インストール

Redhat Linux のインストールについては多くの良書がありますので、自分の読 みやすいと思うものを是非一冊手元に置いてください。ここではセキュリティ 上重要なポイントを簡単に説明します。インストールの手順の概要は下記のよ うになります。 

1. 1 枚目の CD でコンピュータを起動する  2. インストール方法を選択する 

3. 言語、キーボード、マウスを選択する  4. インストールの種類を選択する 

5. ディスクパーティションを設定する  6. ブートローダを選択する 

7. ネットワーク、ファイアウォールを設定する  8. サポート言語、タイムゾーンを設定する  9. アカウントを設定する 

10. パッケージを選択する   

この中で、セキュリティに関係の深い 4〜7、9、10 について説明します。 

「4.インストールの種類を選択」では「インストール」と「既存システムのア ップグレード」から選択し、さらに「インストール」では「ワークステーショ ン」、「サーバ」、「ラップトップ」、「カスタム」から選択します。 

本節ではサーバ OS のインストールが目的なので、「インストール」、「サーバ」

を選択します。「ワークステーション」、「ラップトップ」では X‑Window のイ ンストールが強制されたり、余分な端末用アプリケーションがインストールさ れてしまいます。 

サーバでは不必要なアプリケーションを極力インストールしないことが望まし いため、これらは選択しません。「カスタム」を選択すると、パスワードに MD5 を利用するかどうか、シャドウパスワードにするかどうかを選択できます。ま た、NIS、LDAP、Kerberos5、SMB なども設定でき、パッケージも全ての中から選 択できるようになります。 

ただし、設定が複雑になるため、認証系で最初から NIS、LDAP などを利用する 必要がなければ「サーバ」を選択することを推奨します。なお、「サーバ」の 選択では、パスワード関連の設定がデフォルトで MD5 の利用になり、シャドウ パスワードの利用が設定されます。 

  インストールの種類の選択 

「5.ディスクパーティションの設定」では、サーバの用途に合わせて設定する 必要があります。少なくとも「/」、「/var」、「/usr」、「swap」、「/home」

を設定してください。 

このようにパーティションを分割することにより、一つのパーティションが何 らかの事故で破壊された場合でも、他の領域への波及を防ぐことができます。

また、パーティションサイズが適切だと、バックアップを取る際にも便利です。

パーティションの適切なサイズは、次のことを参考に決定します。 

「/」には、シングルユーザモードでの起動に最小限必要なカーネルやツールな どが置かれます。「/tmp」などの領域もあえて別パーティションとしない限り、

「/」に置かれます。「/tmp」に置かれる一時ファイルの大きさを考慮して、こ のパーティションのサイズを決めてください。少なくとも 100Mbyte、500〜

1000Mbyte を割り当てれば十分でしょう。 

「/var」には、AnonymousFTP サービスやウェブサービスのコンテンツ、データ ベースのデータそのもの、および各種ログ情報などが置かれます。このため、

このパーティションには、提供するサービスの内容に応じてできるだけ大きな サイズを指定することが必要です。少なくとも運用開始時に置かれる初期コン テンツのサイズの 4 倍以上を割り当てましょう。場合によっては、コンテンツ 保護のため「/var」をさらに複数のパーティションに分割することも検討して ください。また、一切のコンテンツを置かない場合であっても、ログ情報を一 定期間保存する必要があるため、最低でも 1Gbyte 程度を割り当てます。 

「/usr」には、サービスデーモン、各種ツールおよびライブラリなどが置かれ ます。Redhat Linux のインストール時には 1〜2Gbyte が必要になります。自作 プログラムなど、大きなプログラムやデータを追加する予定がある場合は、そ れに合わせてパーティションサイズを決めます。特別なプログラムなどのイン ストールの予定がない場合は、4Gbyte 程度を割り当てれば十分です。「swap」

は、Redhat Linux では、コンピュータに搭載されたメモリの 2 倍と設定するこ とが推奨されています。たとえば、搭載メモリが 256Mbyte の場合は、512Mbyte と設定します。 

「/home」は、そのサーバに登録されるユーザの希望によって大きく変化します。

ユーザが個別にウェブコンテンツを置いたり、大きなファイルを FTP サービス で交換する場合は、大きな領域を割り当てる必要があります。このパーティシ ョンのサイズは、登録するるユーザの希望を調査して決めてください。ここで は、20Gbyte のハードディスクに対し、「/」に 500Mbyte、「/var」に 10Gbyte、

