Jump to content 日本-日本語
日本HPホーム 製品とサービス サポートとドライバ ソリューション ご購入方法
お問い合わせ
日本HPホーム
製品とサービス > ソフトウェアとOS > HP- UX Developer Edge

知っておくべきセキュリティ対策
-HP-UXのセキュリティを極める-

第4回 Bastilleによるシステムアセスメント

HP-UX
Developer Edge
設定ガイド(構築手順)
コマンド・リファレンス
ホワイトペーパー
ダウンロード
パートナー製品
技術コラム
特集、特別企画
連載
ダイジェスト
カタログ・ライブラリ
HP-UXサポート
テクニカルドキュメント
HP 教育サービス
HP-UX
  各種ソフトウェア
  書籍の紹介
日本HPサイトマップ
知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める-
特集:Webベースのクラスタ管理〜Serviceguardの新機能〜
HP Serviceguardクラスタ構築手順
コンテンツに進む
第3回 PS-WSでつくるセキュアなWebサーバ
知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める- 第4回
Bastilleが備える特徴とは
ネットワーク・サービスのロックダウン

ネットワーク・サービスのロックダウン
一方、モジュール「Secure Inetd」および「Miscellaneous Daemons」では、HP-UXに備わる多数のネットワーク・サービスのロックダウン設定が可能である。実際の設定では、inetdデーモンにより起動される大半のサービス(telnetやftp/tftp、login/shell/exec、finger/ident、bootp、uucp、ntalkなど)や、NFS、NIS、snmpdなどはすべてデフォルトで無効とすることが可能だ。よって、本当に利用したいサービスだけを個別に起動を指定すればよい。

また、Webやメール、DNSなどの標準的なインターネット・サービスのセキュリティ保護のためのモジュールとして、Apacheおよびsendmail、DNS、FTPが用意されている。これらのモジュールでは、Apache httpdやsendmailのロックダウンを行えるほか、chroot を利用してBINDやApacheのプロセスがアクセス可能なディレクトリを制限することも可能だ。

では、こうしたネットワーク・サービスのロックダウンの効果を実際に確認してみよう。まずは、ロックダウン実施前のHP-UXに対して、ネットワーク・スキャン・ツール「Nessus®」を実行し、ポートのオープン状態を確認する。図2は、その結果である。
ロックダウン前のポートのオープン状態
図2:ロックダウン前のポートのオープン状態
※このレポートはTenable Network Security社のNessus®を使用して生成されたものです。

このように、HP-UXのデフォルト設定ではsshやSMTPなどのポートがオープン状態であり、外部から接続可能であることがわかる。つづいて、Bastilleによる「DMZロックダウン」(DMZホスト向けのロックダウン)を実施し、その後にNessusを再度実行すると、図3のようなレポートが得られる。
ロックダウン後のポートのオープン状態
図3:ロックダウン後のポートのオープン状態
※このレポートはTenable Network Security社のNessus®を使用して生成されたものです。

このように、sshは接続可能であるものの、SMTPはストップしており、sshのような必要最小限のサービス以外はロックダウンされていることがわかる。

新たに追加されたシステムアセスメント機能
ここまで見てきたとおり、Bastilleを用いることでHP-UXのロックダウンが容易に実施でき、経験の浅い管理者でも高度なセキュリティ強化を施したシステムを構築できることがわかる。ただ、これまでのBastilleには「実施しているロックダウンの詳細内容がレポートとして残らない」という不便な点があった。つまり、どのサービスを停止し、どの設定をどのように変更したか、ひと目で理解できるようなドキュメントが得られないのである。とりわけ近年のIT統制の観点からすると、セキュリティ強化ポイントの文書化はぜひ提供してほしい機能だ。

そこでBastilleの最新バージョンである3.0では、新たにシステムアセスメント機能が追加された。同機能では、Bastilleによって実施したロックダウンの内容をHTML形式やテキスト形式のアセスメントレポートとして文書化できる。

