« ロウソク燃焼実験 | トップページ | OS Xで得たもの失ったもの »

2003.12.26

Mac OS Xのセキュリティ設定

今回は、前回の話の続きである。

Appleのセキュリティアップデートにより、デフォルトの設定でLDAPサーバというシステムの根幹にかかわる重要なデータベースのアドレスがDHCPという信頼性の若干劣るシステムによって払い出され得るという問題が解決した。

この問題は解決したのだが、そもそもデフォルトの設定とはどうあるべきなのかが気になったので考えてみたい。

そもそも、Macintoshの使い方は大きく2種類あると考えている。ひとつは固定して使うタイプでデスクトップマシンを使用するのが典型的であろう。多くの場合は高速な有線LANによって接続されていると思われる。複数のコンピュータを使いファイルサーバ、プリンタなどをLANによって共有する場合は、LAN全体をブロードバンドルータなどによってファイアウォールで保護するのが有効である。コンピュータが多数ある場合はLDAPサーバで集中管理するのが効率的であろう。

これに対して、コンピュータを携帯して様々な場所で使うタイプがある。ノート型のマシンを使用するのが典型的であろう。必要に応じて電話線や無線LANの公衆アクセスポイントでネットワーク接続を実現する必要がある。この場合はMacintoshから直接インターネットに接続する場合がほとんどであるため、Macintosh自体に内蔵されているファイアウォールを有効にする必要がある。携帯してLANから切り離した状態でも使用できる必要があるため、LDAPによる集中管理には馴染まない(携帯しない場合でもダイアルアップやADSLモデムをMacintoshに直結して一台のみでインターネットに接続する場合も便宜上こちらのタイプに分類する)。

さて、使い方を考えると、一台のみを接続して使用するケースのほうがLANを組んで様々な資源を共有しながら使用するケースよりも多い(少なくとも安易な使い方である)と考えられる。対して、LANを組む方法は比較的高度な使い方であると言える。であれば、デフォルトの設定は一台のみの使い方に合わせるべきであろう。すなわち、内蔵のファイアウォールがデフォルトで有効になっているべきである。そして、ファイアウォールでLDAPサーバへの接続をブロックしておけば良い。これによって意図せず外部接続先から設定を上書きされる危険がなくなる。同時に、LANを組む場合には個別のファイアウォールを外す(または設定を変える)ことにより、資源の共有や集中管理が可能になる。

« ロウソク燃焼実験 | トップページ | OS Xで得たもの失ったもの »

セキュリティ」カテゴリの記事

コメント

コメントを書く

(ウェブ上には掲載しません)

トラックバック


この記事へのトラックバック一覧です: Mac OS Xのセキュリティ設定:

« ロウソク燃焼実験 | トップページ | OS Xで得たもの失ったもの »

最近のトラックバック

無料ブログはココログ

Googleアナリティクス

  • Googleアナリティクス