Red Hat Linuxシステムをネットワーク上(LAN、WAN、インターネットなど)で使用する場合、ネットワークに接続していない場合に比べてリスクの程度が高くなることを認識しておく必要があります。大規模なネットワーク上に存在する場合は、パスワードファイルに対する力ずく攻撃や不正なアクセスをするユーザー以外にも、セキュリティ上の問題が生じる可能性が広がり、問題の生じる形態もさまざまになります。
Red Hat Linuxには、多くのネットワークセキュリティ手段が組み込まれています。また、主要なディストリビューションには、たくさんのオープンソースのセキュリティツールが含まれています。しかし、備えをしたとしても、ネットワークトポロジーや他のさまざまな要因がもとでネットワークセキュリティの問題は発生することがあります。ネットワークセキュリティの問題の発生源や手法を判別できるように、そうした問題における最も可能性の高い発生方法について、以下で考察してみましょう。
認証データの嗅ぎつけ—Linuxや他のオペレーティングシステムにおける多くのデフォルトの認証方式では、認証情報が「クリア形式で」送信されます。このとき、ユーザー名やパスワードはネットワーク上をプレーンテキスト、すなわち暗号化されずに送信されることになります。そのネットワーク(インターネット経由でシステムにアクセスしている場合は、インターネット)にアクセスできる人であれば、ネットワーク上で転送されるすべてのデータを記録することによってパスワードを「嗅ぎつけ」(検出し)、それをふるいにかけて一般的なログインステートメントを割り出すことができます。この手法は、rootパスワードを含め、暗号化されずに送信されるいかなる情報の割り出しにも使用されます。パスワードやその他の機密データが暗号化されずに送信されるのを防ぐには、ぜひともKerberos 5やOpenSSHといったツールを実装して利用することが必要です。何らかの理由によりそのシステムでこれらのツールが利用できない場合は、コンソール以外では決してrootとしてログインしないようにします。
正面攻撃—DoS(Denial of Service)攻撃のたぐいは、不適切または誤った形式の要求でシステムをあふれさせて機能を麻痺させたり、システムやそのデータだけでなく通信相手のシステムまでもリスクにさらすようなプロセスを作成したりする可能性があります。こうした攻撃を止めさせ、被害を最小限にするには、パケットフィルタリングファイアウォールなど、数多くの保護機能が利用できます。しかし、正面攻撃に対処する最善の方法は、信頼されていないシステムが信頼されているシステムとやりとりする方法を総合的に観察し、これらの間に保護障壁を設け、いかなるイベントにも迅速に応答する方法を開発して、システムの混乱や潜在的な被害を最小限に抑えることです。
セキュリティ上のバグやループホールの利用—ソフトウェアには時としてバグがあり、それが利用されると保護されていないシステムが重大な被害をこうむることがあります。そのため、rootとして実行するプロセスは最小限にとどめておくべきです。また、パッケージの更新やセキュリティの警告に使用するRed Hat Networkのように、利用できるさまざまなツールを活用して、セキュリティ上の問題が発見された場合はできるだけ早く修正します。また、不要なプログラムが起動時に開始されることがないようにします。起動されるプログラムが少ないほど、セキュリティ上のバグによる影響を受けにくくなります。