Hatena::Groupbook

すまいりブックレビュー

「Smily Books Blog」(2014年からはこちら)

2003-07-01

[][]体系的に学び直すネットワーク・セキュリティ 神崎洋治(日経BPソフトプレス) 22:54

1.クラッキング

(1)セキュリティホールの検査ツール

①MicrosoftBaselineSecurityAnalyzer(MBSA)(フリーウェア)により、

http://download.microsoft.com/download/e/5/7/e57f498f-2468-4905-aa5f-369252f8b15c/mbsasetup.msi

WindowsNT4.0/2000/XPのセキュリティ脆弱性をチャック可能。

(Win環境の全17項目チェック可能)

②CyberCop Asap(ネットワークアソシエイツ)

http://www.nai.com/japan/

オンラインせセキュリティ状態チェック。有料。

③Internet Scanner(インターネットセキュリティシステムズ)

http://www.isskk.co.jp/

ネットワーク上の脆弱性検出し、対処方法をアドバイスする。法人向け。

④Symantec NetRecon(シマンテック)

http://www.symantec.co.jp/

ネットワークを検査・評価し、脆弱性診断するソフトウェア。

⑤パーソナルセキュリティ診断(パーソナルセキュリティ研究所)

http://210.143.99.143/~p-sec/

ユーザ側からインターネット側への漏洩情報をチェック可能。

⑥PCの漏れ情報総合チェック(Big-Z Project)

http://www.big-z.net/

インターネット側からJavaやActiveXツールを使って使用中のパソコンから

情報を盗み出すデモ有り。

(2)サービスとポート番号の管理

http://www.iana.org/

IPアドレスや名前、番号などを管理し、標準化している組織。

(3)スパムメールをブロックする方法

ORBS(Open Relay Behaviour-modification System)

MAPSRSS(Mail Abuse Prevention System Relay Spam Stopper)

などで、メール中継に利用されているサーバのドメイン情報を公開している。

なお、ORBS(http://www.ordb.org/)は閉鎖された。

長崎ネットワークサービス(http://www.nanet.co.jp/)で無料診断サービス有り。

(4)パスワード推測ツール

John the Ripper、UnSecure(オンラインパスワードクラッカー)、

Brutus(http://www.hoobie.net/brutus/)など有り。

(5)危険なポート番号

137:NetBIOS名前解決サービス

138:NetBIOSデータグラム・サービスUDP

139:NetBIOSセッション・サービスTCP

445:ダイレクト・ホスティングSMBサービス

NetBIOSはNBT(NetBIOS over TCP/IP)が可能

SMB(Server Message Block)はアプリケーション層のサービス

2.コンピュータウィルス

(1)W32/Badtrans.B-mm

Badtransの亜種。OutlookやOutlookExpressは内容を見ただけで感染。

レジストリ書込みにより、Windows再起動時にウィルスメール送信。

宛先はMAPI(Messageing API)により取得。マシン自体の破壊活動はなし。

(2)W32/CodeRed

IISのリモートバッファオーバフローの脆弱性を利用して侵入し、メモリのみで活動。

Windows再起動(メモリクリア)で消滅。特定のIPアドレスへDOS攻撃。

マシン自体への破壊活動としては、Webページアクセス時に特定の文字列が表示されてしまう程度。

(3)W32/Klez

ウィルスメール送信及び共有フォルダへのウィルスコピーで繁殖。

マシン自体への破壊活動としては、奇数月の6日にファイル書換えや破壊。

亜種ではアンチウィルスソフト停止を行うものも有り。

(4)VBS/LoveLetter

VBSの添付メールで繁殖。

レジストリ書込みにより、Windows再起動時にウィルスメール送信。

マシン自体への破壊活動としては、Webページアクセス時に初期表示ホームページを書き換えて、ハッキングツールをダウンロードする。

犯人はフィリピン人だが、国の法規制未整備のため釈放。

(5)W97M/Melissa-mm

Wordの標準テンプレート「NORMAL.DOT」で感染。

Wordを実行(新規文書、既存文書作成)するたびにウィルスが実行される。

既存文書も開いた時点で感染。ウィルスはOutlookを利用して送信される。

マシン自体への破壊活動としては、Wordのマクロ機能無効化のみ。

犯人はアメリカ人で逮捕済み。

(6)W32/Nimda-mm

IISのリモートバッファオーバフローの脆弱性を利用して侵入し、メモリのみで活動。

宛先はMAPI(Messageing API)によりWWWブラウザ履歴などから取得。

多くのファイルやレジストリが破壊、上書きされるため、マシン動作不安定となる。

(7)W32/Sircam

My Documentsフォルダから任意に選んだファイルを添付し、ファイル名も添付ファイル名としてウィルスメール送信。添付ファイルをダブルクリックすると感染。

Windows起動時に実行される。

多くのファイルやレジストリが破壊、上書きされるため、マシン動作不安定となる。

毎年10月16日にWindows上の全てのファイル消去。(ただし、日本表記は2016年のみ。)

