[orca-users:10187] Re: セキュリティー ポートの停止について

[Kenshi Muto <kmuto@xxxxxxxxxx>]

武藤＠Debianぷろじぇくとです。

At Thu, 20 Dec 2007 08:36:10 +0900 (JST),
Koji Yuen wrote:
> とのことで、/etc/inetd.conf#　で該当部分をコメントアウトすればいいようですが
> 
> ＞その他の不要なポートについては、デーモンを起動しないようにしてください。
> 
> については、update-rc.d コマンドを使って　ポートを閉じればよいのでしょうか？
> やってみたのですが、nmap localhost でみてみるとやはりポートが開いている？よう
> です。教えてください。
> あと　update-rc.dの[-n],[-f]オプションの意味がよくわかりません。こちらもご教示
> お願いします。

ORCAさんのポリシーガイドに書かれている分ちょっと厄介なのですが、
localhostに対して行ったポート開放情報を挙げて危険!危険!と言うのはあまり
意味がないです。

ポートを掴んでいるサービスの中にはlocalhost(自身)のみでしか接続させない
ものもあり、例えてみれば家の中だけで動かしていて玄関前に出しているわけで
はないようなものです。一旦家(ホスト)の中に入られてしまったらそのサービスが
危険要因になるかもしれませんが、それは侵入されてしまっている時点で
どっちにしろ「終わってる」状況です。

また、nmapは無用な検査を行うので、単に動いているポートおよびプロセスを
探すだけならrootで「netstat -anp」でも実行するのがよいでしょう。このとき、
内部アドレスが「127.0.0.1:〜」のようになっているサービスはlocalhostのみの
サービスなので、動いていても特に問題ないと判断できます。

update-rc.dの-n,-fオプションは、-nがダミー実行(行う内容を擬似的に
表示するだけ)、-fが強制削除(removeを行う際には/etc/init.d/〜にある実体
スクリプトが本来存在しないということが前提ですが、それを無視して強行する)
です。「man update-rc.d」で詳細が出てくるはずです。
ただ、update-rc.dを使うよりはそもそもそのサービスを提供しているパッケージ
が不要というわけで、削除あるいはもっと安全そうなものに変更するように
ガイドで指示するほうが望ましいと思います。
-- 
武藤 健志＠ kmuto @ kmuto.jp
           Debian/JPプロジェクト   (kmuto@xxxxxxxxxx, kmuto@xxxxxxxxxxxx)
           株式会社トップスタジオ  (kmuto@xxxxxxxxxxxxxxx)
URI: http://kmuto.jp/ (Debianな話題など)