アカウント名:
パスワード:
へぼい奴が使えば Linux だろうが BSD だろうが Secure なサイトになんぞなりません。もはやうんざりするほど言いつくされてきたことなのでは? CGIの危ないやつがひとつ使われてたらアウトですよね。
# 今どきCGIかよ、というのはとりあえず置いとくとして。
もちろん、Secureに保つ上でのコストパフォーマンスの点でIISが弾かれるのは当然とも思いますけど。
Debian GNU/Linux と NetBSD を愛用してるけれど、Secureに保つためのコストという点ではどちらもそう変わらない。差は他の部分にあるわけで、用途によって使い分けてる。それだけ。
私が言いたかったのは、Linuxはメジャーになってしまったぶん、狙われやすいのでわ?
うーん。確かに、ありきたりな技術を使って手当たり次第にアタックを仕掛けるScripting Kiddieどもからするとそうかもしれませんね。出回っている対UNIX系アタックコードの多くがLinuxを対象にしていますからね。
ただし、
BSDなシステムに対するウィルスで自己満足する輩は、相当な珍種であろう。
という希望的観測にもたれてサイトを運用するのは相当に危険なことです。例えばつい先日話題になった wu-ftpd の穴にしたところで、巷間ではあたかもLinux固有の問題であるかのように言われていましたが、Exploitコードに多少の違いはあれ、wu-ftpdを使っていればBSDと言えど危険だったはずです。この穴を残したまま運用していて、そのホストをピンポイントで狙われたら、BSDであろうと間違いなくやられる。その点では差はないのでは?
もう1つ注意しなければならないこととして、cross-compilationがあります。現在およそfreeなOSのほぼすべてがGNU toolchainを利用しているため、それらのOSが動くarchitecture向けにcross-compileを行うことが可能であり、かつ容易になっています(i386でsparc64用のkernelを作ったらあっさり動いたとか)。したがって、たとえ自分が特殊なarchitectureで仕事をしているからといって、安心はできません。
残念ながら、現実に需要があるのでcross-compilationを止めるわけにはいきません。私はこれを厄介な問題であるととらえているのですが、何故かこういう指摘ってなかなか見かけませんね。もしかして世の中の多くの人はi386しか存在しないと考えている?
サーバが他から持ち込まれたbinaryを自動実行するとしたら、それは設定のミスか セキュリティホールでしかないので、ここで論じるのはナンセンス、ということで よろしいでしょうか?
問題をすり替えられてるぁ... そういうことじゃなくて、「スクリプトインタプリタを入れてないから大丈夫」「shellを削ってあるから大丈夫」などと考える輩が存在するんですよ(特にscript kiddyという言葉からの連想で)。というわけで、
セキュリティ維持の観点からすると、そこで安心して思考停止するのがそもそも間違ってますよ。
は正しいのですが、問題はそれではなく、この事実に気が付いていない人が多いことです。ですからやるべきは、問題の正しさを論じることではなく、如何にして問題の存在を周知するかです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
なぜにLinux? (スコア:2, 興味深い)
BSDなOSを使ったほうが良いのでは? 確か、日本のある公共団体
の施設では、上記の理由でオールBSDで運用していたぞ。
やはり、あまりにもマイナー路線なのも話題不足で駄目なのだろうか…
Re:なぜにLinux? (スコア:2)
へぼい奴が使えば Linux だろうが BSD だろうが Secure なサイトになんぞなりません。もはやうんざりするほど言いつくされてきたことなのでは? CGIの危ないやつがひとつ使われてたらアウトですよね。
# 今どきCGIかよ、というのはとりあえず置いとくとして。
もちろん、Secureに保つ上でのコストパフォーマンスの点でIISが弾かれるのは当然とも思いますけど。
Debian GNU/Linux と NetBSD を愛用してるけれど、Secureに保つためのコストという点ではどちらもそう変わらない。差は他の部分にあるわけで、用途によって使い分けてる。それだけ。
Re:なぜにLinux? (スコア:1)
狙われやすいのでわ? ということです。Linux(カーネル云々の話
は抜きにしましょう)に感染するウィルスを作って自己満足する輩
がいてもおかしくはないが、BSDなシステムに対するウィルスで
自己満足する輩は、相当な珍種であろう。
Re:なぜにLinux? (スコア:3, すばらしい洞察)
うーん。確かに、ありきたりな技術を使って手当たり次第にアタックを仕掛けるScripting Kiddieどもからするとそうかもしれませんね。出回っている対UNIX系アタックコードの多くがLinuxを対象にしていますからね。
ただし、
という希望的観測にもたれてサイトを運用するのは相当に危険なことです。例えばつい先日話題になった wu-ftpd の穴にしたところで、巷間ではあたかもLinux固有の問題であるかのように言われていましたが、Exploitコードに多少の違いはあれ、wu-ftpdを使っていればBSDと言えど危険だったはずです。この穴を残したまま運用していて、そのホストをピンポイントで狙われたら、BSDであろうと間違いなくやられる。その点では差はないのでは?
