PCクラスタのセキュリティー
このホームページを作る際の障害として、セキュリティーがありました。インターネットで匿名の人物にPCクラスタの設定に関する情報を公開することで、作ったPCクラスタが、クラッカーの標的にされることを恐れたのです。そこで、このホームページに用いているIPアドレスなどは、嘘をついていまして、実際のPCクラスタは全く違うアドレスなどを用いています。
PCクラスタの目的が化学計算をすることであれば、ネットに繋げなければ、クラッカーに狙われることもないのですが、他のパソコンに計算結果を転送したり、便利な点も多々あるので、最低限のセキュリティーを確保した上でPCクラスタの構築をすることが重要だと思います。
セキュリティーに関しては、もっと詳しい他のホームページの解説を参考にすることをお勧めします。
(1) 不要なサービスの停止
Linuxを普通にインストールすると、余計なサービス(デーモン)が起動しています。それらを起動しないようにすることは、そのサービスを使って、攻撃してくるクラッカーに対する防御にもなりますし、第一にマシンが余計な仕事をしない分、化学の計算も速くなるのでは??(ほとんど変わらないのだろうけど、気分的にもGood)
具体的には、「サービス」のメニューを表示させ、チェックボタンをはずして、再起動するだけです。どのサービスが何をしているかは、こちらのページ などを参考にして下さい。
マスターサーバは、外部インターネットと繋がっているので、rsh-serverは起動させずに、rsh-clientのみにして、スレーブクライアントの3台は、rsh-serverとrsh-clientの両方を起動するように設定したりしています。
もちろん、コマンドライン上からchkconfig --level 345 (サービスの名前) off などでも設定できます。
(2) プログラムのアップデート
具体的にセキュリティーホールとは何なのか、私自身がイメージできないのですが、古いバージョンのまま、使用していることは、セキュリティー上好ましくないらしいです。普段、使っているWindowsマシンでは、勝手にUp-dateプログラムが動いて、常に変なウィルスプログラムなどに乗っ取られないようになっていますが、Linuxも定期的にUp-dateをする必要があります。自動的にUp-dateするのなら、サービスの設定で、yumをチェックしておけば(起動しておけば)、良いのですが、計算の途中で勝手にUp-dateをされると、嫌だったので、手動で定期的にUp-dateするようにしています。
(3) TCP Wrapper
TCP Wrapper とは、サービスを使用できるコンピュータをIPアドレスでフィルタリングする機能です。通常、接続するコンピュータのIPアドレスのみを登録しておくことで、匿名のクラッカーからの攻撃を阻止します。具体的には、/etcフォルダ内のhosts.allowとhosts.denyの内容を編集します。
/etc/hosts.deny
#
# hosts.deny This file describes the names of the hosts which are
# *not* allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow. In particular
# you should know that NFS uses portmap!ALL:ALL
hosts.denyのファイルは接続を許可しないサービスとIPアドレスを記述します。ALL:ALLとすることで、すべてのサービスをすべてのIPアドレスで拒否することになり、実際は、hosts.allowで許可したサービスとIPアドレスが許可されることになります。
/etc/hosts.allow
#
# hosts.allow This file describes the names of the hosts which are
# allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#vsftpd: 192.168.255.0/255.255.255.0
sshd: 192.168.255.0/255.255.255.0
ALL: 192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.4
もっと細かく指定すれば良かったのかもしれませんが、基本的には、マスターサーバやスレーブクライアントのPCクラスタ内では、すべてのサービスを許可しておき、vsftpd(FTPサーバ)とsshd(SSHサーバ)は、研究室のコンピュータからアクセスできるように、IPアドレスを許可しました。(この場合は、192.168.255.0〜255のIPアドレスがOKの場合の例です。)
