本ページでは、 JNNET のセキュリティポリシーについて説明しています。

JNNET では、大量のグローバル IP アドレスや計算リソースを保有しています。
このリソースを有効活用するため、所属する学生にサービスとしてその一部を提供しています。
ただ、すべての学生がセキュリティに精通しているとは限らず、過去に複数回インシデントが発生しています。
特に CNS 等の外部ネットワークに迷惑をかけることが頻発してきました。

しかし、徳田研究室の流れを汲む中澤・大越研究室は「分散システムの研究室」です。
jnroot としては、サービスの提供中止や厳しい制限を設けることは可能な限り避けたいと考えています。
その代わり、使用者各自でセキュリティを念頭に置き、 リテラシーの高い運用をしていただきたいです。

したがって、本ページの通りセキュリティポリシーを定め、 JNNET 全体としてセキュリティの向上を目指します。
使用者各位は、このポリシーを熟読し、遵守するように努めてください。

具体的に本セキュリティポリシーが目指す状態は以下の通りです。

• A. 外部から攻撃の標的とされにくくすること。
  • 例: Web サーバのバージョンが HTTP ヘッダから分かれば、その脆弱性を狙われる危険があります
• B. 外部からの攻撃に耐えられること。
  • 例: 脆弱なパスワードで SSH が公開されていれば、すぐに突破されます
• C. もし実被害が起きても、その被害が広がらないこと。
  • 例: SSH から乗っ取り等が発生すると、さらに他のホストに向けた不正アクセスが発生します
• D. 被害ホストの特定・遮断・停止が容易であること。
  • 例: ホストの設置場所が不明だと、物理的な遮断に時間がかかります

• SSH はパスワード認証禁止
  • SSH ポート開けるの後悔鍵でのみ OK
• 22, 80, 443 以外のポートは jnroot とよく相談。用途を踏まえてリスクとのバランスを考える
• パスワードは複雑なものを設定する。仮ユーザを作る場合もランダムで推測しにくいパスワードを生成する
  • e.g.) gpg --gen-random --armor 1 15
• 定期的にアップデートを行う。 End of Life を迎えた OS やサーバをインターネットに公開しない