3.ホームページ参照のみで感染するウィルスの仕組み

(1)HTML形式のメールを受信する

(2)自動的にInternet Explorerの機能により、電子メールを表示する

(3)テキストの自動表示だけでなく、メールのMIMEヘッダに書かれた情報が全て自動実行される

(4)MIMEに従い、バイナリ形式の添付ファイルも自動的に開かれる

(添付ファイルが音声ファイルだと結果的に自動的に音声が流れる事になる)

(5)バイナリ形式の添付ファイルがウィルス実行ファイルだとウィルスが実行されることになる

4.ウィルス感染後の処置

(1)ウィルスのコードを取り除く(修復もしくは駆除)

(2)ウィルスが感染したファイル自体を削除する(削除)

(3)特殊なフォルダに移動する(検疫もしくは隔離)

(4)何もしない(アクセス拒否)

5.プロバイダ責任法

2002年5月施行。

ユーザが該当する情報(例えば、掲示板にアップされた個人情報)の削除などの措置を求めた場合、プロバイダは情報発信者に照会・確認する責任がある(放置はできない)。

また、正当な利用がある場合のみ、被害者は情報を発信した人の個人情報をプロバイダに開示請求可能。

6.ホームページにアクセスして漏れる情報

http://www.ugtop.com/

「確認くん(UGTOP)」にアクセスし、自分のwwwブラウザが出している情報を確認可能。

7.プライバシ情報の漏洩

(1)スパイウェア

ReGet、FlashGetなどに同梱されたスパイウェアにより、個人情報やアクセス履歴などを

別サーバへ転送可能。スパイウェアは感染や破壊は行わないため、ウィルスとは区別される。

(2)スパイウェア検知ソフト

http://www.lavasoft.nu/index.html

Ad-Aware(Lavasoft社のフリーウェア)を利用する。

(3)スパイウェア同梱ソフト一覧(TomCat PC Systems)

http://www.tom-cat.com/spybase/spylist.html

8.メールの暗号化

(1)POPのユーザ認証暗号化:APOP(Authenticated Post Office Protocol)

(2)SMTPのユーザ認証暗号化:SMTPAUTH

(3)メール本文暗号化:SSL

2003-06-17

[][]現場で役立つセキュリティの基礎知識 近藤裕朗(ソフトバンクパブリッシング) 22:54

1.外部からの侵入

(1)スクリプトプログラムによる攻撃

Webで表示されたページ内の入力ボックスにスクリプト(<SCRIPT/>~</SCRIPT>)を入力し、実行される。

コンテンツフィルターで予防する。

(2)e-Mailによる攻撃

Spamメールの踏み台(第三者中継)とされると自社内のメールサーバが

ORDB(http://orcb.org/)などのブラックリストにアップされてしまう。

2.外部犯による攻撃

(1)攻撃可能なネットワークの探査

「Whois」(http://whois.nic.ad.jp/cgi-bin/whois-gw/)を利用する。

(2)攻撃

Exploitツール(http://www.securiteam.com/exploits/)を利用する。

3.セキュリティ対策

(1)LDAP(Lightweight Directory Access Protocol)

DN(Distinguished Name)によりエントリ(DBのレコードに相当)の識別子として、

DIT(Directory Information Tree)でデータを構造管理

※DN

①c(country:国)②o(organizationName:組織)③ou(organizationUnitName:部署)

④cn(commonName:一般名)

2003-06-06

[][]情報セキュリティポリシーの実践的構築手法 打川和男(オーム社) 22:53

1.情報セキュリティポリシーとは?

