Linuxホームサーバー編
No.17 VineLinuxのセキュリティ1
(不要なデーモンはどれ?)

2005,11/6 完成



そんなこんだで一通りsambaサーバーとして使えるようになってきた我が家のvine君ですが
セキュリティ対策らしい設定を何もやっておりません。
家庭内LANだからいいよ〜、という意見もあるかも知れませんがいつの日か外部公開用
サーバーとして使う日が来ることを考えたら今から慣れていた方がよかろう、という事で
Linuxでもセキュリティ設定に挑戦して行きたいと思います。

セキュリティ設定と行ってもやることは色々あるのですが、まずは「不要なデーモンを外す!
ところから始めたいと思います。
なぜそんな事を言うかといいますと、色々雑誌とか読んでいるとVine Linuxはデフォルトの
状態で色々なデーモンが動いているそうでセキュリティ上危険な状態にあるみたいなんですよ。
例えば、インストールが終わった段階でいきなりApacheが動いてたりします。 (^_^;)

ブラウザを立ち上げて使っているパソコンのIPアドレス
(127.0.0.1)を指定するといきなりwebサーバーが立ち
上がっているのでびっくり!

わたしゃテストページなんざ開設した
覚えはないぞ〜


※ 写真をクリックすると大きくなります。

単なるクライアントマシンとしてVineをインストールしたつもりの人は当然ながらApacheの
メンテナンスは何もやらないわけですからセキュリティ上とても怖い状態になっちゃうわけです。
このような”使わないデーモン”他にもどれだけ動いているのか?
まずはどういうデーモンが動いているか確認してみることにしました。


1)起動時に立ち上がるデーモンを調べてみよう
Vine起動時にどういうデーモンを立ち上げるかは”サービスの設定”で確認できます。
”サービスの設定”はデスクトップの画面から、
 アプリケーション→システム・ツール→サービスの設定
で立ち上げます。

Vineで動いているデーモン達(その1)

sambaサーバーを動かしているvine君は
いろいろいじっているので他のパソコンに
Vine3.2をクリーンインストールした直後の
状態を見てみました。

※ 写真をクリックすると大きくなります。
Vineで動いているデーモン達(その2)

当たり前ではありますがvineインストール
したてなのでsambaは動いていません。


※ 写真をクリックすると大きくなります。


こうやって調べた結果、vineインストール時にデフォルトで起動するようになっている
デーモン達は、
 acpid,anacron,apmd,atd,autofs,canna,cpufreqd,crond,cups,fam
 gpm,httpd,inet,iptables,keytable,kudzu,murasaki,nfslock,pcmcia
 portmap,postfix,rawdevices,sshdsyslog
の25種類でした。


2)必要なデーモン、不必要なデーモン?
では、次にこれらのデーモン達が何をやっていて、家庭内sambaサーバーとして使うのに
必要なのか必要でないかを調べてみましょう。


■Vineインストール時にデフォルトで起動しているデーモン

デーモン やっつている事 必要?
不必要?
コメント
acpid ACPIを使った電源管理。 これは必要ですな。
anacron PCが止まっているときも
考慮するタスク実行処理
× 使っていないから
いらないはず・・・
apmd APM使った電源管理。 これも必要!
atd 指定時間に一度だけ
コマンドを実行する。
× 使っていないはず。
autofs 自動でファイルシステムを
マウント/アンマウントする。
これは必要だべ。
canna 日本語入力システム 必要〜
cpufreqd CPUの周波数制御を
やっているらしい。
多分不要だとは思う
けど。一応残しておく。
crond 定期的にタスクを実行。 絶対必要!
cups 印刷用のデーモン × 印刷しないので不要。
fam ファイル改変を監視する
関数らしい。
一応残しておく。
gpm テキストモードでマウスを
使うためのデーモン。
× こりゃいらないな。
httpd これぞApacheの事! × 今回は不要。
inet インターネット関係の複数の
デーモンを束ねるスーパー
デーモン。telnet、ftp、pop、
imap、fingerなどを制御。
設定ファイルを見て
残すことにする。*1
iptables パケットフィルタリングを行う。 これは必要。
keytable キーボードの種類を決める。 これも必要。
kudzu ハードウェアの自動認識を
行うデーモン。
一応必要。
murasaki HotPlug機能を利用してUSB
やIEEE1394を自動でロード
アンロードを行う。
これは残しておいた
方がよさそう。
nfslock NFSをロックするデーモン?? × 不安だけど外してみる。
pcmcia PCMCIAを使えるようにする。 × デスクトップPCでは不要。
portmap どのサービスがどのポートで
動作しているかの一覧を
保管する。RPC接続の管理を
行う。NFSと連動している。
× 多分いらない、、と思う。
postfix メールを転送する。設定に
よってはspam対策もできる。
× sendmailみたいなもの?
これはいらんでしょう。
rawdevices rawデバイスをマウントさせる? × 多分いらない・・・
sshd SSHを行うためのデーモン。 これは絶対必要。
syslog システムログを作成。 必要。
xfs X window上でフォントを使う
ためのデーモン。
これも必要。


※ ”○”→残しておくデーモン。”×”→外してしまうデーモン。
*1 "/etc/inetd.conf”をみてみたらftp,telnet,gopher,smtp,pop,imapなどのサーバーはすべて
  コメントアウトされて起動しない設定になっており、swatのみ要求が来れば起動する設定に
  なっていたためinetdは残す事にしました。

■Vineインストール時にデフォルトで起動しているデーモン
引き続き、Vineインストール後、自分で設定したサーバーも一応チェックしました。

デーモン やっつている事 必要?
不必要?
コメント
smb sambaサーバー これがなくちゃ始まらない。
webmin webminを使うために必要。 当然ながらこれも必要。


あれ?自力でインストールしたのは思ったより少なくsambawebminだけだったのですね。
当然ながらこれらは残しておく事にします。


3)不要なデーモンを外しましょう
では、上の表で"×"を付けたデーモンを外してしまいましょう。

再び”サービスの設定”を開き、外したい
デーモンの”有効”のチェックを外します。

その後、右下の”OK”を押せば準備完了。

※ 写真をクリックすると大きくなります。


ここで動作確認のためにVine君を再起動。
試しにApacheが起動していないかどうか試してみます。

先ほどと同じくブラウザを立ち上げ
127.0.0.1を指定すると、、、
ちゃんとアクセス拒否されました。
予定通りApacheは起動されて
いないようです。 (^_^)


その後、SSH、VNC、sambaと一通り動作確認してみましたが
特に問題なく動作しているようです。
今回のデーモン外しはうまくいったようです。よかった、よかった。 (^_^)


←戻る 進む→
ホームに戻る