Linuxホーム・オフィスの賢い運用法――その2――
Linuxの人気が高まっているのは、セキュリティが高いという評価があるからである。しかし、コンピュータ・セキュリティに対する脅威は日々急速に増大している。したがって、システムのセキュリティ対策に終わりはない。セキュリティにおける第一の原則は「間違っても閉じろ」、すなわち、オフが基本、である。動かす必要のないサービスは止める。開けておく必要のないファイアウォールのポートは閉じる。必要のないソフトウェアは削除する。セキュリティの高さとは、げに、衛生状態の高さなのである。
オペレーティング・システムをインストールしたら、真っ先に、セキュリティ・アップデートを適用すること。そして、セキュリティ・アップデートを自動化しておくべきである。ほとんどのベンダーは、自動化のための簡単なコマンドライン・ツールを用意している。APT、yum、up2dateなどだ。これを、Unixの標準スケジューリング・ツールcronで定期的に実行させればよい。
次に、不要なサービス(デーモン)を停止させ削除すること。これはリソースの節約にもなり、ついでにマシンの起動時間も短くなる。ちょっと厄介なのが、ディストリビューションによってサービスを管理するツールが異なる点だ。コマンドライン・ツールは、DebianとUbuntuではupdate-rc.dまたはrcconfだが、Fedoraはchkinstallである。GUIツールも用意されているが、こちらもマチマチだ。主要なLinuxディストリビューションでは、ほとんどの場合、Ksysv(KDEウィンドウ・マネージャー)かGST RRunlevel Editor(GNOME)が動く。が、SUSEではYaSTという独自のランレベル・エディタだ。FedoraとMandrakeでは、汎用GUIツールの他にredhat-config-services(Fedora)とDrakXServices(Mandrake)という独自ツールも用意されている。
サービスが必要かどうかがわからない場合は、停止させて様子を見るとよい。問題が発生して必要なサービスであることがわかったら、ディストリビューションに用意されている適切なツールを使い、サービスを元通りに起動する。また、ソフトウェアをアップデートした場合は、その度に必ずサービスの動作状態を確認すること。アップデートすることによって、無効にしたはずのサービスが動き出すことがあるからである。
多くのディストリビューションでは、インストール時に基本的なファイアウォールを構成できるようになっている。ただし、インストール時の構成では細かな設定ができないことが多い。ファイアウォールは、できる限り制限する方向で設定すること。ファイアウォールは、ほとんどの攻撃に対する守りの最前線だからである。
筆者らのホーム・オフィスでは、内部のネットワークからのアクセスを許し、DSLルーターあるいは外部からのアクセスを拒否するように、マシンのファイアウォールを設定している。アプリケーションによっては、待ち受け用のポートを開くものがある。ピア・ツー・ピアやVoIPアプリケーションなどだが、そうしたアプリケーションをインストールして使用する場合は慎重を期すこと。いかにセキュリティに関する素晴らしい実績を誇るアプリケーションであろうと、ファイアウォールで待ち受け用ポートを開けばそれだけ攻撃に弱くなるからである。待ち受け用ポートを開く必要がある場合は、Snortなどの侵入検知システムをインストールするとよい。
不要なソフトウェア・パッケージは削除すること。攻撃を仕掛ける者に機会を与えないためである。さらに、バックアップのサイズが小さくなるという利点もある。たとえば、Debianの場合、フランスのMinitelシステムをエミュレートする必要がなければxtelパッケージは不要だ。
とは言え、不要なパッケージを削除するのは、簡単な場合ばかりではない。インストールには通常千を超えるパッケージが含まれており、その多くは相互に依存しているからだ。幸いなことに、APTやyumなどの最近のパッケージ管理ユーティリティには削除機能が付いており、パッケージをインストールする際と同じように、依存パッケージを調べて不要なものをアンインストールできる。
手始めに、使う予定のない主要アプリケーション・スイートを削除する。たとえば、PostgreSQLやMySQLなどのリレーショナル・データベース管理システムが不要なら削除する。同様に、ApacheなどのWebサーバーが要らなければ、これも削除する。不要なパッケージを1つ削除する場合は、Debianのdeborphanのようなツールがきわめて便利である。
ISPの選定
今日では、ブロードバンド・インターネット接続はホーム・オフィスの必需品である。高速(で高価)なT1回線が必要というのでなければ、DSLまたはケーブルが最も適切だろう。こうしたアクセス手段のない僻地または山間では無線ブロードバンドあるいは衛星アクセスになろうが、大概は、他の媒体よりも高価である。
ISPを選択する際の基本指針は次の2つ。すなわち、最も安価だからといって飛びつくべからず、Linuxに好意的なISPを探すべし。