(1)リスクの値

情報資産の価値×脅威×脆弱性

(2)リスクの"取扱い"

①無くすのか(除去)②減らすのか(軽減)③他へ移すのか(転化)④許すのか(許容)をリスクの値を基準値と比較して判断する。

2.ポリシー策定で利用されるガイドライン

(1)BS7799-Part2

情報セキュリティマネジメント対象。BSIが発行、UKAS(英国認定機関)認定。

Part1のみJISX5080でJIS化。

(2)ISMS適合性評価制度

情報セキュリティマネジメント対象。JIPDEC(日本情報処理開発協会)が発行及び認定。

(3)ISO/IEC TR13335

ITセキュリティマネジメント対象。TR X0036でJIS化。

(4)ISO/IEC 15408

ハードウェア・ソフトウェア製品または、システム対象。JISX5070でJIS化。

(5)プライバシー評価登録制度(要求事項)

個人情報保護マネジメント対象。JIS Q15001でJIS化。

3.セキュリティ対策に関する3つの特性

(1)IT発展速度の特性

各メーカ、ベンダはセキュリティの継続性を(無償では)保証しない。

(2)対策の考え方の特性

一番重要なのは漏洩があった時どうするかの危機管理

(3)市場のセキュリティ事故の特性

主原因はヒューマンエラー(技術のみの対策の限界)

4.情報セキュリティポリシー構築失敗の要因

(1)構築に時間がかかりすぎて途中で断念してしまう

(2)情報セキュリティポリシー自体の運用が出来ていない

5.情報セキュリティポリシー構築手法

(1)守るべきポリシーの効果(メリット)と負荷(デメリット)を明確にするため、

複数案(3案程度)洗い出し、その中の折衷案で決定とするのが良い。

(2)リスクアセスメントは、その調査対象毎に手段を使い分ける。

①自ら足を運んで目で見て確認(現場観察)

②自ら足を運んで耳で聞いて確認(現場インタビュー)

③専門家に依頼(ネットワーク脆弱性診断などの外部委託

④現場に書いてもらい確認(調査表、アンケートなど)

(3)リスク対策法決定までの最適プロセス

機密性・完全性・可用性だけでなく、

①利便性②実現性③有効性④コストとのバランスを考慮する。

2003-05-23

[][]Linux World 22:52

ビックサイトに数年ぶりに行く。

有楽町線自体乗ったのも、はるか昔有明のテニスコートに行ったとき以来かぁ。。

しかし、新木場から国際展示場まで2駅で5分なのに260円も取るってどういうことでしょうね。臨海高速だかなんだか知らないけど。

以下所感ですが、

1.HPのアルファサーバ

カッコ良い。

スイッチレスメッシュアーキテクチャだったか。CPUをメッシュで接続して、プロセッサ間通信を高速化してる。

CPUといっしょに1チップ化されたルータモジュールが上下左右にある他の4つのCPUと独立して(スイッチレス)、通信できるとか。

更に、メモリやI/OコントローラもCPU毎についてるので、CPU単位にハードウェアパーティニングできて、導入システムの分散化や負荷分散にも効果的だとか。ほんまかいな。

要はメモリ共有してないって所がミソかな。いわゆる密結合でない。

メモリ共有しない分、プロセッサ間通信でデータの共有をはかるんだろうけど、それが猛烈に速くてしかも安定してるらしい。

OpenVMS上だと可用性がファイブナイン(99.999%)だとか。

2.Oracle9iRAC

商売上手という感じ。なんだかプレゼンしてる人も自信満々という感じだった。なんだかなぁ。

なぜか近くで大塚製薬がオロナミンC無料配布してた。

Oracleのビッグユーザなのかな?

3.IBM

会場3つ回ると記念品贈呈とか、子供だましで盛り上げてた。電車のスタンプラリーとか好きな人は思わず回っちゃうのでしょう。

中身はハードソフト共に特に印象なし。

4.NEC

ステージ前の椅子に座って期待してたのに、説明員が棒立ち&棒読みでがっかり。あの広いステージが意味なし。

プレゼン力もなくて、あれじゃ買う気おきないかも。

国内のLinuxサーバシェア1位って所だけ頭に残ってる。

てことは、説明員はそれだけ言いたかったってことなのかな。

あ、ミネラルウォータの無料配布。これはマル。

5.富士通

導入サポートの関連会社の人とおしゃべり。

結構昔からLinuxサポートは始めてるらしい。

トラブル対応って客とメイカーどちらが悪いの?って事が多くて、でも結局お客さんにシビアな費用請求はできない事が多くて苦労してるとか。

どこも同じだねぇ。

6.HITACHI

時間切れで通り過ぎただけ。ちょっと残念。

7.その他展示もの

IBMかな?っと思っていくと、その関連会社だったりしてダマされた。

2003-05-20

[][]インターネット時代の著作権 岡本薫(全日本社会教育連合会) 22:52

1.著作権とは何か

(1)「著作権」は開拓地の「土地所有権」と似ている

知的所有権は著作権や特許権などを含み、「創作物」の「利用」についての権利を保障する。

①「完全利用」=「土地を開墾して所有」

②「一時利用」=「馬車などで土地を通過する」で例えられる。

③「完全利用」でない利用の仕方

・コピー

・放送(公衆向けの送信)

