Top > 余計なサービスをしていない? 広告
*余計なサービスはしない。 [#zf4bda8a]
/etc/inetd.confを見ると、良くわからないサービスがある。本当に使うのだろうか。
さすがに悪名高きtftpはコメントアウトしてあった。~
fingerもいらないのではないのだろうか。~
rloginやrshもコメントアウトしてしまおう。~
ついでにtelnetやftpもコメントアウトして、sshやscpを使うようにしましょう。~
基本は全て拒否と言うことで、とりあえず、全てコメントにして、うまくいかなかったら徐々にコメントをとりましょう。~
また、inetd.confに書かれていなくても、動いているデーモンがあるので注意しよう。(sendmail, httpd, etc)~
また、/etc/init.d/の中にも自動的に立ち上げられるサービスがあるので、注意が必要。
フィルタリングがしっかりしていれば、そんなにがちがちにしなくても良いでしょう。
*自作のプログラムでサービスするとき [#s81b34f4]
自作のサービスや新しいサービスを/etc/inetd.confに登録する場合
参考にした本に、
test stream tcp nowait root /usr/local/bin/tcptest tcptest
と書いてあってもこの通りにするのは危険です。~
この通りに設定すると、rootの権限で動くので、バグ等によりセキュリティホールが出来たときに大変なことになります。~
また、そのソフトにログ機能がないと、ログも残りません。
ですから、たとえテストでも、
test stream tcp nowait nobody /usr/sbin/tcpd tcptest
の様にラッパーをかけ、権限もnobodyの様に特殊ユーザーにしましょう。
rootの権限が必要なサービスは極力なくした方が良いでしょう。
#ad_banner(banner468x60.txt)
広告 |