ホーム │ パソコン・ネットワーク │ 学内サーバー管理者用マニュアル

学内サーバー管理者用マニュアル

はじめに

立教V-Campus においては、各研究室内、事務部局内に自由にインターネットサーバーおよびイントラネットサーバー(注1)を構築することができます。

このページでは、サーバー構築の方法から、その管理の注意点までをまとめます。
とくにサーバーの不正利用を発見した場合は、本ドキュメントの末尾にまとめた「緊急時の対処方法」を参照し、それにしたがって対処して頂くことを期待します。

サーバーの登録から運用まで

1. 「サーバー管理者」とは?

本学の教職員、および本学の教職員の監督下にある学生は、自由にインターネットサーバーもしくはイントラネットサーバー(注1)を構築することができます。
しかし、構築した瞬間から、「サーバー管理者」として行動することが期待されます。

2.サーバーの登録
学内サーバーの登録について

自らサーバーを構築した教職員、または学生のサーバー構築を監督した教員は、システム管理専門委員会(事務局 : 各メディアセンター)に対して下記の申請書をプリントアウト→記入して、学内メール便などでメディアセンターまで提出しなければなりません。

IPアドレス申請書

3. サーバーの構築

サーバーを構築するには、サーバーとして用いるコンピュータが次の用件を満たしていなければなりません。

  1. サーバーソフトウェア(注2)がインストールされていること
  2. 固定IP アドレスが割り振られていること
  3. サーバーにつけた名前が、DNS に登録されていること(注3)

注1)組織内ネットワークのこと。
イントラネットサーバーとした場合、立教学内LANからのみアクセス可能です。
注2)LinuxやFreeBSD 等UNIX系のOS、もしくはWindows NT Serverなら、OSそのものにサーバー機能が備わっています。
MacintoshやWindows95/98などでは、WebサーバーやFTPサーバーの機能を果たすソフトウェアをインストールすることにより、サーバーとして利用することができるようになります。

注3)「vcampus.rikkyo.ac.jp」のように、わかりやすい名前でサーバーを使うためには、マシンにつけられたIPアドレスとこの名前の対照表が必要です。
これがDNSという仕組みで、学内のDNSサーバーに任意の名前(といっても、ある程度の命名ルールがある)を登録することによって、その名前でサーバーを使えるようになります。
なおサブネット内のサーバー情報は当該サブネット内のDNSの管轄となります。


このうち、(注2)と(注3)は上記1.で述べたシステム管理専門委員会への書類提出によって発行および登録されるものです。

3. インターネットサーバーとイントラネットサーバー

立教V-Campus においては、インターネット上に公開するサーバーだけでなく、イントラネットにのみ公開するサーバーを構築することもできます。
イントラネットにのみ公開するサーバーを構築することの利点は、利用者を立教大学関係者(学生と教職員、V-Campus に加入した校友)に限ることができるということです。

ページトップに戻る

4. サーバー運営の心構え

インターネットサーバーは、構築よりも運営が難しく、とくにセキュリティの確保には最大限の努力を要します。
下記「立教大学情報倫理規程」を熟読しておい下さい。

立教大学情報倫理規程

5. 不正アクセスの予防

システム管理者は、不正アクセスの防止につとめなくてはなりません。(注1)
次の項目にとくに留意して下さい。

注1)言うまでもありませんが、不正アクセスを許すと、そこから本学の他のサーバーが危険にさらされたりすることもあります。
インターネットにおいては、セキュリティを破られることによって、自らが被害者となるだけでなく、加害者の一味となってしまう可能性もあることを記憶にとどておかなければなりません。

ページトップに戻る

(1) 管理者パスワードの設定と管理に注意する

管理者パスワードが破られると、システムを自由にクラックされてしまいます。
サーバーの正規利用者のプライバシーが侵害されるうえ(注1)、他のシステムにアタックする際の基地にされることもあります(これを「踏み台にされる」といいます)。

また、侵入者によって管理者パスワードが変更されると、システムが乗っ取られてしまいます。
管理者パスワードにはとくに破られにくいパスワード(注2)を設定し、随時変更してください。

また、Windows NT Serverの場合、デフォルトで設定されるAdministratorというユーザー名を、まったく別の、想像しにくい名前に変更しておくと同時に、guestユーザーに対する権限を抹消しておくことが必要です。

とくに注意すべきなのは、学生をシステム管理者としている場合の、学生の管理です。
管理者パスワードの設定の段階は監督者が一緒にやり、その変更を随時促すようにしなければなりません。

(2) 一般利用者の権限を低くしておくこと

サーバー利用者に対して与える権限が低ければ低いほど、セキュリティは高くなります。
余分な権限は与えないことが望ましいとされます。
Windows NT Server では、ファイルへのアクセス権限の設定に注意してください。
デフォルトではEveryoneに許可されているので、重要なファイルはアクセス権をAdministratorsに限るように設定しなおしてください。