(2)「著作権」ということばの三つの意味

①(広義的な)著作権

②著作者の権利(著作物を伝達する著作隣接権を除く)

③②のうちの経済的な権利((2)に含まれる人格権は除く)

(3)「コピーライト」とは

上記(2)③のうちの「無断でコピーされない権利」

(米国は先進諸国で最も保護水準が低い=コピーライトの保護範囲が狭い)

(4)政府の著作物の扱い

①米国では全て著作権は否定→NASAが開発したコンピュータプログラムも営利目的で企業利用可能

②ヨーロッパや他の多くは政府でも著作権所有している

(5)外国の著作物

ベルヌ条約、万国著作権条約、ローマ条約などある。関連する場合、専門家に相談必要。

(6)著作権の「権利」とは

著作者自身が○○できる権利の他に、他者が無断で○○する事を差し止めることができる権利

(7)インタラクティブ送信に関する権利

これまでの公衆放送と違い、サーバに情報が一時蓄積される点が異なる。

無断でホームページへアップロードさせない権利

無断でインターネットなどを通じて送信可能化の状態にされない

リンクだけであれば、リンク先サーバが送信不可、アップロード不可にできるので侵害していない。(先進諸国に先駆け日本が実施)

※現状では、上記の著作権法が整備されていない外国にサーバを置いて、そこから送信は可能。

(8)「公衆」とは

「不特定」または「特定多数」の人々。

特定会員向け放送の場合も利用形態が経済的意味を持つ場合、著作権侵害となる。

(9)「放送」とは

「公衆」に向けた同時送信。よって、不特定だけでなく特定多数の人も対象に含まれる。

2.著作隣接権

(1)著作隣接権とは、著作物「など」を伝達する権利

=「著作物」ではない「単なる景色」なども工夫して伝達した場合、著作隣接権が発生

(2)「レコード」の中の実演と「ビデオ」の中の実演の違い

①レコード

「録音」された実演のその後のコピー、送信可能化、レンタルなどすべて実演家にも権利発生(レコード=音の記録媒体。CDも含む)

②ビデオ

「録画」された実演は生実演の録画のみ①と同じであるが、通常はその後の権利は一切発生しない。

※実演家の人格権の欠如:例えば、バレエなどの実演について、録画した媒体をデジタル処理により体系や顔の置き換えといった改変が行われても、現状では文句が言えない。

(3)レコードレンタルと著作権

①発売後1年間のみ「許諾権」(無断で公衆にレンタルされない権利)

②発売後2~50年目までの49年間は「報酬請求権」

(公衆へのレンタルについて使用料を請求できる権利

=使用料は請求できるがレンタル行為そのものの差し止めはできない)

(4)インターネット条約(WIPO新条約)

インタラクティブ送信に関する

「著作者」及び「実演家・レコード製作者」の権利

3.著作権と土地収用法

(1)購買した本の譲渡が許されるかどうか

構わない。通常メーカーが卸売りに流通した段階で譲渡権が消滅しているため。

CDなども買った時点で譲渡が行われているため、その後の転売はOK

(ただし、コピーした後譲渡する場合は話が別)

(2)情報公開法による権利制限

公表権(無断で公表されない権利)については、(情報公開法の施行後に著作者が行政機関に提出した著作物について)開示決定までに著作者が公表拒否の意思表示をしない限り、無断で公表しても構わない。また、公益性が高いものは公表拒否してとしても、行政機関が公表できる。

4.IT(情報通信技術)と契約

(1)著作権に関する法律と契約

①日本では著作権に関する法律は整備されている。

 実際に遅れているのは当事者同士で締結する契約。

②米国では著作権に関する法律は低い水準だが、

 契約に関するシステムは世界で最も発達している。

(2)利用者側の契約

権利者に対して明確に「利用範囲」を契約上確定するのは利用者側の責任。

(3)著作権管理システム

著作者と利用者が契約手続きをする場がない。

(例えば利用者にとっては、ハンドバッグをデパートで買っても、

それを作った人に直接会うことは難しい。)

よって、当事者同士が「出会える」ようにするための仕組みが必要。

5.教育活動と著作権

(1)ホームページリンク

①「リンク」は一般にコピーや再送信を伴っていないので、通常著作権侵害にはならない。(リンクを張る時に了解を得るかどうかはルールでなくモラルの問題)

