ネットワーク・システムのセキュリティのために,「セキュアなルーターの設定」や「ホストの要塞(ようさい)化*1」を実施したとする。さらに,「コンピュータ・ハードウエアへのアクセス制限」もできたとしよう。ここまでやれば十分に思えるが,まだやるべきことはある。システム起動用ソフトウエアの設定(PC環境ならばBIOSの設定)にも注意を払う必要があるのだ。今回は米Sun Microsystemsが提供するSPARCstationシリーズのシステム起動用ソフトウエア「OpenBoot」を例にして,「システム起動用ソフトウエアの要塞化」について考えてみたい。

*1 要塞化:セキュリティ・ホールをふさいだり,不要の機能を停止したり,適当なアクセス・コントロール行うなどの対策を施して,セキュリティを強化すること。

要塞化の必要性

 OpenBootは,コンピュータがどのデバイスから起動すればよいのかといった情報を保持するとともに,ハードウエアをテストする機能を備えている。従って,システム管理者はOpenBootを利用して,起動デバイスの変更や,接続機器の動作診断を行える。しかし,便利な半面,これらの機能を悪用すれば,以下のような攻撃が可能となってしまう。

●起動デバイス内のファイルの破壊

●システムに接続されているディスクへの不正アクセス

 従って,これらを防止するために,OpenBootへのアクセスを何らかの手段で制限する必要がある。OpenBootを実装するSPARCstationの場合には,以下の手段が利用できる。

(1)パスワード認証を用いて,OpenBootを不正に利用できないようにする

(2)システムコンソールから,OpenBootを強制的に呼び出せないようにする

 (1),(2)のどちらか片方ではなく,両方を同時に施す必要がある。この両方を施して,初めてOpenBootの要塞化は完成する。

OpenBootの具体的な要塞化方法

 では次に,上記(1),(2)の具体的な設定方法を示す。

■(1)の設定例
 出荷時には,OpenBootの機能はパスワードなしで利用できる状態になっている。システム管理者がパスワードを設定するまで,OpenBootは保護された状態ではない。OpenBootのパスワードは,以下の(a)あるいは(b)の方法で設定できる。(a)は,rootとしてログインした時に,「eeprom」コマンドを利用する方法で,(b)は既にOpenBootのプロンプトが利用できる場合の方法である。

(a)eepromコマンドを利用する方法
 rootとしてログインした後,次のようなコマンドを入力する。 

	# eeprom security-password
	(パスワードを入力して,設定あるいは変更する)
	# eeprom security-mode=full

(b)OpenBootのコマンドプロンプトから設定する方法
 OpenBootのコマンド・プロンプトに,次のようなコマンドを入力する。 

	ok password
	(パスワードを入力して,設定あるいは変更する)
	ok setenv security-mode full

■(2)の設定例
 SPARCstationでは,ワークステーション本体へBREAK信号を送ることで,強制的にOpenBootを呼び出せてしまう。従って,(2)のように設定するには,BREAK信号が送られた場合でも,それを解釈しないようにする必要がある。具体的には,以下(a),(b)の2つの方法がある。利用しているハードウエアに応じて,いずれかの設定をすれば十分であるが,管理上のミスに備えて,可能ならば両方を設定しておくことが望ましい。

(a)kbdコマンドを利用する方法
 kbdコマンドを利用して,BREAK信号を無視するように設定する。具体的には,「/etc/default/kbd」ファイルに,「KEYBOARD_ABORT=disable」という行を追加して,kbdコマンドを「-i」スイッチをつけて実行する。

 また,「-a」スイッチを利用することで,BREAK信号を解釈するかどうかを,トグルの状態で切り替えることが可能だ。

(b)電源スイッチの設定を利用する方法
 大規模サイト向けのSPARCstationシリーズ製品の場合,本体の電源スイッチを「Secure」に設定すれば,キーボードやシリアル端末からのBREAK信号を無視することできる。

 以上が,OpenBootに対する“最低限”の設定であると,筆者は考えている。上記以外にも,OpenBootバナーの変更や,OpenBootに付属するFORTHインタプリタを利用したプログラミングなどが可能である。そういった機能については,使用しているSPARCstationに対応する,OpenBootのリファレンス・マニュアルを参照してほしい。また,本稿で紹介したそれぞれのコマンドについても,マニュアルに詳しく記載されている。

 今回は,Sun MicrosystemsのSPARCstationシリーズを例にして,「システム起動用ソフトウエアの要塞化」を紹介した。Sun Microsystems以外のワークステーションやPCでも,同様の設定--少なくとも,システム起動用ソフトウエアのパスワード設定--は可能なはずだ。ぜひ設定しておこう。

坂井順行 (SAKAI Yoriyuki)
株式会社ラック コンピュータセキュリティ研究所
sakai@lac.co.jp

 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。