安全性を得るために
並列計算の目的はより早く計算を行わせることです。そのため、SCore クラス
タシステムソフトウェアはクラスタシステム上で高性能な計算環境を提供する
よう設計されています。一方で、クラッカーの攻撃からの保護に関する要求も
しだいに大きくなっています。しかし、高性能とセキュリティとの間にはトレー
ドオフがあり、より強固なセキュリティを考慮したシステムにしようとすると、
性能は低下してしまいます。
SCore クラスタシステムソフトウェア version 3.1 から、セキュリティに関
する機能がいくつか導入されました。それでもまだインターネットに接続でき
るほどのセキュリティは確保されていませんでした。Version 5.4 になって新
たなセキュリティの機構が導入され、インターネットに接続することが可能に
なりました。以下、この新たなセキュリティの機構について説明します。
このページの読者は Linux (Unix) の専門家であることが想定されています。
もし以下の説明で理解できない場合は、クラスタのネットワークを直接インター
ネットに接続することを避けるべきでしょう。
新しいセキュリティの機構は、[x]inetd と ingress
check に基づいています。ここではネットワークの上流(外側)
で ingress check が有効になっているもlのとします。も
しこのことに確証がない場合は、ネットワーク管理者に尋ねるか、インターネッ
トへの接続を諦めるかの選択が必要になります。
以下にセキュリティを保つための手順を示します。
- /etc/score.conf ファイルを編集し、以下の行を付け加えてく
ださい。
SCORE_SECURE_DAEMONS=yes
- サーバーホスト上で、
/opt/score/score-src/SCore/security/server/* ファイルを
/etc/xinetd.d ディレクトリにコピーしてください。すべてのクラ
スタ(計算)ホスト上で、
/opt/score/score-src/SCore/security/compute/* ファイルを
/etc/xinetd.d ディレクトリにコピーしてください。
- 必要に応じてコピーしたファイルを修正してください。
- [x]inetd を有効にしてください。
- サーバーホストとクラスタ(計算)ホストをリブートしてください。
インターネットへの接続は危険を伴うことと認識すべきであり、自己責任の範囲でおこなって下さい。
クラッキングへの警告
SCore クラスタシステムソフトウェア内のプログラムには、クラッキングを試みていると思われる状況を検知した場合に警告メッセージを出すものがあります。もしクラスタ管理者あるいはユーザがこれらのメッセージに気づいた場合は、システムの使用を中断し、できる限り早くサイトのシステム管理者に相談してください。
-
SCore-D は、初期化時に
/var/tcored/scoreboard ディレクトリに不正なキャッシュファイルを見つけ
ると警告メッセージを出力します。次のようなメッセージが出力されます。
SCBD: SECURITY ERROR !!
Cached file (/var/scored/scoreboard/server.02f00200DLs5) is not a regular file.
-
SCore-D は不正なログイン要求を検知した場合、
sc_syslog
に警告メッセージを出力します。次のようなメッセージが出力されます。
UNAUTHORIZED LOGIN REQUEST: somebody@somehost:1234
-
scrun
は不正な接続要求を検知した場合、警告メッセージを出力します。次のようなメッセージが出力されます。
SCRUN: Unauthorized connection (INET from somehost:2345).
情報をお寄せください
SCore クラスタシステムソフトウェアについて、なんらかのセキュリティに関する問題を発見された場合には、E-メールで
score-master@pccluster.org.
までお知らせください。
- CREDIT
- This document is a part of the SCore cluster system software
developed at PC Cluster Consortium, Japan.
Copyright (C) 2003-2004 PC Cluster Consortium.