Re:なぜにLinux? (スコア:2)
もう1つ注意しなければならないこととして、cross-compilationがあります。現在およそfreeなOSのほぼすべてがGNU toolchainを利用しているため、それらのOSが動くarchitecture向けにcross-compileを行うことが可能であり、かつ容易になっています(i386でsparc64用のkernelを作ったらあっさり動いたとか)。したがって、たとえ自分が特殊なarchitectureで仕事をしているからといって、安心はできません。
残念ながら、現実に需要があるのでcross-compilationを止めるわけにはいきません。私はこれを厄介な問題であるととらえているのですが、何故かこういう指摘ってなかなか見かけませんね。もしかして世の中の多くの人はi386しか存在しないと考えている?
Re:なぜにLinux? (スコア:2)
・・・残念なことなのでしょうか?
これがないと、NetBSDやOpenBSDの各アーキテクチャのportが新規に作れませんが。
#コンパイラのネイティブなバイナリすらないアーキテクチャに移植することだってあるのだし。
#Debianは他アーキテクチャのサポートに熱心ですから、Debianも困りますよね?
>私はこれを厄介な問題であるととらえているのですが、
何がどういうふうに「厄介なこと」なのですか?
#わたしには具体例が想像できないのですが・・・。
#i386のWindowsが穴だらけでbinary形式のvirusによく引っかかったりするのは、
#Winの対策がなってないせいってだけで、cross-compilationが厄介というのは
#無関係な気がするのですが・・・。
#それとも、その他のことですか? うーん・・・、なんだろう???
サーバが他から持ち込まれたbinaryを自動実行するとしたら、それは設定のミスか
セキュリティホールでしかないので、ここで論じるのはナンセンス、ということで
よろしいでしょうか?
>たとえ自分が特殊なarchitectureで仕事をしているからといって、安心はできません。
セキュリティ維持の観点からすると、そこで安心して思考停止するのがそもそも間違ってますよ。
---- redbrick
問題は問題の存在に気づくか (スコア:2)
問題をすり替えられてるぁ... そういうことじゃなくて、「スクリプトインタプリタを入れてないから大丈夫」「shellを削ってあるから大丈夫」などと考える輩が存在するんですよ(特にscript kiddyという言葉からの連想で)。というわけで、
は正しいのですが、問題はそれではなく、この事実に気が付いていない人が多いことです。ですからやるべきは、問題の正しさを論じることではなく、如何にして問題の存在を周知するかです。
Re:問題は問題の存在に気づくか (スコア:2)
>「shellを削ってあるから大丈夫」などと考える輩が存在するんですよ
>(特にscript kiddyという言葉からの連想で)。
あ、そちらの「厄介なこと」という意味でしたか・・・。
#技術的な問題が、アーキテクチャ非依存であるのかと思ってしまいました(汗)。
そういうことであれば、「厄介」というのはわかるんですが・・・、その場合、
cross-compiling出来ることが厄介なのは結果であって、本質的に厄介なのは、
>この事実に気が付いていない人が多いことです。
ですよね?
それをcross-compiling側で注意するのは、なんか本末転倒で、結論を導き出す流れが
まったく繋がってない気がしますが・・・・(汗)。
#途中の「script kiddyとかの"気が付いていない連中"が危ない」って入らないと、
#読み返してもわからないですよ、これ(汗)。
#なら、それから先に主張した方がいいのではないでしょうか?
刃物がヒトを傷つけるからと言って、刃物を先に世の中から締め出そうとするような
ことじゃないですかねぇ・・・。
ヒトを傷つけるような"危ない人間"については触れないで。
---- redbrick