[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[b-free: 1743] Re: B-FreeOSセキュリティ関連
きしだです。
やすしさん書きました
:> まあ、大学の端末によっても、心臓部につながっていないようなものなら、
:> 大した security はいらない気もしますし、、、。
:う〜ん、要らないような、いるような‥。
:もちろん大した情報は入っていないので、crackされても何かを盗まれると言うことは
:ないと思いますが、管理してる方としては壁紙に卑猥な写真が堂々と張られていると
:ちょっとまずいので(^^;;
:#IE入れたら、止める方法はないような‥‥。
基本的には要るんじゃないですか?
確かに心臓部に繋がっている、繋がっていないは、セキュリティのレベルを
何処に設定するかの判断基準にはなっていますが、要らないとは思えないです。
:securityと言っても、
:1、何かの情報を盗まれては困る場合と、
:2、他の人のために設定を変えられると困る場合
:があると思います。
:1の方が、厳しいsecurity checkが必要ですね。
モデルとして、ある BTRON の PC を考えてみました。
1.login
勝手に入られて、文書ファイルなどを読み書きされてしまう
ダイアルアップや他のPCへの telnetの設定ファイルなどを盗まれる
入られた後、システム設定を変えられてしまう
ダイアルアップや他のPCへの telnetの設定がシステム内にある場合は盗まれる
2.特定のサービス(特定のセキュリティホール)
特定のサービス(特定のセキュリティホール)を悪用して制御を奪う
3.上位への接続
NetWareなどのネットワーク上の資源に接続される
4.他の機器への接続
盗まれlogin情報から攻略される
まずは、外から BTRON-PC への進入を防ぐ事が一番大事で、最初でにすべき事
でしょう。(他の機器に迷惑掛けますし)
WIn95はこの部分がありません。WinNTは機能的に甘いようです。
Linuxはディストリビューションによって違い、一番甘いといわれている物が
SlackWareだそうです。(設定でどうにでもなる)
ここでも一番恐いのは、BTRON-PC が踏台にされて重要なデータの入っている
サーバーを攻略される事です。
BTRON-PC はたいした物は入っていないと思っていても、サーバーへの
接続情報ぐらいは残っています。
これを使ってloginされると...
loginする前と、loginした後では大きな違いがあります。
(攻略する側にものすごく有利)
それで、まずは login shield ぐらいは用意したほうが良いのではと思います。
(計画になけりゃ、勝手につくりゃいいんです)
:> 僕の周りの 95 の端末上でよく見られる手段としては、
:> ・ server は完全に client から改変不能にし、client が立ち上がる
:> 度に、client のなかの重要な file を server から download して
:> くる。たとえ、client に変更がなされていたとしても、次の起動で
:> その変更は、元に戻される。
:> ただし、login(download) を処理する部分は、別に protect する。
:> ・ 利用者は、特定の directory しか書き込めないものとする。
:> (しかし、app の起動によって、その範囲が広がる。)
:> よって、勝手な software の install なども、すべて、禁止される。
:> ・ logout ができないようにする。再起動した場合、passward などが
:> 必要。
:> ・ 特定の program の使用を禁止する。たとえば、regedit とか。
:> などでしょうかねぇ。
:> 結構お手軽で、しかし、素人にはなかなか crack できないと思います。
:上に書かれている方法は、securityがしっかりしていないためのとりあえずの
:回避方法、または、復旧方法ですよね。
:もし、しっかりと管理できているなら、変更されたくないところはできなくなっていて、
:使える物だけuserに使わせることができなければならないと思います。
:もちろん管理者の能力もありますが、OSがその方法を提供できていなければどうにも
:ならない‥。
買ってきたWin95ではこんな事は出来ません。管理者の方が色々準備しておられる
はずです。(色々サーバー側にも準備がいります。お手軽ではないです)
:#余談
:#うちの学校のmajor用のlabのサーバーがNetwareからNTになりました。
:#userのhome dir(唯一fileをsaveできる(と言う事になっていた)場所)は、
:#server上にあるのですが、NTがserverだと、quotaが効かないらしい‥‥‥‥。
:#どうするんだろ‥‥‥‥‥‥。
そうそう、日本国内で販売されているWinNTはC2セキュリティを満足していません。
(取ったのは英語版のNT3.51のみ、NT4.0は取っていない)
ファイルサーバーとしてみた場合、NetWareの方が、結果としての管理費用などが
少ないんですけどね。(バックアップもまともに取れんし)
---------------------------------------------------------------------------
きしだまさみ
mailto:mkishida@fecsi.furuno.co.jp
---------------------------------------------------------------------------