| セキュリティに関するその他の情報源 |
|---|
| Linuxシステムのセキュリティ強化に関するその他の情報については、下記のサイトから入手することができる。 |
企業環境におけるBastilleの利用
BastilleによるSOE(Standard Operating Environment)のセキュリティ強化は、こうしたシステムを実働させる前の段階で行えれば理想的である。またBastilleを利用したセキュリティ強化を行う場合は、要件の異なる部門ごとにSOEの設定を使い分けることができる。例えば財務部門の人間にとって、システムへのCコンパイラのインストールやターミナルセッションに対するrootアクセスは必要としないはずだが、印刷サービスは不可欠のはずである。同じくソフトウェア開発チームは、システムに対するより柔軟なアクセス設定を必要とするであろうし、ラップトップを利用するモバイルユーザについては特殊なセキュリティ設定を必要とすると考えられる。またサーバシステムに関してはケースバイケースで個別的な設定を施すものだが、Bastilleでは、個々の要件ごとに設定を切り替えたセキュリティ強化を施すことができる。
セキュリティ強化後のSOEについては、必要なテストを施してから、System Imagerなどのツールを用いて所定の位置に配備することになる。SOEの配備については、Novell ZenworksやRed Hat NetworkなどのLinuxサーバ用の配備/管理ソリューションが各種販売されているが、オープンソース系のサーバ管理/監視用ツールとしてはmonitやSystem Imagerなどが利用でき、あるいはLinux環境で古くから使われているsshやscpなどのツールを使用することもできる。
sshおよびscpを利用する場合は、下記のコマンド指定によってBastilleの実行を自動化できる。
scp /etc/Bastille/config root@ターゲットホスト:/etc/Bastille ssh root@ターゲットホスト "bastille -b"
ここでターゲットホストには、接続先のIPアドレスまたはホスト名を指定しておく。上記のコマンドで行っているのは、リモートコンピュータにBastilleの設定ファイルをコピーしてからBastille本体をバッチモードで起動させ、システムに対して施すべき変更内容を先の設定ファイルから読み込ませるという処理である。ただしこれを実行するリモートコンピュータに関しては、事前にBastilleをインストールしておかなければならない。また対象となるリモートホストが多数存在する場合、前述のコマンドを中央のサーバから一元的に実行させるためのスクリプトをシェルないしPerl形式で用意しておくこともできるが、その際には各システムのホスト名に関する情報をLDAPディレクトリから取得させることも考えられる。
それでは、こうしたセキュリティの強化をするシステムが、既に実稼働環境での日常的な使用下にある場合はどうすればいいのだろう? そうしたケースでもBastilleを使用するのは可能であるが、それには対象となるシステムに対する入念な状況把握および、一連の試験の実行が必要となる。
このようにBastilleは、Linuxシステムのセキュリティを強化する際の優れたツールとして機能するが、個々のシステムが必要とするセキュリティ要件のすべてを常にこれ1つで賄えるという訳ではない。その他に追加すべきセキュリティ機構としては、SnortやTripwireなどの侵入検出システムおよび、Nessusなどのネットワーク脆弱性スキャナを挙げられるが、特にメールサーバとして運用するシステムで必要となるのがアンチウィルス用アプリケーションである。またシステムによってはマニュアル操作による設定変更が必要となる場合もあり、例えば大規模な商用データベースや高容量Webサーバといった特殊な措置を必要とするアプリケーションについては、こうした要件が顕著となる。
セキュリティと利便性のバランス
Bastilleの設定オプションの中には、実際に使用してみると想定外の結果をもたらして、エンドユーザが扱うシステムの操作性を必要以上に使いにくくするものもある。例えば、root以外のユーザが実行できないように、一部のファイルからSUIDパーミッションを削除しておく場合がある。こうしておくと、これらのプログラムに潜んでいたセキュリティホールを悪意あるユーザに突かれてrootとしてシステムにアクセスされる事態を防止できるのだが、SUIDの削除がmountおよびumountに対して行われると、エンドユーザによる、CD-ROM、USBキー、外付けハードドライブの接続や取り外しが不可能になってしまう。同じくSUIDの削除がpingやtracerouteに対して行われると、エンドユーザによるpingコマンドを使ったネットワーク接続の検証などができなくなる。その他、GRUBプロンプトにパスワード保護が施されると、デュアルブートシステムが正しく機能しなくなる可能性がある。またrootによるターミナルへのログインが無効化されていると、rootユーザの行う多数のタスクが行いにくくなり、ファイヤーウォールによる制限を過度に厳しくしておくと、NovellのiFolder、内部Webサービス、Bonjour/Zeroconfサービス、Windowsファイル共有などの内部ネットワークサービスにエンドユーザがアクセスできなくなる。
こうしたユーザにとっての利便性とセキュリティ的な要件とのどちらを優先すべきかは、ケースバイケースで変わってくる性質のものである。
まとめ
Bastille Linuxの存在は、Linuxを扱うシステム管理者にとって大きな恩恵をもたらすはずである。このアプリケーションでは、システムのセキュリティ強化に必要な様々なオプションが、操作性に優れた1つのツールとしてパッケージ化されているからだ。特に企業で使用する場合は、多数のLinuxシステムに対して一貫性のあるセキュリティ設定を簡単に施せるというメリットを享受することができる。この種のソフトウェアの例に漏れず、Bastilleについても完璧なセキュリティ強化を施せるという訳ではないが、Linuxシステムのセキュリティ設定を理想的な状況に近づける上で有用なツールとして機能することに間違いはないはずだ。
Peter Enseleitはオーストラリア出身のソフトウェア開発者であり、Linuxの使用歴は8年以上に及んでいる。