セキュリティホールの可能性の排除

パスワードの流出と不正ユーザーによるアクセスを防ぐために、次の各サービスを無効にすることをお勧めします。

デフォルト設定を使用してインストールした場合、無効になった 「r」 コマンドを使用してホストにアクセスすることはできません。

• rexecd: このサービスを無効にすると、rexec(3N) によるコマンドの遠隔実行は行えなくなります。このサービスはパスワードを単純テキスト形式で送信します。

• rlogind: このサービスを無効にすると、パスワードのセキュリティが強化されます。このサービスは、遠隔ログインの際に .rhosts と hosts.equiv を使用してパスワードなしの認証を行います。

• rshd: このサービスを無効にすると、パスワードによる保護が行われます。このサービスは、コマンドの遠隔実行の際に .rhosts と hosts.equiv を使用してパスワードなしの認証を行います。

  ---

  注 -

  デフォルト設定をそのまま使用すると、次のサービスが有効になります。必ず、各サービスの有効または無効を確認し、必要に応じて変更してください。

  ---

• telnetd: インストールのデフォルト設定では、遠隔ログインを可能にするために、このサービスが有効になることに注意してください。

• ftpd: インストールのデフォルト設定では、最小のセキュリティリスクでネットワーク上の遠隔サイトとのファイル転送を可能にするために、このサービスが有効になることに注意してください。Sun Internet FTP Server をインストールする場合は、このサービスが無効になります。

  ---

  注 -

  telnet および FTP サービスにおけるセキュリティを強化するには、ファイル転送要求がネットワーク内に限定されるようにネットワークを設定します。

  ---

システム情報を不正ユーザーから保護するために、次の各サービスを無効にすることをお勧めします。次の各サービスを無効にすると、サービスからのネットワーク要求に対してホストからの応答を拒否することにより、システム情報へのアクセスが制限されてシステムセキュリティが向上します。

• fingerd: このサービスを無効にすると、ネットワークベースの finger 要求からシステム情報が保護されます。

• netstat: このサービスを無効にすると、ネットワーク関連のさまざまなデータ構造の内容が、netstat の遠隔呼び出しによる読み取りから保護されます。

• rstatd: このサービスを無効にすると、システム統計情報へのアクセスが拒否されます。

• rusersd: このサービスを無効にすると、ログインしているユーザーに関する情報が保護されます。

• systat: このサービスを無効にすると、ホスト上で ps を遠隔実行できなくなります。

• routing: このサービスを無効にすると、ホストをルーターとして使用できなくなります。その場合、/etc/notrouter ファイルが作成されます。

• sendmail: このサービスを無効にすると、ホストをサービス不能にする攻撃から保護し、メール送受信のサポートを停止します。S88sendmail が変更されます。

• sprayd: このサービスを無効にすると、スプレーから送信されたネットワークとレコードパッケージのテストのサポートを停止します。