セキュリティについて

鳥取大学内で2000年2月、ネットワークに対するの2件侵入(クラッキング)が 発見されました。 「トロイの木馬」と「ネットワーク盗聴」です。 いずれもアカウント(ID)とパスワードの盗み出しを行うものです。 光エレクトロニクス研究室のサーバー(optoele)もインターネットを通じた アタックが毎日のように行われています。 現在のところ分かっている範囲でアッタクは成功していないようですが、 つねにクラッキングの危険にさらされています。

大学内の2例やoptoeleの例はUnixサーバーに対するものですが、 Windowsマシンも同様の危険にさらされていると考えてください。 Windows95, 98, NTにはセキュリティ上のバグ(プログラムの問題)が 多数報告されていますが、 セキュリティを破られたかどうかを検出することはWindows NTを除いて困難です。 特にクライアントであるWindows 95, 98についてはアタックに対して無防備です。 将来はファイアーウォールに移行してクライアントの 安全性を守る必要がでてくるかもしれません。

以下の点に注意してネットワークを利用するように心掛けてください。

1. パスワードの管理

現在、optoele(サーバー)で管理しているパスワードは次の通りです。 パスワードを変更するには optoele にログインして passwd コマンドを実行してください (実行例はこちら)。 同時にすべてのパスワードが変更されます。 (別々に設定することもできます) これらのパスワードは次の点に注意して各自管理してください。 上に挙げたパスワードは全て暗号化されてファイルに保存されています。 一般ユーザにはアクセス権限がありませんので暗号化されたパスワードを見ることは できません。
管理者は暗号化パスワードを見ることはできますがパスワードそのものを知ることはできません(スーパーコンピュータでも解読にかなりの時間がかかる)。 したがって、万が一パスワードを忘れた場合はパスワードそのものを教えるのではなく、 新しいパスワードを発行することになります。

2. optoele (研究室サーバー) のセキュリティ・ポリシー

基本的には外部(光エレ研以外)からのアクセスは制限しています。

現在、外部に公開しているサービスは

3. Windowsマシンの設定

(1) パスワードについて

Windowsパスワード(各パソコンにログオンするためのパスワード)は ほかのホスト(optoeleも含む)のパスワードを使用しないでください。 また、ネットワークコンピュータにアクセスするときのパスワードも 保存しないようにしてください (アクセス時にパスワードを保存するかどうか選択できます)。 以上のパスワードはWindowsシステムフォルダ(C:¥WINDOWS など)に 「ユーザー名.PWL」というファイルで保存されます。 このファイルが漏洩した場合、パスワードを解読される恐れがあります。 特にWindows95の初期バージョン(OSR2より前)には暗号化が単純で簡単に 解読できるというバグがありますので注意してください。 また、(3)で述べるようにWindowsネットワーク共有サービスを利用する場合は システムフォルダを絶対に公開しないようにしてください。

(2) Windowsネットワーククライアント

Windows NT ドメインにログオンするようにしてください。 ドメイン名は「optoelectronics」です。 「コントロールパネル → ネットワーク → Windowsネットワーククライアント」 から選択できます。

(3) Windowsネットワーク共有サービス

可能な限り使用しないでください。 使用する必要がある場合は限られたフォルダだけパスワードで制限して 読み込み専用で共有するようにし、 Windowsのシステムフォルダ(C:¥WINDOWS など)は 絶対に公開しないようにしてください。

Windowsマシン同士のファイルの受け渡しはoptoeleを中継して下さい。

(4) Windowsのセキュリティホールについて

Windowsにはいろいろなセキュリティホールが報告されています。 修正パッケージは http://www.microsoft.com/windows95/downloads/ にあります。 optoeleにも次のところに置いてあります。

4. Unixマシンの設定

Unixはさまざまなサービスを公開できる(サーバーとして動作)反面、 クラッカーの温床となる危険性をもっている。

Unixを使用する際は管理者(阿部)まで相談すること。

本当にインターネット上に公開する必要があるサービスのみを 接続可能にすること。 たいていのUnix OSはデフォルトでさまざまなサービスを公開する設定になっている。 例えば, telnet, ftp, www, DNS, SMTP, r系(rlogin, rcp, rsh)など。 これらはサーバーでない限り必要でないのでインターネット上に公開しないこと。 また、パケットにフィルタをかけて外部からの接続を拒絶することもできるので、 ぜひ管理者に相談してください。

間違っても、インストールしたまま使い続けないように。

また、セキュリティホールの報告は以下のサイトを参照してください。