Linuxデスクトップをセキュアにするための方法をセレブに聞いてみた

 人々がWindowsからLinuxに移行する主な理由の一つに、インターネット上のマルウェアに対してよりセキュアだと期待できるからということがある。Windowsデスクトップを安全に保つためには別途セキュリティ対策を強化する必要があるということは誰でも知っているところだが、同じことをLinuxで実現するためには何をする必要があるのだろうか? この問いに対する答えを見つけるために、有名なLinuxカーネルハッカーとセキュリティの専門家に各々の意見を聞いてみた。

 非凡なLinuxハッカーであり、IBM社員であり、最近の役割としてはLinux Foundationでプラットフォーム戦略のリーダーを務めるTed Ts’o氏は、もう何年間もファイアウォールなしの状態でデスクトップ上でLinuxを走らせているという。Ts’o氏は一般的なユーザよりもネットワークとLinuxプラットフォームのセキュリティについて詳しいため、ファイアウォールなしでも安全にすることができているのだという。

 Ts’o氏によると最近のLinuxディストリビューションを利用しているのであれば、Linuxデスクトップを安全にするためにはディストリビューションのデフォルトのファイアウォールを利用しさえすれば良いとのことだ。ただし、特に注意すべきことがいくつかあるという。例えばデスクトップが接続されているLANにワイヤレスルータやインターネットアプライアンスを追加することは弱点を増やすことになるため、どちらにおいても関係者以外が立ち入れないようにして自分を守る必要があるという。またTs’o氏は、OpenOffice.orgがMicrosoft Officeのアプリケーションを非常に忠実に反映した結果として、文書やファイルを開いてウィルスに感染するということも起こり得るという点についても指摘した。

 Linuxカーネル開発者の中でナンバー2の位置を占めるAndrew Morton氏は、自らのデスクトップのセキュリティについては無頓着であることを告白した。「いいかげんにやっている。バグはないだろうと当てにしている小さなNetgearルータがあって、そのルータの内側にあるものはすべて、ディストリビューションのデフォルトのコードのままだ。様々なセキュリティ関連の機能は、面倒だと思ったら無効にしてしまっている」。

 一方Linus Torvalds氏は、自分のデスクトップのセキュリティに対してもっと用心深い姿勢だ。Torvalds氏は他の人にセキュリティについてのアドバイスを述べることについては断ったが、自身のやり方としては、複数のファイアウォールと厳格なルールを用いて何から何まで封鎖しているとした。ファイアウォールは、DSLルータ上と自分のデスクトップマシン上とで走らせているという。デスクトップマシンと同じLANに数台の開発用マシンを接続していて、それらのマシンはさらにもう一台のルータとファイアウォールの内側にあるのだという。Torvalds氏は次のように述べた。

ファイアウォールのルールについても、かなり徹底的にやらないと気が済まない。基本的に、何も入ってこないようにしている。SSHさえも拒否している。そのため旅行に出かけたら、自分でもいつものマシンにログインすることはできなくなる。SMTPについても拒否している。メールはfetchmailを使って外部マシンから取得するようにしていて、その外部マシン上でスパムフィルタを実行している(スパムフィルタについては内部マシンでも実行しているが、それはたまたまそうなっているだけだ)。

言い換えれば、基本的に外部に向けての接続しかしないようにマシンを設定しようとしている。内側に向かうトラフィックは事実上自分が開始したものだけだ。そのため内側に向かうトラフィックはかなり信頼性が高いと見込まれる接続だけだ。

専門家の意見

 アドバイスを求めるべき人が間違っているのではないかとTorvalds氏にやんわりと指摘されたので、おそらくこれまででもっとも有名なネットワークセキュリティツールであるNmapの作者であるFyodor氏に、Linuxデスクトップをセキュアにするためのアドバイスを求めた。Fyodor氏のアドバイスは次のとおりだ。

ソフトウェアのアップデートを頻繁に行なうこと。最近のディストリビューションのほとんどでは、システムにインストールされているパッケージのアップデート(セキュリティパッチも含む)を簡単にインストールすることができるようになっている。例えばFedora Coreでは、「yum update」を実行すれば良い。これを毎晩行なうようにシステムを設定しておくことも検討してみると良いだろう。その際には、ブラウザのアップデートも含まれていることを確認しておくこと。つまり例えば、Firefoxの新バージョンをtarファイルからインストールした場合には、OSがアップデートの必要性を把握していないことがある。その場合には、Firefox自身でアップデートを確認するように設定しておくと良いだろう。また、Linuxディストリビューションはディストリビューションの新版のリリース後、割と短期間でセキュリティサポートを停止することが多いという点に注意しておくこと。例えば2006年10月にリリースされたFedora Core 6は、2007年12月にアップデートの提供が停止された。したがってそのようなディストリビューションを利用している場合には、含まれている各ソフトウェアのアップデートとともに、ディストリビューション自体のアップデートも定期的に行なう必要がある。

安価なもので良いのでブロードバンドルータにコンピュータを接続するようにして、そのルータを経由してネットワーク接続(ケーブル/DSLモデムなど)を行なうようにすること。ネットワークアドレス変換による保護を確実にするために、コンピュータにはプライベートアドレス(192.168.*.* など)を割り振ること。NATデバイスを経由させた場合、そのままでは利用できなくなるアプリケーションもあるが、そのようなアプリケーションをサポートするためにポートフォワーディングのルールに手を出す場合には、目的が明確なルールだけを追加するように気を付けること。すべてのポートが自分のデスクトップコンピュータにフォワードされるようにルータを設定してしまうと、このようなシステムのセキュリティ上の利点がなくなることになる。

詐欺メールに警戒すること。大抵のワームがWindowsを対象にしていて、影響をあまり受けないということから、Linuxユーザは油断気味のことがある。しかしメールやウェブサイトを利用した攻撃はプラットフォームには依存しないことが多い。フィッシング攻撃や、ナイジェリアの手紙(419事件)などについては、LinuxユーザもWindowsユーザと同じように脆弱だ。そのため電子メールのリンクをクリックしたり、ウェブサイトに個人情報を登録する際には、非常に用心深く行なうようにすること。SpamAssassinClamAVを使用して電子メールをふるいにかけることも検討してみると良いだろう。

 まとめると、Linuxデスクトップ上で優れたセキュリティを維持するために必要だと考えられる内容は人それぞれではあるが、共通して言えることもあり、それはLinuxは決して完璧であるわけではなく、Linuxを利用しているからというだけでデスクトップが安全だということはないということだ。そのため良識に従っておくようにしよう。たいていの場合、普通のユーザにとっての良識とは、デスクトップをファイアウォールの内側で利用するようにすることと、セキュリティパッチを定期的に適用するということだ。ただし一部のユーザにとっては、さらなる防御策を講じるのが望ましいかもしれない。

Linux.com 原文