Top > 余計なサービスをしていない?

広告

余計なサービスはしない。

/etc/inetd.confを見ると、良くわからないサービスがある。本当に使うのだろうか。 さすがに悪名高きtftpはコメントアウトしてあった。
fingerもいらないのではないのだろうか。
rloginやrshもコメントアウトしてしまおう。
ついでにtelnetやftpもコメントアウトして、sshやscpを使うようにしましょう。
基本は全て拒否と言うことで、とりあえず、全てコメントにして、うまくいかなかったら徐々にコメントをとりましょう。
また、inetd.confに書かれていなくても、動いているデーモンがあるので注意しよう。(sendmail, httpd, etc)

また、/etc/init.d/の中にも自動的に立ち上げられるサービスがあるので、注意が必要。

フィルタリングがしっかりしていれば、そんなにがちがちにしなくても良いでしょう。

自作のプログラムでサービスするとき

自作のサービスや新しいサービスを/etc/inetd.confに登録する場合 参考にした本に、

test stream tcp nowait root /usr/local/bin/tcptest tcptest

と書いてあってもこの通りにするのは危険です。
この通りに設定すると、rootの権限で動くので、バグ等によりセキュリティホールが出来たときに大変なことになります。
また、そのソフトにログ機能がないと、ログも残りません。

ですから、たとえテストでも、

test stream tcp nowait nobody /usr/sbin/tcpd tcptest

の様にラッパーをかけ、権限もnobodyの様に特殊ユーザーにしましょう。

rootの権限が必要なサービスは極力なくした方が良いでしょう。


広告

Reload   Diff   Front page List of pages Search Recent changes Backup Referer   Help   RSS of recent changes
Last-modified: Thu, 05 Jan 2012 00:46:30 HADT (2815d)