Product SiteDocumentation Site

第 6 章 Debian システムを自動的に強化する

6.1. Harden
6.2. Bastille Linux
これまでの章にある情報を全部読んだら、「自分のシステムを強化するにはとても 多くのことをしなければならない、これを自動化できないか?」と思うかもしれません。 この質問への答えははいですが、自動化された道具には注意してください。 強化ツールを使ってもよい管理への必要性はなくならないと信じる人もいます。 この過程をすべて自動化して関連する問題をすべて修正できるとは考えないで ください。セキュリティは管理者も遠くにいて道具にすべての仕事をさせるわけには いかず、参加しなければならない進行中の過程です。なぜならどの道具もすべての 考えられるセキュリティポリシーの導入やすべての攻撃そしてすべての環境に対応する ことはできないからです。
woody (Debian 3.0) 以降にはセキュリティ強化に役立つ特定のパッケージが 2 個 あります。harden はパッケージの依存にもとづいてすばやく セキュリティ関連の価値あるパッケージをインストールし欠陥のあるパッケージを 削除する方法をとります。パッケージの設定は管理者が行わなければなりません。 bastille は管理者の以前の設定にもとづいてローカルシステムの セキュリティポリシーを導入します (設定を構築することは簡単な yes/no の 質問にそって行うこともできます)。

6.1. Harden

The harden package tries to make it more easy to install and administer hosts that need good security. This package should be used by people that want some quick help to enhance the security of the system. It automatically installs some tools that should enhance security in some way: intrusion detection tools, security analysis tools, etc. Harden installs the following virtual packages (i.e. no contents, just dependencies or recommendations on others):
  • harden-tools: システムのセキュリティを高める 道具 (完全性チェッカー、侵入検知、カーネルパッチ...)
  • harden-environment: 強化された環境を設定するのを 助けます (現時点では空です)。
  • harden-servers: 何らかの理由で危険と考えられて いるサーバを削除します。
  • harden-clients: 何らかの理由で危険と考えられて いるクライアントを削除します。
  • harden-remoteaudit: リモートからシステムを監査する 道具。
  • harden-nids: helps to install a network intrusion detection system.
  • harden-surveillance: helps to install tools for monitoring of networks and services.
Useful packages which are not a dependence:
  • harden-doc: このマニュアルおよびその他の セキュリティ関連の文書パッケージを提供します。
  • harden-development: development tools for creating more secure programs.
必要なソフトウェアがあって (そして何らかの理由でアンインストールしたくは なくて)、それが上記のパッケージのどれかと対立していたら、 harden を完全に利用することはできないので注意してください。 harden パッケージは (直接には) 何もしません。しかし harden パッケージは 既知の安全でないパッケージと意図的に対立します。このようにすると、Debian の パッケージシステムはこれらのパッケージをインストールすることを承認しなく なります。たとえば、telnet デーモンを harden-servers と ともにインストールしようとすると、apt はこう言うでしょう: 
# apt-get install telnetd 
The following packages will be REMOVED:
  harden-servers
The following NEW packages will be installed:
  telnetd 
Do you want to continue? [Y/n]
これは管理者の頭の中で警告を目立たせるはずですし、管理者は自分の行動を 考えなおすでしょう。