Mac OS X Serve のセキュリティ措置（３）

セキュリティ・オプション

　私は、Mac OS X Server の安全性確保にかなり役立つ3つのパッケージを見つけた。使用していないサービスを削除した後、稼動している残りのサービスに安全性を施す方法があるのだ。ある人物がそれらのパッケージをインストールし、構成するための非常に優れた指針を時間をかけて考案した。そのオリジナル文書は、Scott Anguish の素晴らしい Stepwise Web サイト（ http://www.stepwise.com/ ）に掲載されている。

　tcpwrappers - (Jay Swan) Mac OSXS においてデフォルトでインストールされるが、それらは使用するための設定ではない。tcpwrappers 制限付きアクセスを許可し、Telnet や FTP のようなサービスのログを可能にする。その構成は簡単で、構成ファイル、 hosts.allow および hosts.deny ファイルを使用して、service/system にアクセス不可能な人物を管理する。その構成は、個々のワークステーションもしくは完全なドメインを含むことが可能だ。一般的設定は通常、WSU クライアントへのアクセスを許可し、ドメインの外部からのアクセスを受け入れない。

　sshd - (Joshua Marker) Telnet の代わりに使用されている。セキュアなシェルは、クライアントとサーバ間に暗号化されたセッションを提供する。Telnet はたとえ tcpwrapper と併用したとしても、パケットのスニッフィングに対し依然として脆弱だ。sshd バージョン 1 を設定および使用するために文書化が実行される。現在、作業は進展しており、sshd バージョン 2 の設計および実行に取り組んでいる。このインストールは、ssh デーモンのみならず、ssh クライアントもインストールする予定だ。セキュアなシェルを使用して Mac OSXS に接続するためには、ssh クライアントが必要になる。Web を介して取得可能な Macintosh 用の ssh クライアントが二つある。

　xinetd - これは、私が2日前に知ったばかりの新しいパッケージだ。以前、そのパッケージに関して書かれた記事をダウンロードするチャンスを得た。仮にシステムがネットワーク上にある場合、それは優れたパッケージであり、もう一つのセキュリティ措置だと思われる。そして tcpwrappers と inetd に取って代わり、rcpmapping 機能も提供する。私がそのパッケージダウンロードしてビルドし、そして構成した際には、その経緯をこのページに掲載するつもりだ。

　portmapper - これは、安全な portmapper サーバの port だ。これを使用することで全ての RPC port が再マップされ、結果部外者はどの port が使用されているのかを見ることができない。NFS ボリュームをリモート・マウントしている場合、これは有用なオプションだ。

ログ

　殆どのアプリケーションのログが保持されている場合、/var/log に向かうことになる。それらは、サービスがどのような機能を実行したのかに関するファイルだ。ファイルはシステム上で発生した事についての情報を保持するために有用であるが、それらは直ぐに制御できなくなる。Mac OSXS は全てのログをアーカイブするよう設定されており、決してそれらを削除しない。ログを検討したり、関連情報の収集、そして残りのログを消去するかどうかはシステム管理者の一存にかかっている。

［情報提供：SecureMac］
http://www.securemac.com/

［翻訳：関谷　麻美］

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml