＠IT総合トップ > 旧＠IT会議室 > Security & Trust > Linux で Web システムのセキュリティ

- PR -

Linux で Web システムのセキュリティ

1

投稿者	投稿内容
ネット・スタイル会議室デビュー日: 2002/11/20 投稿数: 8	投稿日時: 2002-11-20 17:48 凄く基本的で申し訳ありませんが、ヒントをお願いします。 LinuxでWebシステムを構築しています。グループウェアみたいな感じ。システムはユーザIDとパスワードを設定して認証するようにしています。インターネット上のどこからでも利用できるように考えています。こういう場合は、どのようなセキュリティ対策を行いますか？ ※漠然とし過ぎて申し訳ありません。ヒントとなる用語でも構いません。アドバイスをお願いします。　※市販のWebグループウェアを公開する場合のセキュリティ対策　※の感じです。（サイボウズなど）
ＢＡＳＥ大ベテラン会議室デビュー日: 2002/03/13 投稿数: 178	投稿日時: 2002-11-20 22:09 この質問への回答は、システムの構成によって変わってくるかと思います。簡単に例を書くと ①インターネットにWebシステムが単体で公開されている。 ②FireWallなどいくつかのセキュリティ対策がなされている構成の中にWebシステムがある。 Linuxで、と書かれていますので①の場合ということで進めさせていただきます。（１）アクセス制御一番基本的なことになると思いますが、アクセス先が固定であるのならば、接続許可IPリストを作成しそれ以外のIPからの接続を拒否する。代表的なツールとしてはTcpwrapperがあります。その他LinuxであればサーバにFirewallソフトを入れる。 IPfilterの設定方法とかが＠ITの記事であったような気がします。（２）ＳＳＬ認証画面への接続をＳＳＬとし、サーバ証明書のないブラウザはアクセスできなくする。＃証明書をコピーされると認証画面への接続は行われてしまう場合があります。（３）改竄検知 Tripwireなどでファイルの改変をチェックする。データファイルまで監視対象にすると膨大になりすぎますが、バックドアが作成されていないかどうか等、システムファイルの監査としては一番有効なツールではないでしょうか？と、とりあえず月並みな対策を徒然に書いてみましたが、アクセスに関する対策なのか、サーバ（システム）自身に関する対策なのか等対象を絞ってみるのはいかがでしょうか？その方が、対策のまとめを作り易いと思うのですが。。。
zanjibar ぬし会議室デビュー日: 2001/10/30 投稿数: 309	投稿日時: 2002-11-30 11:02 http://www.secureticket.jp を使ってガードするのはどうでしょうか？イントラをエクストラにするにはよく使われているようです。

1

スキルアップ／キャリアアップ（JOB@IT）