ホストの要塞化 - syagi's blog

ホストの要塞化とは

システム上にある各種ホストそれぞれを堅牢な状態にすること。具体的な内容としては、パッチの適用やソフトウェアの最新化、不要なサービス等の停止が挙げられる。
　

要塞化の必要性

システムには通常、ファイアウォールなどで外部から防御されている。
しかし外部向けのサービス、たとえばwebサーバの80番ポートなどは当然外部からのアクセスを受け付ける。つまりそこだけは外部からの攻撃にもさらされる可能性がある。
故にホストを要塞化する必要が出てくる。
また、ポートスキャンなどの予備攻撃でセキュアなサーバーであることがわかれば攻撃の対象になりにくく、予防策という側面でも有効である。
　

具体的な実施項目

パーティション設定

HDDのパーティションを以下のように分ける

カーネルの保存領域
アプリケーションの保存領域
ユーザーデータの保存領域
ログ保存領域

　
これらによりバックアップが容易になり、論理的障害にも強くなる。
また復旧時にユーザーデータ領域が無事ならカーネルとアプリケーション領域のみ入れ直せば事足りるなどの利点がある。
　
windowsだと難しいけど・・・ｗ
　

ファイルシステムの選択やインストール時の設定

用途用途に応じて最適なモノを選択。
不要なモノは入れない。など
　

パッチの適用

不要なサービスの停止

不要なグループやアカウントの停止や共有資源の削除

Guestアカウントが代表例。
他にはrootやAdministratorの名前を変えるなどがある。
　

パスワードの設定、アカウントのロックアウトなど

適切なアクセス権の設定

ローカルBOFの元になるSetUID属性などにも注意
　