アセスメントレポートの例
図4:アセスメントレポートの例

図4にあるように、例えばumask設定やhidepasswordsといったセキュリティ設定項目について、Bastille実行後のそれぞれの設定内容を簡単に確認できる。このHTMLページをそのままシステムアセスメントレポートとしてIT統制に活用できる仕組みだ。

また新バージョンでは、Bastille実行後のシステム設定状態を「ベースライン」として保存する機能が新たに追加され、IT統制で重要になる変更管理を強力に支援してくれる。このベースラインを起点として、例えばシステムの運用開始後に定期的に設定状態を再チェックし、ベースラインとの比較を行う。


# bastill_drift --from_baseline test-baseline
# more /var/opt/sec_mgmt/bastille/log/Assessment/Drift.txt
  1,2c1,2
  < AccountSecurity.ABORT_LOGIN_ON_MISSING_HOMEDIR="N"
  < AccountSecurity.NOLOGIN="N"
  ---
  > AccountSecurity.ABORT_LOGIN_ON_MISSING_HOMEDIR="Y"
  > AccountSecurity.NOLOGIN="Y"
  5,7c5,8
  < AccountSecurity.SU_DEFAULT_PATHyn="N"
  < AccountSecurity.create_securetty="N"
  < AccountSecurity.hidepasswords="N"
  ---
  > AccountSecurity.SU_DEFAULT_PATH="/sbin:/usr/sbin:/usr/bin"
  > AccountSecurity.SU_DEFAULT_PATHyn="Y"
  > AccountSecurity.create_securetty="Y"
  > AccountSecurity.hidepasswords="Y"
  10,11c11,13
  < AccountSecurity.system_auditing="N"
  < AccountSecurity.umaskyn="N"
  ---
  > AccountSecurity.system_auditing="Y"
  > AccountSecurity.umask="027"
  > AccountSecurity.umaskyn="Y"
  <以下略>
図5:ベースラインからの変更点の表示例

図5を見ても分かるとおり、ベースラインから変化した設定項目を洗い出すことができる。これにより、運用開始後のシステムに後から生じる新たなセキュリティ脆弱性のリスクをとらえ、プロアクティブなセキュリティ対策を講じることが可能だ。

以上、今回はBastilleによるHP-UXのロックダウン機能について概観した。とりわけ新機能であるシステムアセスメント機能を活用すれば、上司やクライアントからの「セキュリティ対策状況のレポートが欲しい」といったリクエストにも即対応でき、管理者にとっては便利なツールとなるはずだ。

トップへ 戻る  

内容に関するご意見・ご質問・お問い合わせ
 
日本ITフォーラム (別途、会員登録が必要です)
 

その他のコラム(連載)もお読み下さい
 
知っておくべきセキュリティ対策-HP-UXのセキュリティを極める-
第6回:RBACによる権限分掌
第5回:audsysとHIDSによる監査と侵入検知
第4回:Bastilleによるシステムアセスメント
第3回:PS-WSでつくるセキュアなWebサーバ
第2回:EVFSとTCSによるデータ暗号化
第1回:セキュリティの『多層防御』とHP-UX
 
 
 
 
UNIXの教科書〜はじめよう! WindowsとLinuxからのステップアップ〜 全7回
SMHでらくらくHP-UXシステム管理 全9回
Integrity VMでやさしく学ぶサーバ仮想化 全10回
はじめてのHP-UX 全12回
HP-UX 11iカーネル・チューニング技法 全2回
DBシステム開発者のためのサーバプラットフォーム移行ガイド 全5回
Javaパフォーマンス・チューニング 全6回
 

本ページの内容は執筆時の情報に基づいており、異なる場合があります。
印刷用画面へ
プライバシー 本サイト利用時の合意事項 ウェブマスターに連絡
© 2008 Hewlett-Packard Development Company, L.P.