パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

さくらインターネット、適切なセキュリティ対策無しにサーバーを運用しているユーザーに対し対策を求める」記事へのコメント

  • by Anonymous Coward on 2018年11月26日 18時02分 (#3521303)

    >まず最初にファイアウォールを無効にしよう
    まずSELINUXを無効にしようっていうのは至る所に広がっちゃってますよね…

    • by Anonymous Coward

      >まず最初にファイアウォールを無効にしよう
      まずSELINUXを無効にしようっていうのは至る所に広がっちゃってますよね…

      それがわかってる人でもIPv6用ファイアウォールをすっぽり忘れているなんてことも。。。

      # プロバイダのIPv6対応ルータにIPv6用ファイアウォールがついてないってどういうこと。。。

      • by Anonymous Coward

        そりゃ"ルーター"だからだろ

        正直個人向けでもアクセスラインはL2(またはL1)で渡してほしいので、
        現時点ではフレッツギガラインタイプ(PPPoE)1択

    • by Anonymous Coward

      だって「SELINUX」なるものが何なのか、さっぱり分かんないんだもんよ。。。
      どうやら通貨の単位でない事は分かった。
      「愛」とか「峠を攻める速度感」とか、そういった概念的なものでもないらしい。
      単一のアプリケーション・ソフトウェアでもないようだ。
      google兄貴に聞いてredhatのドキュメントを開いてみたら 真っ白 [redhat.com]。
      既に知ってる人にとっては、SELINUXなんて

      • Re:記事中 (スコア:2, 参考になる)

        by Anonymous Coward on 2018年11月27日 1時48分 (#3521593)

        当方は真っ白じゃないのでブラウザ不具合っぽいけど、RHEL7のSELinuxドキュメントに新しい日本語ガイド [redhat.com]が有ります。
        リンク先読まない人向けに簡単に解説すると、SELinuxは、Security-Enhanced Linuxの略で、アメリカのNSA製のLinuxのセキュリティ強化パッチ。
        Windowsユーザーに解りやすく伝えるならVista以降のUAC的な物。
        アプリが動かないエラーが起きた時に、めんどうだからUAC切っちゃえというバッドノウハウが蔓延したのも同じ。

        SELinuxはスマホのカメラとか電話帳アクセス権限設定のような物という理解でも可。
        このアプリはこの人でしか起動しないし、このファイルしか読み込めない、ネットワーク機能は動作に必要無いので使えないようにする。といった風にアプリが出来る事を色々制限できる。
        上手く使えば、プログラムの不具合で管理者権限を乗っ取られても、攻撃者が実質何もできないなんて事が可能。
        ただし、何でも対応できるように高機能化した代償にユーザビリティが極悪(と言い切ってよいと思う)で、初心者には意味不明な代物。
        SELinuxの設定は、SELinuxの自体の理解とアプリの設計(どのファイルにアクセスするか等)やアプリの設定が絡むので、アプリ開発者とかでもない限り簡単に網羅した設定を作成できない側面もある。
        設定ファイルで待ち受けポートを変更したり、一時ファイルの作成場所を変更したら、SELinuxのポリシーや設定値も弄らないといけないとか起きるしね。
        ブラックボックステスト的な感じでポリシーを作れなくはないけど……

        他にもWindowsのNTFSのファイルバックアップ等でも同様だけど、tarとかで何も考えずにファイルバックアップ採ると、セキュリティ設定(拡張属性)がバックアップされず、リストアしたら動かなくなる罠とかもある。

        親コメント
        • by Anonymous Coward

          そこまでやるなら、最早UNIXらしさが無いからWindowsServer使うわってのが、正直な本音で・・。

      • by Anonymous Coward

        分からないならあえて無効にせず有効にしておいてくれよと。
        問題が起きた時に初めて無効化すればいいんだよ。
        っつかsemanageくらいググればいくらでも出てくるだろと。

        # 世の中のクラウドサービスの中には事業者が勝手に無効にしてる時もあるのだけどアホかと。

        • by Anonymous Coward

          その「問題が起きたとき」がインストール当初だったりするので、真っ先に無効化されちゃうんですよ。
          それ以外にも、「問題が起きたとき」に表示されるメッセージが "Permission Denied" として一律なので、
          SELinuxが原因なのかどうかがわかりにくく、あらかじめ無効化しておくことが効率的、という問題もあります。

          クラウドサービスどころかハードウェアメーカーやアプリケーションメーカーですら、
          真っ先にSELinuxを無効化しろ、というところが多いですよ。

ソースを見ろ -- ある4桁UID

処理中...