4.5. 利用できるネットワークサービス

管理制御へのユーザーアクセスが企業のシステム管理者にとって重要な問題である一方、 アクティブになっているネットワークサービスのタブをオンに維持しておくことは、 Linuxシステムをインストールして動作させる人すべてにとって非常に重要なことになります。

Red Hat Enterprise Linux稼動環境下にある多くのサービスはネットワークサービスとして動作します。 ネットワークサービスがマシン上で稼動している場合、 デーモンと呼ばれるサーバーアプリケーションは 1つまたは複数のネットワークポートで接続をリスニングしています。 これらの各サーバーは攻撃される可能性のある通路として考えるべきでしょう。

4.5.1. サービスへの危険性

ネットワークサービスはLinuxシステムにとって多くの危険性をもたらします。 以下に主な問題のいくつかを一覧で示します。

ネットワーク上で攻撃を受ける可能性を制限するには、 使用しないサービスはすべてオフにしてください。

4.5.2. サービスを識別して設定する

セキュリティを強化するために、Red Hat Enterprise Linuxでインストールされている ほとんどのネットワークサービスはデフォルトでオフになっています。 ただし、注意すべき例外があります。

これらのサービスを実行したまましておくかどうかを決めるときは、 常識を持って判断するのがベストです。例えば、プリンタが利用できない場合には cupsdを実行したままにしておかないようにします。 portmapについても同じです。NFSボリュームをマウントしたり、 NIS(ypbindサービス)を使用しない場合には、 portmap は無効にしてください。

Red Hat Enterprise Linuxではサービスをオン/オフに切り替えるようデザインされた 3つのプログラムを配付しています。サービス設定ツール (redhat-config-services)、ntsysvchkconfigの3つです。 これらのツールの使い方については、Red Hat Enterprise Linux システム管理ガイドにある サービスに対するアクセスの制御の章を参照してください。

図 4-3. サービス設定ツール

特定のサービスに関してその目的が不確かな場合は、 図4-3に示してあるように、 サービス設定ツールに詳細フィールドがあり、 簡単な使用用途が記載されているかもしれません。

ただし、ブート時に起動できるネットワークサービスがどれかを確認するだけでは 十分とは言えません。システム管理者なら、 どのポートが開いていてリスニングしているかも確認してください。 これに関しての詳細は、項5.8を参照してください。

4.5.3. 不安定なサービス

潜在的には、どのネットワークサービスも不安定です。 だからこそ、使用しないサービスをオフにすることが非常に重要になります。 サービスの不正アクセスは明らかにされ通常パッチされますので、 どのネットワークサービス関連のパッケージも常に更新して最新の状態を保つことが とても重要になります。この問題に関する詳細は、 第3章を参照してください。

ネットワークプロトコルの中には他に比べて本質的に不安定なものがあります。 以下のようなことを行なうサービスはいずれもこれに該当します。

本質的に不安定なサービスには以下のようなものがあります。

すべてのリモートログインとシェルプログラム(rloginrshtelnet)はSSHでは避けてください (sshdについての詳細は、 項4.7を参照してください)。

FTPは、システムのセキュリティに対してリモートシェルほど本質的に危険ではありませんが、 問題を避けるために、FTPサーバーは十分に注意して設定、監視する必要があります。 FTPサーバーの安全確保についての詳細は、項5.6を 参照してください。

十分に注意して実施すると共に、ファイアウォールの後に配置すべきサービスには 以下のようなものがあります。

ネットワークサービスの安全確保に関する詳細は、第5章にあります。

次のセクションでは、シンプルなファイアウォールを設定するのに利用できる ツールについて説明します。