(3) サービスを限ること

余計なサービスもなければないほどよいです。
とくにメールサービスとtelnet サービスは、セキュリティを確保する「腕」に自信がない限り、提供しないことが望ましいとされます(注3)
V-Campus上に信頼性の高いメールサービスを用意してあるので、そちらをご利用下さい。

(4) サーバーの利用者の意識を高めること

学生ホームページを管理するftp パスワードが破られるだけでは、システムに打撃は与えられないかもしれません。
それでも、ホームページが猥褻画像に書き換えられ、大学が打撃を受ける可能性があります。
自ら運営するサーバーの全利用者に対して、セキュリティ意識を高めるよう努力することが望ましいです。

その基本はパスワード管理です。
自らのホームページに見知らぬ他人の誹謗中傷が書き込まれたりした場合、パスワードの管理責任が問われる可能性もあることを周知徹底してください。

(5) システムの監視

システム管理者は、各種ログを定期的にチェックし、不正利用の兆候がないか確認しなくてはなりません(学生をシステム管理者にしている場合は、定期的に監督者への報告を義務づけることが望ましい)。

(6) システムのバックアップとスナップショットの保存

システムチェックのタイミングにあわせて、システムのバックアップをとっておきます。
不正利用に気づくのが遅れた場合に備えて、数世代は遡れるようにバックアップを残しておく必要があります。

各種ログファイルは定期的に保存します(スナップショットの保存)。
過去に遡ってログを解析するたことができるようにするためです。

また、システムを更新するたびに、最終アクセス日付などを含めたシステムファイルの一覧情報を出力しておくと良いでしょう。
見知らぬファイルがいつの間にか紛れ込み、それが何らかのシステム破りをすることもあります(これを「トロイの木馬」といいます)。

注1)システム管理者は、サーバー利用者の利用状況をすべて見ることが可能です。
メールアカウントを発行している場合、メールボックスの中身もすべて閲覧できます
(これはインターネットの仕組み上、仕方のない「穴」であり、そこからPGPのような暗号化技術が利用されるようになった)。

注2)基本的には、英大文字、英小文字、数字、記号をすべて混在させた意味不明の文字列にすることが望ましいです。
数字だけ、人の名前、英語の辞書に掲載されている文字列、などの利用を避けてください。

注3)メールサービスがあると、スパムメールの中継サーバーに利用される可能性や、サービスすることによって、結果としてユーザーのプライバシーが侵害される可能性があります。
telnetを使って侵入されると、踏み台にされる可能性が高います。
pop before smtp やssh を導入する「腕」と相談することが望ましいです。

ページトップに戻る

6. セキュリティホールへの対処

上記5.の各項目にいくら留意していても、利用しているサーバーソフトウェアに不具合があり、そこからシステムが破られることがあります。
この不具合をセキュリティホールといいます。

セキュリティホールは、クラッカーと開発者のいたちごっこの象徴です。
クラッカーがシステム破りに成功するたびに、開発者がその穴をふさぎます。
穴をふさぐためのソフトウェア(パッチ)は、インターネットを使って無償公開されています。

システム管理者は常にセキュリティホールの情報に気を配り、パッチが公開されれば、遅滞なくアップデートしなければならなりません。
セキュリティホールとそのパッチに関する情報は、以下のURI、ソフトウェアベンダーのWebページで入手することができます。

http://www.jpcert.or.jp/

なお、セキュリティに関する情報交換のための以下のメーリングリストを設置してあります(システム管理者は登録手続きをとったところで強制加入となります)。

security@ml.rikkyo.ac.jp

ページトップに戻る

緊急時の対処法

システム管理者は、自ら管理するサーバーが不正利用されている(可能性がある)と気づいた時点で、まずシステム管理専門委員会に報告しなければなりません。
システム管理専門委員会は、状況の報告を受けてから、管理者に対して対処方法を指示してください。

不正利用に対して、報告もなく、システム管理者が単独で対処にあたることは禁じられています。
その理由は以下の通りです。

  1. 被害の程度を見極めたり、犯人を特定したりするために、ある程度、クラッカーを「泳がせる」ことも必要な場合があります。
    あるサーバーがやられているということは、同じシステムを用いた学内の他のサーバーもやられている可能性が高く、大学全体で情報を共有しながら、対処を進める必要があります。
    (大規模な事件の場合、警察から犯人特定への協力を求められることもあります)
  2. 犯人の特定を諦め、追い出すにしても、学内のすべてのサーバーが一斉にセキュリティ対策を施すことがとても重要です。
    これが「立教大学は手ごわい」という印象・風評をつくり、不正利用の予防措置の一つとなります。

不正利用への対処の予備知識

システム管理者は、不正利用に対処するための備えとして、以下のサイトを熟読しておいてください。
http://www.jpcert.or.jp/magazine/

このページの最上部へ