②ホームページ作者自身が、利用範囲や条件を明確に「表示」しておくべき。

2003-05-18

[][]ピープルウェア(第四部 生産性の高いチームを育てる) 22:52

トム・デマルコ/ティモシー・リスター(日経BP社)

1.チームと派閥

(1)派閥というグループは経営上の不安の兆候から生まれる。

(2)しっかり結束し心地良さを与えるグループをチームと呼ぶ。

(3)結束したチームは生意気で、自己満足的で、苛立たせ、排他的かもしれないが、

大きな成果を挙げる。

(4)いつでも交代可能で、まとまりのない、型にはまったメンバばかりのチームは、

管理者にとって安心であるが、最終的な成果は少ない。

2.チーム殺し

(1)自己防衛的な管理

どんなミスも許されないという雰囲気は、部下を信頼していないこととして伝わる。

(2)官僚主義

頭を使わず機械的にドキュメントを作る「ペーバーワーク」に忙殺される。(カフカの「城」)

(3)作業場所の分散

メンバの物理的な分散はチーム固有の文化形成を阻害する。

日常の何気ない会話がチーム形成には必要。

(4)時間の分析

一人の人間に同時に複数のチームで仕事をさせると、それぞれのチームの調子に合わせることに時間が費やされる。

(5)品質低減製品

客先によっては悪くても良いから安くて早いものを要求する。

こうした譲歩は、プログラマの自尊心、チームの一体感を損なう。

(6)さばを読んだ納期

納期のさばを読んで早めの提出を脅迫する管理者は部下を信用していないのと同じである。

(7)チーム解体の方針

結束したチームは階層社会の底辺でしか形成されない。

「管理者のチーム」などは存在しない。

よって、管理者の不安や上級管理者のチームへの無関心からメンバ個別の引き剥がしによるチームの解体が始まる。

3.本当の責任者

(1)優秀な管理者は、時には部下に対して賭けをする。

(2)管理者が自己の不安から部下に服従を要求させるような権威主義的なやり方は、

部下のやる気をなくさせる。

4.チーム形成の不思議な作用

(1)品質至上主義

(2)満足感を与える打ち上げをたくさん用意する

(3)エリート感覚を醸成する

(4)チームに異分子を混ぜることを奨励する

(5)成功チームを解体させないで保護する

(6)戦術でなく戦略を与える

[][]ピープルウェア(第五部 きっとそこは楽しいところ(仕事は楽しくあるべき)) 22:52

トム・デマルコ/ティモシー・リスター(日経BP社)

1.試行プロジェクト

(1)プロジェクトにおける標準化とは、主として製品そのものより、製品に関する書類作りのみを同質化する。

(2)プロジェクトで実験する開発技法は、二つ以上の観点について一度にやってはいけない。

(新しいハードウェア、ソフトウェア、品質管理、プロトタイピング技法など一度に併用しない。)

2.プログラミングコンテスト

年に一度各チーム間で24時間プログラミングコンテストを行う。

3.ブレーンストーミング

アイデアの批評はしないで、進行もルーズにしてグループ討議を行う。

4.研修、旅行、学会による出張

(1)チームで研修、旅行、学会に行かせる。

(2)チーム結成時に顧客の状況調査として部下に出張させる。

2003-05-17

[][]ピープルウェア(第三部 人材を揃える) 22:52

トム・デマルコ/ティモシー・リスター(日経BP社)

1.「標準」と採用オーディション

(1)管理者が潜在的にせよ「標準」を押しつける事は画一性の要求であり、

管理の側面における不安定性の兆候である。

(2)自信のない中間管理層は、標準から外れた行為は何であれ気に入らない。

(3)接客部門や営業部門でなければ、服装規定やオフィスの風紀を管理する事には意味がない。

(要は内部の人間が感じるイメージの問題)

