[orca-users:10193] Re: セキュリティー TcpWrapper

[Kenshi Muto <kmuto@xxxxxxxxxx>]

武藤＠Debianぷろじぇくとです。

At Mon, 24 Dec 2007 08:45:45 +0900 (JST),
Koji Yuen wrote:
> またネットワークのセキュリティーについて教えてください
> 
> LINUX サーバーの設定で、IPによるアクセスを制限するTcpWrapperによるセキュリティ
> ーというのがあるようです。
> ORCAのセキュリティーポリシー
> http://www.orca.med.or.jp/orca/tec/network_security/security.rhtml#02_03
> には、TcpWrapperには触れられていません。
> TcpWrapperは、数台のパソコンをつないだ院内LANのような環境では、ルーターで外部
> からの接続を遮断しておけば、とくに設定しなくてもよいのでしょうか？
> あるいはORCAのクライアントになるパソコンのＩＰを登録して、TcpWrapperを動かすべ
> きなのでしょうか？その場合は接続するサービスまで限定すべきでしょうか？ORCAサー
> バーの場合　どのサービスを有効にすべきなのでしょうか？

TCP wrappersはinetd(またはxinetd)を使うものか、libwrap0ライブラリを
使っているものにしか効きません。ですから、効果はかなり限られたものに
なります。また、複数の制御によるセキュリティは一見安全に見えるものの、
複雑化するために、何らかの問題あるいはIP変更などが起きたときに余計な
障害となり得ることがあります。

いずれにしても、現在外向けに動作中のサービスの一覧、/etc/inetd.confの
現在の内容、ネットワーク構成といった情報なしではなかなか答えにくい
質問だと思います。ORCAさんで推奨の環境どおりということであれば、ORCA側
での推奨設定があるかと思います。

また、ORCA+Debian Etch構成では逸脱するものを入れない限りはネットワーク
セキュリティは比較的安全側に振ってあるはずです(DSAやORCAで提供される
アップデートは行うものとして)。むしろ院内というスペースでは、
ソーシャルハッキングへの注意も払ったほうがよいかと思います。
また、ネットあるいは書籍の情報が必ずしも正しいとは限りません。ほかで
良さそうなことが書いてあったからと迂闊な設定をすることで、危険を招く
恐れは十分にあります。
-- 
武藤 健志＠ kmuto @ kmuto.jp
           Debian/JPプロジェクト   (kmuto@xxxxxxxxxx, kmuto@xxxxxxxxxxxx)
           株式会社トップスタジオ  (kmuto@xxxxxxxxxxxxxxx)
URI: http://kmuto.jp/ (Debianな話題など)