=================================
Linuxのセキュリティー対策《その3》
=================================
最近は,Fedora8にすっかりハマっています。職場にこっそり導入した
Fedora7のXOOPSサーバもアップグレードしようかと,目論んでいる
今日この頃です。
今回は,前回に引き続き,「不要なサービスを止める」というテーマで
具体的なサービスについてまとめてみます。主にFedora8やFedora7の
解説ページを元にしていますが,Ubuntuなど他のディストリに共通する
ものも多く含まれています。
=================================
不要なサービスを止める方法 ー Part2 ー
=================================
参照サイト:Fedora8
http://www.mjmwired.net/resources/mjm-services-f8.html
参照サイト:Fedora7
http://www.mjmwired.net/resources/mjm-services-f7.html
不要なものについては,それぞれ下記のランレベルでOFFに設定します。
Fedoraの場合:ランレベル5&ランレベル3
Ubuntuの場合:ランレベル2
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
■ 停止してはいけない,または停止しない方がいいサービス
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
下記のサービスは,ハードウェアの認識やシステムに関わるものです。
停止可能なものもあるかも知れませんが,よほど特別な事情がない限り,
OFFにすべきではありません。
・ConsoleKit
・crond
・auditd
・autofs
・haldaemon
・kudzu
・messagebus
・nasd
・ntpd
・smartd
・udev-post
・network
・rsyslog
・readahead_early
・readahead_later
・xinetd
アップデート関連:アップデートの告知が不要ならOFFでよい。
・yum-updatesd
ファイアウォール関連
・iptables:ファイアーウォールの本体。切らない方がよい。
・ip6tables:IP6を使わなければOFFにしてよい。
SELinux関連:SELinuxを使わなければOFFにしてよいが,
切らない方がよい。
・restorecond
・setroubleshoot
・mcstrans
マルチCPU関連:デュアルコアCPUやHT機能をもつCPUではONに設定。
・irqbalance
Xwindow関連
・gpm:テキストモードでログインしない限り,OFFでよいが,
テキストモードでON,GUIでOFFに設定すべき。
電源管理
・acpid:停止すると,suspend, sleep, wakeupでトラブルが
生じる可能性もある。
DHCPでネットワークを利用する際に必要
・dhcdbd
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
■ 停止してもいいサービス
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
下記のサービスは,それぞれの機能を利用しない場合,停止してもよい
ものです。
【デスクトップ/ラップトップでは通常必要ないサービス】
・NetworkManager, NetworkManagerDispatcher
・anacron, atd
・avahi-daemon, avahi-dnsconfd
・capi
・lisa
・netconsole
・netplugd
・nscd
・smolt
【Bluetooth機器を利用する場合に必要】
・bluetooth, hcid, hidd, sdpd, dund, pand
【Bittorrentを利用する場合に必要】
・btseed, bttrack
【AMD PowerNowやインテルSpeedStepの利用に必要】
・cpuspeed
【プリンタでCupsを使用する際に必要】
・cupsd, cups-config-daemon
【HPのプリンタを使用する際に必要】
・hplip, hpiod, hpssd
【WEBサーバを構築する際に必要】
・dc_client, dc_server
・httpd
【インストール直後のブート時のみに利用される】
・firstboot
【赤外線機器を利用する際に必要】
・irda, irattach
・lirc
【ISDNを利用する際に必要】
・isdn
【lm-sensorsを利用する際に必要】
・lm_sensors:ハードウェアの温度など情報を調べるもの。
【RAIDやLVMを利用する際に必要】
・mdmonitor
【NFSやSambaなどのファイル共有を自動起動する際に必要】
・netfs
【NFSを利用する際に必要】
・nfs, nfslock
・rpcbind
・rpcgssd, rpcidmapd, rpcsvcgssd
【Sambaを利用する際に必要】
・nmbd
・smb
【スマートカードを利用する際に必要】
・pcscd
【テキストモードでメールを利用する際に必要】
・sendmail
※ Thunderbird, Kmail, Evolutionなどの通常のGUIの
メールクライアントでは不要。
【リモートコマンドのSSHを利用する際に必要】
・sshd
だいたいこれで網羅していると思われますが,どんなアプリケーションを
導入しているかによって,上記では取り上げていないサービスが含まれる
場合もあります。
逆に,例えば,Apacheをインストールしていなければ「httpd」の項目
はないはずです。
ちなみに,Wiiリモコンを使うときは,Buetooth関連を有効にしておかな
ければなりません。
あまり神経質になる必要はないですが,不要なものは止めておくべきだと
思います。
また,FirewallやSELinuxは,どうしても必要な機能に不具合が生じない
限り,有効にしておきましょう。ルータにもFirewall機能がありますが,
それだけに頼るのは危険です。
種類が多いので面倒ですが,1つ1つ切りながら確かめるのが一番確実です。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
編集後記
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
スパムメールの検出機能をもつ「Spamassassin」についても取り上げ
ようかと思っていましたが,自分でもよくわかっていないので,保留に
しました。
一番確実なのは,ネットワークにつながずにローカルで利用すること
ですが…。Fedora8にBigboardというオンラインデスクトップ機能
が搭載されるなど,インターネットとの連携が進んでいる中,それは
もったいないなさすぎですね。
いろいろチャレンジしてみることも,Linuxの楽しみの1つですけど,
少しセキュリティーについても考えてみようというのが,今回のテーマ
を取り上げた目的です。
次回の配信は,11月29日の予定です。お楽しみに!