(4)曲芸師を雇う時のオーディションで芸を披露してもらわないのは馬鹿げている。

技術者、設計者、プログラムリーダの採用も同様に考えるべきである。

過去に作成したプログラムサンプルや成果物を提出させ、オーディションを実施する。

2.自己修復システム

(1)決定論的システムは人の自己修復能力が失われる。

(2)作業規定は思考を一つのやり方にのみ集約してしまう。

3.ホーソン効果

(1)生産性を向上させるには、他と違った扱い、何か新しいことが必要。

(2)標準でないルールを使って仕事に取り組む。

(3)作業標準は10ページ以下とし、完結で穏やかなものとしておく。

2003-05-16

[][]suの設定 22:52

Miracle Linux2.1では、デフォルトでは一般ユーザがroot権限を持つ事ができない。

ただし、例えばDBサーバ初期導入時等にOracleをインストールするような場合、oracle管理用ユーザとrootを併用したい場合が多い。

その場合、以下のようにwheelグループにユーザを追加し、suの利用設定を行う必要がある。

1.wheelグループに新規追加の場合

# useradd -g デフォルトグループ名 -G wheel ユーザ名

2.wheelグループ既存ユーザ変更の場合

# usermod -G wheel ユーザ名

※参考

ZDNet デベロッパー: Linux Tips - root権限を持つことが可能な一般ユーザーを限定させたい

root権限の限定

2003-05-15

[][]ポート番号の仕組みと活用 市川昭彦(ディー・アート) 22:51

1.HTTPプロトコル

(1)クライアントがブラウザを起動する

(2)ルータは1024番以降の任意のポートを開き、クライアントと通信確立

(3)ルータからのデータは、最終的に該当サイトのあるWebサーバの80番ポートに届く

(4)Webサーバからの返信はルータの80番ポートで受信

(5)ルータはWebサーバから受信したデータをクライアントに送信

2.UPnPとNAT Traversal

(1)UPnP

クライアント側からルータのNAT設定やデータを受け取るポートの開閉可能

(クライアントアプリケーション動作中のみポートを開くといった制御可能)

(2)NAT Traversal

クライアント側でグローバルIPアドレスを認識可能

3.ポート番号はIANA(Internet Assigned Numbers Authoryty)が管理

(1)0~1023(Well-Knownポート)(IANA管理下)

(2)1024~49151(Registeredポート)(IANA管理下)

(3)49152~65535(Dynamicポート、Privateポート)(特に制限なし)

http://www.iana.org/assignments/port-numbers)

たいした事は書いてなかったなぁ。

2003-05-12

[][]ピープルウェア(第二部 オフィス環境と生産性) 22:51

トム・デマルコ/ティモシー・リスター(日経BP社)

1.プログラムは夜できる(のはゆゆしき問題)

(1)深夜残業、朝早い出社、自宅で仕事、いずれもオフィス環境の悪さに起因する場合が多い。

(2)オフィス環境、企業の雰囲気、あるいは企業文化に魅力がないと、優秀なプログラマーも去っていく。

(3)プログラマーが通常就業時間内に仕事に打ち込めないのは、オフィスの環境改善を図らない管理者の責任。

2.頭脳労働時間対肉体労働時間

(1)時間のたつのを忘れ、作業が自然にスムーズに流れる状態(=フロー状態)が長いと仕事は効率化されるが、

フロー状態になるには通常15分以上の精神集中が必要。その間にTEL等で邪魔されるとそこからまた15分以上かかる。

(2)プログラマには論理的思考を司る左脳が重要。

ただし、ヒラメキが起こる余地を残しておくには、右脳を利用する。

音楽は右脳が処理するので、聴きながら作業を行うとクリエイティブな仕事には効率が悪い。

3.オフィス環境進化論

(1)通常の開放型オフィスは管理者が容易にコントロールし、縄張りを取り仕切る所を誇示するには適している。

しかし、これは部下にとっては仕事は集中しにくい。

各個人にとって、十分なスペース、静かさ、プライバシーが確保された環境が望ましい。

(2)ビル建築のマスタープランは同形同一規格という考え方。

(サンフランシスコのトランスアメリカンビル(アパートの鍵貸します))

メタプランでは、各部門の要望を取り入れ、建物全体の機能はそれぞれ少しずつ進化するという考え方。

メタプランにより、各部門の有機的秩序が形成される。

(3)背後の壁により自分以外の発生音(=騒音)を遮断し、前方2.4m以内は壁を設けない

(視覚的圧迫感からの解放)。また、各人がまちまちの方向を向いて同じ動きをした仕事を行うオフィス環境が望ましい。

(4)オフィスビルの中に入るに従い、プライバシー深度が高まるのが良い。

入り口は全従業員にとって暖炉のように安心して集まることのできる共通の場とし、

チームミーティングエリアでは会食可能とし、個人用エリアでは各人が静かに仕事に没頭できる環境が望ましい。

[][]Miracle Linux Webminの設定 22:51

自席すぐ近くにMiracle Linux導入サーバはあるのだが、やはり自席でそのまま作業できた方が便利。そこでWebminを設定することに。

1.サーバ機上でWebminを起動し、「 Webmin の設定 ( Configuration ) 」-「 IP アクセス制限 」を選択

2.「登録したアドレスあらのアクセスのみ可能」をチェックし、

右側のテキストエリアに「 127.0.0.1 」とリモートアクセスしたいクライアントIPアドレスを記入し保存

3.クライアントPC から「 https://(サーバ固定ローカルIPアドレス):10000/ 」にアクセス

4.Webminのログイン画面が表示されるので、サーバに登録済みのアカウント、パスワードでログイン


That's all.It's easy!

