再構成可能な設定

Solaris for ISPs のプラットフォーム拡張機能と各種サービスをデフォルト構成でインストールすると、そのホストのデフォルトのサービス動作が変わります。つまり、Solaris for ISPs ソフトウェアをインストールしたシステムにおいて、あまり重要でない Solaris ネットワークユーティリティを無効にして、サーバーのセキュリティを強化します。

ホスト構成時には必ずデフォルト構成を確認し、必要に応じて変更してください。

デフォルト構成を使用すると、特に指定しなければあまり重要でない Solaris サービスが無効になります。これは必須ではありませんが、セキュリティホールの可能性を排除し資源を保護するために、そのようなサービスを無効にすることをお勧めします。特に指定がなければ、サービスの有効または無効を変更するために inetd.conf が変更されます。この変更を元に戻す方法については、「Solaris 基本環境の復元」を参照してください。

セキュリティホールの可能性の排除

パスワードの流出と不正ユーザーによるアクセスを防ぐために、次の各サービスを無効にすることをお勧めします。

デフォルト設定を使用してインストールした場合、無効になった 「r」 コマンドを使用してホストにアクセスすることはできません。

• rexecd: このサービスを無効にすると、rexec(3N) によるコマンドの遠隔実行は行えなくなります。このサービスはパスワードを単純テキスト形式で送信します。

• rlogind: このサービスを無効にすると、パスワードのセキュリティが強化されます。このサービスは、遠隔ログインの際に .rhosts と hosts.equiv を使用してパスワードなしの認証を行います。

• rshd: このサービスを無効にすると、パスワードによる保護が行われます。このサービスは、コマンドの遠隔実行の際に .rhosts と hosts.equiv を使用してパスワードなしの認証を行います。

  ---

  注 -

  デフォルト設定をそのまま使用すると、次のサービスが有効になります。必ず、各サービスの有効または無効を確認し、必要に応じて変更してください。

  ---

• telnetd: インストールのデフォルト設定では、遠隔ログインを可能にするために、このサービスが有効になることに注意してください。

• ftpd: インストールのデフォルト設定では、最小のセキュリティリスクでネットワーク上の遠隔サイトとのファイル転送を可能にするために、このサービスが有効になることに注意してください。Sun Internet FTP Server をインストールする場合は、このサービスが無効になります。

  ---

  注 -

  telnet および FTP サービスにおけるセキュリティを強化するには、ファイル転送要求がネットワーク内に限定されるようにネットワークを設定します。

  ---

システム情報を不正ユーザーから保護するために、次の各サービスを無効にすることをお勧めします。次の各サービスを無効にすると、サービスからのネットワーク要求に対してホストからの応答を拒否することにより、システム情報へのアクセスが制限されてシステムセキュリティが向上します。

• fingerd: このサービスを無効にすると、ネットワークベースの finger 要求からシステム情報が保護されます。

• netstat: このサービスを無効にすると、ネットワーク関連のさまざまなデータ構造の内容が、netstat の遠隔呼び出しによる読み取りから保護されます。

• rstatd: このサービスを無効にすると、システム統計情報へのアクセスが拒否されます。

• rusersd: このサービスを無効にすると、ログインしているユーザーに関する情報が保護されます。

• systat: このサービスを無効にすると、ホスト上で ps を遠隔実行できなくなります。

• routing: このサービスを無効にすると、ホストをルーターとして使用できなくなります。その場合、/etc/notrouter ファイルが作成されます。

• sendmail: このサービスを無効にすると、ホストをサービス不能にする攻撃から保護し、メール送受信のサポートを停止します。S88sendmail が変更されます。

• sprayd: このサービスを無効にすると、スプレーから送信されたネットワークとレコードパッケージのテストのサポートを停止します。

資源の保護

次の CDE と OpenWindows^TM サービスは、特に必要でない限り無効にすることをお勧めします。次の各サービスを無効にすることで、システムパフォーマンスが向上します。

• cmsd: このサービスはホスト上に CDE カレンダが存在する場合にしか必要ないため、それ以外の場合はこのサービスを無効にしてください。

• dtspcd: このサービスを無効にすると、CDE セッションのサポートを停止します。

• kcms_server: このサービスを無効にすると、OpenWindows KCMS プロファイルへの遠隔アクセスが行えなくなります。

• ttdbservered: このサービスを無効にすると、CDE 操作に必要な ToolTalk^TM データベースサーバーのサポートを停止します。

次のネットワーク (inetd) サービスは、特に必要でない限り無効にすることをお勧めします。次の各サービスを無効にすると、資源が解放されてシステムパフォーマンスが向上します。次に示すネットワークユーティリティが必要な場合は、デフォルト構成を変更してください。

• chargen: このサービスを無効にすると、inetd のテストと文字生成のサポートを停止します。

• discard: このサービスを無効にすると、テストしている inetd からの入力がすべて破棄されます。

• echo: このサービスを無効にすると、テストしている inetd からの入力のエコーバックが行われません。

• fs.auto: このサービスを無効にすると、フォントサーバーが無効になります。

  ---

  注 -

  デフォルト設定をそのまま使用すると、次のサービスが有効になります。必ず、各サービスの有効または無効を確認し、必要に応じて変更してください。

  ---

• time: インストール時のデフォルト設定では、システム時刻の遠隔照会を可能にするために、このサービスが有効になることに注意してください。このサービスでは、マシン時刻が返されます。

• cachefsd: インストール時のデフォルト設定では、このサービスが有効になることに注意してください。これは、cacheFS デーモンです。

次の各サービスは、絶対に必要な場合を除いて無効にすることをお勧めします。次の各サービスを無効にすると、システムパフォーマンスが向上します。次に示すサービスが必要な場合は、デフォルト構成を変更してください。

• automountd: このサービスは自動マウントをサポートするためだけのもので通常の NFS マウントには不要なため、このサービスは無効にしてください。設定値を変更するには、S74autofs を変更します。

• comsat: このサービスを無効にすると、ホストが受け取った新しいメールの biff(1) 通知が送信されません。

• daytime: このサービスを無効にすると、日付と時刻の照会ができなくなります。

• rquotad: このサービスを無効にすると、ホストがファイルシステム上でディスク割り当てをサポートする NFS サーバーとして機能しないようにできます。

• sadmind: このサービスを無効にすると、Solstice AdminSuite^TM を使用した分散型システム管理操作のサポートを停止します。

• talkd: このサービスを無効にすると、対話型 talk プログラムのサポートを停止します。

• tnamed: このサービスを無効にすると、DARPA ネームサーバープロトコルのサポートを停止します。

• lpd: このサービスを無効にすると、ホストが BSD プリントサーバーとして機能しないようにできます。System V のプリントサーバーは停止しません。

• uucpd: このサービスを無効にすると、コピー元とコピー先のファイル名を引き数で指定したファイルコピーのサポートを停止します。

• walld: このサービスを無効にすると、wall によるメッセージ送信のサポートを停止します。

• Xaserver: このサービスを無効にすると、X ベースのオーディオのサポートを停止します。

ホスト構成中に Solaris サービスの有効または無効に関するオンラインヘルプを表示できます。