今週のSecurity Check
システム起動用ソフトウエアの要塞化ネットワーク・システムのセキュリティのために,「セキュアなルーターの設定」や「ホストの要塞(ようさい)化*1」を実施したとする。さらに,「コンピュータ・ハードウエアへのアクセス制限」もできたとしよう。ここまでやれば十分に思えるが,まだやるべきことはある。システム起動用ソフトウエアの設定(PC環境ならばBIOSの設定)にも注意を払う必要があるのだ。今回は米Sun Microsystemsが提供するSPARCstationシリーズのシステム起動用ソフトウエア「OpenBoot」を例にして,「システム起動用ソフトウエアの要塞化」について考えてみたい。 *1 要塞化:セキュリティ・ホールをふさいだり,不要の機能を停止したり,適当なアクセス・コントロール行うなどの対策を施して,セキュリティを強化すること。 要塞化の必要性OpenBootは,コンピュータがどのデバイスから起動すればよいのかといった情報を保持するとともに,ハードウエアをテストする機能を備えている。従って,システム管理者はOpenBootを利用して,起動デバイスの変更や,接続機器の動作診断を行える。しかし,便利な半面,これらの機能を悪用すれば,以下のような攻撃が可能となってしまう。 ●起動デバイス内のファイルの破壊 ●システムに接続されているディスクへの不正アクセス 従って,これらを防止するために,OpenBootへのアクセスを何らかの手段で制限する必要がある。OpenBootを実装するSPARCstationの場合には,以下の手段が利用できる。 (1)パスワード認証を用いて,OpenBootを不正に利用できないようにする (2)システムコンソールから,OpenBootを強制的に呼び出せないようにする (1),(2)のどちらか片方ではなく,両方を同時に施す必要がある。この両方を施して,初めてOpenBootの要塞化は完成する。 OpenBootの具体的な要塞化方法では次に,上記(1),(2)の具体的な設定方法を示す。
■(1)の設定例 (a)eepromコマンドを利用する方法 rootとしてログインした後,次のようなコマンドを入力する。 # eeprom security-password (パスワードを入力して,設定あるいは変更する) # eeprom security-mode=full
(b)OpenBootのコマンドプロンプトから設定する方法 ok password (パスワードを入力して,設定あるいは変更する) ok setenv security-mode full
■(2)の設定例
(a)kbdコマンドを利用する方法 また,「-a」スイッチを利用することで,BREAK信号を解釈するかどうかを,トグルの状態で切り替えることが可能だ。
(b)電源スイッチの設定を利用する方法 以上が,OpenBootに対する“最低限”の設定であると,筆者は考えている。上記以外にも,OpenBootバナーの変更や,OpenBootに付属するFORTHインタプリタを利用したプログラミングなどが可能である。そういった機能については,使用しているSPARCstationに対応する,OpenBootのリファレンス・マニュアルを参照してほしい。また,本稿で紹介したそれぞれのコマンドについても,マニュアルに詳しく記載されている。 今回は,Sun MicrosystemsのSPARCstationシリーズを例にして,「システム起動用ソフトウエアの要塞化」を紹介した。Sun Microsystems以外のワークステーションやPCでも,同様の設定--少なくとも,システム起動用ソフトウエアのパスワード設定--は可能なはずだ。ぜひ設定しておこう。
坂井順行 (SAKAI Yoriyuki) IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。  |