※参考Webmin について - Linux で自宅サーバ [ Home Server Technical.

[][][]Linuxセキュリティ対策(日経Linux 2003.3~5) 22:51

0.不要サービスの停止(アプリケーションレベルのサービス停止)

(1)デーモン単体で起動する不要サービスの停止

①runlevelコマンドを実行し、システムの現時点でのランレベルを調べる

(N 5と表示された場合、1つ前のランレベルはなし、現在のレンレベルは5)

②/etc/rc.d/rc5.dディレクトリ内のSで始まるファイルを.Sに変更

(sendmail停止の場合、S80sendmailを.S80sendmailに変更)

(2)スーパーデーモン経由の不要サービスの停止

①/etc/xinetd.dディレクトリ内の不要サービスファイルの内容を以下のように変更

disable=yes

②以下の通り/etc/xinetd.d/telnetファイルの

only_fromにtelnet接続を許可するホストのみ列挙する

③以下の通りrcスクリプトを手動で実行し、xinetdを再起動

/etc/rc.d/init.d/xinetd restart

(3)chkconfig等を利用する(Red Hat Linux8.0の場合)

(4)netstatコマンドでサービスが停止しているかどうか確認する

(5)nmapでも確認する

nmap -p 1-65535 ホストIPアドレス

(6)トランスポートレベルの制御はipchans、iptablesで行う

1.パケットフィルタリング

「Guarddog」(http://www.simonzone.com/software/guarddog/)で設定する。

(/etc/rc.firewallをスクリプトファイルとして作成し、実行制御する。)

2.FTPとTelnetのSSH化

OpenSSHを利用する。

/etc/ssh/sshd_configの「PermitRootLogin」をnoとして、rootでもログイン不可とする。

3.suによるroot権限奪取の制限

(1)/etc/groupファイルに以下の通り利用可能なユーザのみ追加する

wheel:x:10:root,[username]

(2)/etc/pam.d/suを以下の通り修正

auth required /lib/security/pam_wheel.so use_uid group=wheel

4./etc、/var/log配下のファイルのアクセス権限の制限

(1)root以外のユーザ書込み不可

①chown root [filename]

②chgrp root [filename]

③chmod g-w [filename]

③chmod o-w [filename]

(2)SetUIDビット解除

①SetUIDコマンド/アプリケーション確認

find / -perm -4000 -ls

②SetUIDビット解除(例.passwdコマンド)

chmod -s /usr/bin/passwd

5.不正行為を検知したらサーバ自動停止させる

(1)swatchをインストールする

①以下のファイルを入手する

Time-HiRes-1.42.tar.gz(http://www.cpan.org/)

File-Tail-0.98.tar.gz(http://www.cpan.org/)

Date-Calc-4.3.tar.gz(http://www.engelschall.com/~sb/)

TimeDate-1.14.tar.gz(http://www.cpan.org/)

swatch-3.0.4.tar.gz(http://www.oit.ucsb.edu/~eta/swatch/)

②以下の手順でインストールする

tar zxvf (ソース・アーカイブ)

cd (ソース・アーカイブを展開してできたディレクトリ)

perl Makefile.PL

make

su

make test

make install

(2)swatch設定ファイルを作成する(指定文字列はLinux毎に異なるため要確認)

①/etc/swatchrcディレクトリを作成

②/etc/swatchrc配下に.swatchrc_messageを以下の内容で作成し、

/var/log/messageを監視する(panic、halt発行時のみサーバ自動停止する)

watchfor /authentication failure/

mail=hoge@hoge.co.jp

watchfor /reject|Rejected|not connected/

mail=hoge@hoge.co.jp

watchfor /Linux version/

mail=hoge@hoge.co.jp

watchfor /(panic|halt)/

exec "/sbin/shutdown -h now"

③/etc/swatchrc配下に.swatchrc_secureを以下の内容で作成し、

/ver/log/secureを監視する(認証に5回失敗した場合ネットワークを切断する)

watchfor /SSH_Version_Mapper/

mail=hoge@hoge.co.jp

watchfor /Failed passwd/

mail=hoge@hoge.co.jp

watchfor /last message repeated 5 times/

exec "/etc/rc.d/init.d/network stop"

