|
|
 |
|
|
このページでは、HP-UX 11i v2で採用されたInstall Time
Security機能についてまとめます。また、Install Time Securityが使用するホスト要塞化ツールBastilleについても解説します。
なお、HP-UX 11i v1ではInstall Time Securityの機能はサポートされていませんが、このページで触れられているホスト要塞化ツールやその他のセキュリティツールについては、11i
v1用のものも用意されています。 |
|
|
HP-UX 11i v2では、Install Time Securityという機能が導入されました。これにより、OSインストール時に数種類のセキュリティ設定が選択できます。もちろん、インストール後にセキュリティ設定を運用状況に合わせて、細かく再設定することも可能です。
Install Time Securityは、以下のツールを使用して設定を行います。
- bastille (HP-UXのセキュリティを強化する要塞化ツール)
- Security Patch Check (HP-UXシステムにインストールされているファイルセットやパッチを分析し報告。bastilleは
Security Patch Checkを 定期的に自動実行するよう設定します。)
- IPFilter (オープンソースをベースとしたステートフルなシステムファイアウォール)
- SecureShell (業界標準の暗号化機能を使った安全なネットワーク・アクセス)
HP-UX 11i v1ではInstall Time Securityはサポートされていませんが、上記のツールを個別に使用して、セキュリティの設定を行なうことができます。 |
|
|
|
|
|
以下は、Install Time Securityで選択可能な項目です。それぞれの設定内容は以下のとおりです。
| Sec00Tools |
Bastille、SSH、Security Patch Check および IPFilterのインストールのみを行います。(設定は行われません。従来のHP-UXと同等) |
| Sec10Host |
約50のhostベースのロックダウンを行います。(telnet、ftpの通信は許可されます) |
| Sec20MngDMZ |
いくつかのセキュアなプロトコル(SSH、IDS、WBEM、Webminなどからの通信)のみを接続可能にします。(pingリクエストも受け付けません) |
| Sec30DMZ |
SSH以外の受信コネクションをブロックします。 |
| ・ |
Install Time Securityは以下のツールを利用し、設定を行う |
| |
・ |
Basrille |
| |
・ |
Security Patch Check |
| |
・ |
IPFilter |
| |
・ |
SecureShell |
| ・ |
インストール後も、システム管理者が各ツールを使い設定の変更可能 |
| ・ |
Sec00Toolsの場合は、各ツールのインストールのみ |
|
 |
Install Time Securityは、HP-UX 11i v2のインストール時、または アップデート時に指定することができます。
- HP-UX 11i v2 インストール時の選択画面
- HP-UX 11i v2 へのアップデート時(Update-UX実行時)の選択画面
|
|
|
bastilleは HP-UXのセキュリティをより強固に設定する要塞化ツールです。bastilleは、以下のような特徴があります。
- HP-UX 11.0 、HP-UX 11i v1 および v2で利用可能
- Perlベースのセキュリティ強化/ロックダウン ツール
- 対話式に設問に答えるだけで、カスタムなセキュリティ設定が可能
- HP-UX OEに含まれます。また hp web サイト www.software.hp.comからも無償でダウンロード可能
|
|
|
|
|
|
ここでは、ホスト要塞化ツールを使用する際に注意する点についてまとめます。
- bastilleの 対話モードは X-Window displayが必要です。キャラクター端末モード(bastille
-c)はLinux専用でhp-uxではサポートされていません。
- bastille -rおよび bastille -bの実行には、X-Window displayは必要ありません。(コマンドラインで実行されます)
- bastille -rにより、セキュリティの設定は bastilleが実行される前の設定に 戻されます。
Install Time SecurityでSec01Host、Sec02MngDMZ、Sec03DMZの設定を行った場合、最初の bastille -rではtelnet可能状態になりますが、rootのtelnetログインがconsoleからのみに制限される状態に戻ります。ご注意ください。
(この場合でも、sshコマンドで rootのネットワーク経由でのログイン および 一般ユーザでtelnetログイン後のsuコマンドによる管理者権限の取得は可能です)
- bastilleの対話モードでは、常にすべての設問が表示されるわけではありません。 セキュリティレベルを低くする設定は、表示されないケースがあります。
例えば、shadowパスワードが無効である場合にはそれを設定する設問 [Would you like to hide the encrypted passwords on this system?] が現れますが、既にshadowパスワードが有効になっているシステムでは、この設問は表示されません。
- revert機能でセキュリティ設定を戻す際、状態によっては一部変更を手動で戻さなければならない場合があります。ファイル/var/opt/sec_mgmt/bastille/TOREVERT.txtには、revert後に行わなければならない設定が記録されますので、revert後は必ずこのファイルをチェックし、必要があれば指定された設定を行なって下さい。
|
|
|
≫ |
bastille についてのFAQに関してはこちら
をご参照下さい。 |
|
|
≫ |
Security Patch CheckについてのFAQに関してはこちら
|
|
印刷用画面へ