  ディスクパーティションの設定 

「6.ブートローダの設定」では、「GRUB」、「LILO」、「ブートローダをイン ストールしない」から選択できます。Redhat Linux では「GRUB」が標準ブート ローダですので、「GRUB」を選択することにします。 

サーバでは MicrosoftWindows などとのデュアルブートとするべきではないので、

インストールする場所は「マスターブートレコード」または「ブートパーティ ションの最初のセクタ」のどちらでも構いません。ここでは「マスターブート レコード」にインストールすることにします。 

「GRUB」を選択した場合、ブートローダのパスワードの入力を求められます。

ブートローダにパスワードを設定しないと、再起動時にシングルユーザモード で起動され、パスワードや重要なデータが盗まれたり、設定が書き換えられた りする可能性があります。パスワードを設定することでこのようなリスクを減 らせます。16 文字以下で、なるべく複雑なパスワードを設定してください。 

  ブートローダの設定

ブートローダパスワードの設定   

「7.ネットワーク、ファイアウォールの設定」では、利用環境に合わせてネッ トワークを設定します。 

外部にサービスを提供する場合、通常は IP アドレスが固定されていないと都合 が悪いので、「ネットワークの設定」で「DHCP を使用して設定」のチェックマ ークを外し、IP アドレスなど必要な情報を全て記入します。また、「ファイア ウォールの設定」では「セキュリティレベル」および「侵入を許可」するサー ビスを設定できます。 

よりセキュアなサーバを設定するため、「セキュリティレベル」は「高」に設 定します。また「侵入を許可」するサービスの設定はせず、「デフォルトのフ ァイアウォール規則を使用」にチェックマークを付けます。 

この設定のままでは、当初の目的であるウェブサービスなどを外部に提供でき ないので、セキュリティ修正パッケージインストール後に、設定し直すことに します。この設定により、初期のセキュリティ修正パッケージインストール時 の攻撃からサーバを守ることができます。 

  ネットワークの設定 

  ファイアウォールの設定 

「9.アカウント設定」では、root(管理者)パスワードおよび一般ユーザのアカ ウントを設定します。 

パスワードは MD5 でエンコーディングされるので、256 文字以下で設定できます。

短く複雑な単語よりも、フレーズなどの長い文字列を設定することを推奨しま す。例えば、「NRzIjKxJ」よりも、「8jimechanhaKa4koine.」(はじめちゃんは かしこいね。)と設定します。管理者や登録ユーザに無関係で、覚えやすい単文 に適当に記号や数字を混ぜると、相当強度の高いパスワードを設定することが できます。 

注意したいのは、管理者用とユーザ用では違うパスワードを設定することです。

クラッカにユーザ用パスワードを破られた場合、同じパスワードで管理者用パ スワードが破れるかどうか、またそれと似たパスワードで破れるかどうかが試 されるので、それを阻止し時間稼ぎをすることができます。 

  アカウントの設定 

「10.パッケージの選択」では、インストールするパッケージグループを選択し ます。パッケージの選択にも考慮が必要です。 

「パッケージグループの選択」だけでは、必要なパッケージを選択できないの で、パッケージグループで選択した後、「個々のパッケージを選択」をチェッ クし、さらにパッケージを選択します。パッケージ選択の方針としては下記が あげられます。 

•

「2.2.1 インストール前の準備」で決めた「提供するネットワークサービス」で必要 な最小限のパッケージを選択する 

•

後で述べる

のサービスを利用するために必要なパッケージを選 択する 

•

不要なサービスパッケージは削除する 

•

不要な開発言語は削除する 

不要なサービスパッケージや開発言語を削除することにより、万が一クラッカ にサーバへの侵入を許しても、その後で rootkit をインストールしたり、バッ クドアを仕掛けたりすることを防止し、クラッカの利用手段を狭めることがで きます。 

「パッケージグループの選択」では、先の前提にしたがって、「Anonymous(匿 名)FTP サーバ」、「Web サーバ」を選択します。それ以外のパッケージグルー プのチェックマークは外します。特に「旧 XWindow システム」、「XWindow シス テム」はインストールする明確な理由がない限り、絶対にインストールしない でください。 

XWindow システムは、それ自身がセキュリティホールとなる恐れがあるほか、一 旦侵入を許した後、クラッカに都合の良い操作環境を与えかねません。侵入さ れないように設定することはもとより、不要な開発言語の削除と同様、侵入後 であってもクラッカがなるべく攻撃に時間がかかるような設定をしておくこと が望ましいです。