(3)/etc/rc.localに以下の実行コマンドを追記し、

swatchをシステム起動時に自動起動とする

swatch -c /etc/swatchrc/.swatchrc_secure -t /var/log/secure

swatch -c /etc/swatchrc/.swatchrc_message -t /var/log/message

(4)snortをインストールする

①以下のファイルを入手する

snort-1.9.0.tar.gz(http://www.snort.org/)

libpcap-0.7.1.tar.gz(http://www.tcpdump.org/)

②以下の手順でインストールする

tar zxvf (ソース・アーカイブ)

cd (ソース・アーカイブを展開してできたディレクトリ)

/.configure

make

su

make install

(5)snort設定ファイルを作成する

①検査結果ログ保存用として/var/log/snortディレクトリを作成

②設定、ルールファイル保管用として/etc/snortディレクトリを作成

③最新のルールファイルをダウンロードし、更新(http://www.snort.org/dl/rules)

④設定、ルールファイルを以下の通りコピーする

cp -ra ./rules /etc/snort/

cp ./etc/snort.conf /etc/snort/

cp ./etc/classification.config /etc/snort

⑤/etc/snort/snort.confを以下の通り設定

・「var HOME_NET」のanyを監視対象マシンIPアドレス/32に変更

・「var HTTP_SERVERS」の$HOME_NETを監視対象マシンIPアドレス/32に変更

・「RULE_PATH」を/etc/snort/rules/とする

・「#Include all relevant rulesets here」以下のルールファイルを編集

(6)/etc/rc.localに以下の実行コマンドを追記し、

snortをシステム起動時に自動起動とする

snort -Dde -c /etc/snort/snort.conf

(7)SnortSnarfをインストールする

①以下のファイルを入手する

XML-Parser-2.31.tar.gz(http://www.cpan.org/)

Mail-Sendmail-0.78.tar.gz(http://www.cpan.org/)

SnortSnarf-021111.1.tar.gz(http://www.silicondefense.com/software/snortsnart/)

②以下の手順でインストールする

tar zxvf (ソース・アーカイブ)

cd (ソース・アーカイブを展開してできたディレクトリ)

perl Makefile.PL

make

su

make test

make install

(SnortSnarfのみ以下追加)

cd ../

mkdir /usr/local/snortsnarf

cp snortsnarf.pl /usr/local/snortsnarf

cp -r include /usr/local/snortsnarf

(8)snortのパケット監視結果のうちアラートログを

/home/httpd/html/snortにHTML形式で出力する

/usr/local/snortsnarf/snortsnarf.pl -d /home/httpd/html/snort /var/log/snort/alert

(9)/etc/swatchrc/.swatchrc_snort_alertを以下の通り設定

watchfor /DOS/

mail=hoge@hoge.co.jp

watchfor /Virus/

mail=hoge@hoge.co.jp

watchfor /DNS/

mail=hoge@hoge.co.jp

watchfor /WEB/

mail=hoge@hoge.co.jp

watchfor /BACKDOOR/

exec "/etc/rc.d/init.d/network stop"

(10)swatchでsnortのログを監視する

swatch -c /etc/swatchrc/.swatchrc_snort_alert -t /var/log/snort/alert &

(11)chkrootkitをインストールする

①以下のファイルを入手する

chkrootkit.tar.gz(http://www.chkrootkit.org/)

②以下の手順でインストールする

tar zxvf (ソース・アーカイブ)

cd (ソース・アーカイブを展開してできたディレクトリ)

make sense

(12)chkrootkit_dairyファイルを以下の内容で作成する

#!/bin/sh

cd /var/log/

/(chkrootkitコンパイルディレクトリ)/chkrootkit > chkrootkit_log_alert(

結果をファイル出力)

grep "INFECTED" chkrootkit_log > chkrootkit_log_alert(アラートメッセージ表示行ファイル出力)

chmod 600 chkrootkit_log_alert(root以外ファイルアクセス不可)

(13)毎日chkrootkitが自動実行され、検査結果を/var/logに出力する

①chmod +x chkrootkit_dairy

②cp chkrootkit_dairy /etc/cron.dairy

(14)/etc/swatchrc/.swatchrc_chkrootkitを以下の通り設定

watchfor /INFECTED/

exec "/sbin/shutdown -h now"

(15)swatchでchkrootkitのログを監視し、アラートログ発行時にサーバ自動停止する

swatch -c /etc/swatchrc/.swatchrc_chkrootkit /var/log/chkrootkit_log_alert &