安価なISPだからといって必ずしも悪いわけではない。しかし、ホーム・オフィスでは絶対的に必要な機能、たとえば年中無休24時間体制で担当者が待機する技術サポートは、最低料金のISPでは提供されていないことがある。Linuxについては、明示的にサポートしていなくてもよいが、少なくとも挑戦してみようという姿勢がなければ良いISPとは言えない。一例を挙げよう。筆者らが新しい家に引っ越しDSLモデムを設置したときのことだ。モデムは地域電話会社を通して注文したのだが、到着したモデムにはWindowsとMac用のインストールCDが1枚添付されていただけで、Linux用のインストール手順はなかった。幸いなことに、契約していたISPの支援が得られ、Webブラウザを介したインス トールと設定をわずかな時間で済ませられた。所要時間はたった数分。Linux関連の問題にも積極的に対応してくれるISPを選んでおいたお陰である。そうでなければ解決に長時間を要したかもしれず、場合によっては別のアクセス手段に切り替えていたかもしれないのである。Linuxに好意的なISPを探すには、地元ですでにLinuxを使っている人に尋ねるのが早道だ。地域のLinuxユーザー・グループに尋ねてみるのもよい。山椒と同様、小さな地元のISPあるいは地域のISPが、料金は最低クラスではなくても、素晴らしい顧客サービスを提供していることが少なくない。
候補のISPを絞り込んだら、各ISPに電話をかけ質問をしてみること。まず、バックアップ・ポリシーを尋ねる。たとえば、ファイルを失ったとき、ISPは自社のバックアップから復元してくれるだろうか。これは、WebホスティングやWebベースの電子メール・アクセスに使うISPの場合、特に重要である。次に、上流側のインターネット・バックボーン・プロバイダーが何社あるか、少なくとも非常用のバックボーン・プロバイダーを用意しているかどうかを確認する。それを怠るとどうなるか。筆者らの苦い経験を紹介しておこう。筆者らが長年使っていたISPはインターネット・バックボーン・プロバイダーを1つしか持っていなかった。そして、そのISPは上流側プロバイダーと契約更改で揉めたのだ。かくして、インターネットとのアクセスは途絶え、ISPは数日間完全な闇に閉ざされたのだった。
ケーブルやDSLを提供してる各社は、より安く、より堅牢で、より手軽にインストールでき、より速くアップロードまたはダウンロードできるようにと奮闘している。しかし、現実のパフォーマンスは、地域によって、あるいは、同じ地域でもアクセスを提供しているISPによって異なっている。ケーブルとDSLを比べると、両者の最も大きな相違点は、実は、技術的なものではない。米国では、歴史的な理由によってDSLサービスに必要な既存の電話インフラストラクチャはどのISPでも利用可能だが、ケーブルのインフラストラクチャはそれを所有するケーブル会社にISPの選択権がある。この参入条件の違いが最も大きいのである。この結果、ケーブルISP間に比べDSL ISP間の競争はきわめて激しい。ビジネスに使う場合は、信頼性と顧客サービスがISP選定の基本要件である。ISPの中には、正式のサービス水準契約(SLA)を含むビジネス・パッケージを提供しているところもある。帯域幅や障害時の対応時間の保証が必要なら検討するとよい。
現行のケーブル・インターネット・アクセスは、理論的にはDSLよりも高速である。しかし、実際のパフォーマンスに大差はなく、ほとんど同程度だ。近在のケーブル・ユーザーとネットワーク・セグメントを共有しているからである。しかも、ネットワーク・セグメントの共有は、セキュリティ上の問題も発生させる。同じセグメント上の加入者にネットワーク・パケットを覗かれる可能性があるのだ。この問題に対処するためコンピュータとISP間のトラフィックを暗号化するDOCSIS標準があるが、この場合もネットワークを共有しているため、理論的に攻撃されやすいことに変わりはない。
DSLアクセスはどこでも可能というわけではない。利用可能か否かを簡単に知ることもできない。知りたければISPか地域電話会社に尋ねる必要がある。その上、利用可能だったとしても、その速度は実際に繋いでみなければわからないことがよくある。実際の速度は、コンピュータと交換局の距離に依存するからである。しかし、長所もある。比較的容易に自分で設置できるのだ。事務所に電話のモジュラー・ジャックがあれば、新たに必要となるハードウェアはモデムだけである。これに対して、ケーブルのコネクターは居間や主寝室に設備されていることが多く、ホーム・オフィスに使う部屋にはないことがある。その場合、コネクターを新たに設けなければならない。
以上のようにインターネットへのアクセス手段はいろいろあるが、ここで、共通して注意すべき点をいくつか挙げておこう。まず、サービスを契約する際は契約書をよく読むこと。ケーブルの場合もDSLの場合も、接続できるコンピュータの台数やサーバーの設置に関して制限を設けていることがある。また、使用量が上限を超えると料金が加算されたり、自動的にサービス・プランが上がることもある。契約書に、サービスを個人的または余暇のための使用に限定する免責条項があり、ビジネス・コミュニケーションの基幹としては利用できないことがある。この場合、料金の高いビジネス・パッケージが用意されていることが多く、ときには正式のサービス水準契約があることもある。業務にインターネットが必須の場合は、ブロードバンド接続が停止した場合に備えて、バックアップ用のインターネット・アクセス手段を提供しているISPを選ぶべきである。ほとんどの場合、代替手段は、月間利用限度付きのダイアルアップになる。
次回は、ディスク・ストレージについて解説する。
原文