル・システムに対してworld-writableなディレクトリ(すべてのユーザから読み書き可能なディレクトリ)のスキャンを実施するかどうかを指定できる。このスキャンを実施すると、world-writableなディレクトリのパーミッション設定を個別に編集するためのスクリプトを自動作成できる。

また、モジュール「Account Security」では、ユーザ・アカウントのアクセス権管理の詳細なチューニングが可能だ。例えば、すべてのユーザとシェルにおけるデフォルトのumask値(作成されるファイルのパーミッション値)の設定をはじめ、ログイン・ポリシー(ログイン拒否やログイン許可数、ルートログイン禁止)およびパスワード・ポリシー(パスワード変更間隔や期限切れ警告、シャドウ・パスワードの利用)の設定を容易に行える。さらには、HP-UXの高信頼性モードを利用したセキュリティ監査(すべてのシステムコールのトレース)も指定することができる。

一方、モジュール「Patches」では、HPが提供するパッチ管理ツールSoftware Assistant(SWA)やSecurity Patch Check(SPC)のセットアップが可能だ。簡単な質問に答えるだけで、SWAの起動やcrontabへの登録、起動時間の設定などを行える。これにより、毎日一定の時間にSWAが起動し、ホストに適用されているセキュリティパッチの一覧とHPが公開するパッチ一覧の比較が行われる。

トップへ     次のページへ

本ページの内容は執筆時の情報に基づいており、異なる場合があります。
印刷用画面へ
プライバシー 本サイト利用時の合意事項 ウェブマスターに連絡
© 2008 Hewlett-Packard Development Company, L.P.