Linux Book Review

Linuxセキュリティ対策はこの4冊で学べ!

中澤勇
@IT編集局
2002/7/9

 
この4冊
Linuxセキュリティ入門
Linuxセキュリティトータルガイド
Linuxファイアウォール

オープンソース電子メールセキュリティ

 ApacheやOpenSSHでセキュリティホールが発見されるなど、2002年6月はUNIX関係のセキュリティの話題が連続した。そして、これからもきっと何らかのセキュリティホールが発見されることだろう。これについての根本的な解決策はなく、情報をマメにチェックして迅速に対処するしかない。

 プログラム的なセキュリティホールとは別に、不適切な設定によるセキュリティホールというものもある。こちらについては、利用者の努力によって回避可能だ。適切な設定を学べばよいのだから。

 これから紹介する4冊は、セキュリティ対策術を学ぶのに最適である。ぜひ手に取って確かめてみてほしい。

  Linuxセキュリティの第一歩に最適
Linuxセキュリティ入門

清水正人 著
アスキー
2001年7月
ISBN4-7561-3821-7
1800円

 時に、「Linux(UNIX)はWindowsよりもセキュリティがしっかりしている」と評されるが、正確な表現とはいえない。「正しく設定・管理されている」という言葉を頭に付け加えるべきだろう。だが、セキュリティの設定や管理は奥が深く、全体像を把握するのは難しい。

 本書は、Linuxによるファイアウォールの構築からTripwireを使ったファイル改ざんチェックまでを平易に解説している。終わりのないセキュリティの世界への第一歩として、基礎を一通り学ぶのに最適な良書といえるだろう。

 本書のアドバンテージは新しさにある。カーネル2.4.xに対応しており、IPマスカレード/フィルタリングの設定では2.2.xのipchainsと並んで2.4.xのiptablesも詳しく解説されている。アクセス制限の項では従来のinetd+tcpdだけでなく、Red Hat Linux 7.xに採用されたxinetdについても取り上げている。さらに、定番ともいえるssh、セキュリティ対策ツールとしてNessusおよびNmap、ログを監視するswatch、前述したTripwireのインストール、設定、運用法にも言及されている。

 セキュリティというものは、どれほどやっても「これで万全」となるものではないが、ともかく本書の内容はすべて実施すべきだろう。まずは始めることである。

  OSレベルからサーバソフトのセキュリティまで
Linuxセキュリティトータルガイド
ファイアウォール・暗号化・侵入検知

アロン・シャオ 著
ピアソン・エデュケーション 2002年2月
ISBN4-89471-470-1
4200円

 本書は、ブートプロセスからOSレベルのセキュリティ、ファイアウォールの構築やサーバソフトまでを扱った、文字通り「トータル」なセキュリティ対策本である。TCP Wrapperやipchains/iptables、sshなどの解説は前掲の『Linuxセキュリティ入門』と重なる部分もあるが、本書はApacheやBIND、Xのセキュリティについても項目を設けており、より網羅的である。ただし、ipchains/iptablesなどの解説については『Linuxセキュリティ入門』の方が初心者を意識した内容であるため、これからLinuxのセキュリティについて学ぶなら「前掲書→本書」の順番で読むことをお勧めする。

 本書の主な内容としては、POSIX ACLの導入とアクセス制御の方法、Apacheおよびwu-ftpdのセキュリティ関係の設定、BINDのアクセス制御とchroot化の解説、NFS、Samba、Xのセキュリティなどがある。また、TCFS(Transparent Cryptographic File System)によるファイルシステムの暗号化やIDS、バックアップと復旧などについても解説されている。各章の終わりに設けられたQ & Aや用語解説は、学んだ内容を深めたり再確認するのに役立つ。

 広い範囲を1冊で網羅している点は非常に評価できる。ただし、それ故に解説があっさりしている面も否めない。これはなかなかバランスを取るのが難しいところだが、本書を「トータル」に評価するなら、「1冊で網羅している」というメリットが勝っているといえるだろう。

  ファイアウォールを基礎から学ぼう
Linuxファイアウォール

ロバート・L・ジーグラー 著
ピアソン・エデュケーション 2001年8月
ISBN4-89471-284-9
4200円

 Code RedやNimdaなど、最近では単なるファイアウォールでは防げない問題も発生しているとはいえ、依然としてファイアウォールは重要なセキュリティ対策の1つであり続けている。本書は、書名のとおりLinuxでファイアウォールを構築する方法を解説したものである。

 本書が対象にしているのはipchainsであり、カーネル2.4から実装されたiptablesは扱われていない。しかしながら、概念の多くはiptablesにも応用可能であり、ipchainsを習得しておくことは決して無駄ではない。また、本書ではファイアウォールやパケットフィルタリングの概念やシステムレベルのセキュリティ対策といった、ipchainsに依存しないレベルから丁寧に解説している。セキュリティやファイアウォールを基礎から学びたい・復習したいという人にも最適なテキストになるだろう。だからといって、基礎だけを扱っているわけではない。比較的単純な構成から、要塞ファイアウォールとチョークファイアウォールを併用してDMZを追加した構成におけるポリシーの設計やipchainsの設定など、より実用的な構成にも多くのページを割いて詳述している。概念などの基礎知識は、より深い(そして本書のキモの部分)を理解するための序章にすぎないのだ。

 実際のファイアウォール構築にはiptablesを使うつもりという人も、ぜひ一読してほしい。必ず多くのことが学べるはずだ。ファイアウォールの構築で最も重要なことは、「何を守るのか、守るためには何をすればよいのか」であり、これを学ぶのが最も難しいのだ。ipchainsやiptablesをうんぬんするのはその後の話なのである。

  重要度を増すメールセキュリティを学ぶ
オープンソース電子メールセキュリティ
安全な電子メールシステムの構築技法

リチャード・ブルム 著
ピアソン・エデュケーション 2002年4月
ISBN4-89471-416-7
6200円

 リレーによるspamやウイルス、ユーザー情報の漏えいなど、メールに関する問題も多い。当然、メールサーバの運用も細心の注意が要求される。本書は、単なるメールサーバ(MTA)の構築方法ではなく、メールサーバをセキュリティという観点から考察したものである。

 本書では、MTAとしてsendmail、qmail、Postfixを取り上げ、それぞれの基本的なSMTPサーバの構築方法やオープンリレーの防止やspamのブロック、ウイルスのフィルタリング方法を解説している。また、より進んだ手段として電子メールファイアウォールの構築方法やSMTPのVRFY/EXPNコマンドの無効化、SASL(Simple Authentication and Security Layer)による認証機能の導入といった方法も詳しく紹介されている。SMTPだけでなく、SSLを使ったPOP3/IMAP4サーバやTWIGを利用したWebメールサーバの構築もある。

 説明が多少前後するが、本書ではまずメールシステムの構成(MDA、MTA、MUA)や各種プロトコル(SMTP、ESMTP、POP3、IMAP4)、MIMEの仕様についても詳しく解説している。プロトコルについてはコマンド(HELOやSENDなど)レベルから解説されているので、あらためて技術仕様を再確認するのにいいだろう。

 メールサーバ管理者は、本書を読んで自分が管理するサーバのセキュリティ対策が十分かどうかをチェックしよう。

各書評にあるボタンをクリックすると、オンライン書店で、その書籍を注文することができます。詳しくはクリックして表示されるページをご覧ください。

Linux Square Book Review


Linux & OSS フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Linux & OSS 記事ランキング

本日 月間