ホストの要塞化
ホストの要塞化とは
システム上にある各種ホストそれぞれを堅牢な状態にすること。具体的な内容としては、パッチの適用やソフトウェアの最新化、不要なサービス等の停止が挙げられる。
要塞化の必要性
システムには通常、ファイアウォールなどで外部から防御されている。
しかし外部向けのサービス、たとえばwebサーバの80番ポートなどは当然外部からのアクセスを受け付ける。つまりそこだけは外部からの攻撃にもさらされる可能性がある。
故にホストを要塞化する必要が出てくる。
また、ポートスキャンなどの予備攻撃でセキュアなサーバーであることがわかれば攻撃の対象になりにくく、予防策という側面でも有効である。
具体的な実施項目
パーティション設定
HDDのパーティションを以下のように分ける
- カーネルの保存領域
- アプリケーションの保存領域
- ユーザーデータの保存領域
- ログ保存領域
これらによりバックアップが容易になり、論理的障害にも強くなる。
また復旧時にユーザーデータ領域が無事ならカーネルとアプリケーション領域のみ入れ直せば事足りるなどの利点がある。
windowsだと難しいけど・・・w
ファイルシステムの選択やインストール時の設定
用途用途に応じて最適なモノを選択。
不要なモノは入れない。など
パッチの適用
不要なサービスの停止
不要なグループやアカウントの停止や共有資源の削除
Guestアカウントが代表例。
他にはrootやAdministratorの名前を変えるなどがある。
パスワードの設定、アカウントのロックアウトなど
適切なアクセス権の設定
ローカルBOFの元になるSetUID属性などにも注意
ログの記録