パスワードを忘れた? アカウント作成
2251 story

最強のファイアウォールは止まっている 36

ストーリー by Oliver
コロンブスの卵 部門より

tyamagch 曰く、 "Sys Admin Journal for UNIXの記事に「HaltしたLinuxマシンでファイアウォール」という記事が掲載されていた。Linuxマシンを終了させるときに通常はshutdown -hコマンドを入れるのだが、その後もパケットフィルタリング機能を動かしておけば、ディスクもアンマウントされていて、余計なタスクも動いていない、すなわち第三者に侵入される余地のない超安全なファイアウォールってわけだ(DHCP使用環境では使えないなどの制約もあるが)。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ありがちな例 (スコア:2, 参考になる)

    by optimized (4229) on 2002年02月11日 21時38分 (#61664)
    ・ポートフォワーディングの設定が完璧.
    ・拒絶IP設定も完璧.

    「これで完璧だー!!」と思って,一定期間の試験
    運用もなしに shutdown -h.

     拒絶IPのつもりが「allow」としていて,ログも
    取らないから永久に気付かず,ローカルネットは
    外から見られ放題.

     ローカルネットは当然ノンパスワードで共有し放題の
    Windows(笑).NetBIOSでIP直指定で見られ放題.

    #最近Linuxから離れ気味で忘れてしまったのですが,
    #NetBIOSのポートフォワーディングってできるんですっけ?
    --
    optimized for /.
  • by cyber205 (4374) on 2002年02月11日 20時13分 (#61648) ホームページ 日記
    お見事。
    というか、パケットフィルタリング機能だけを
    動かすにはこうするという「お手本」みたいな感じですね。

    haltしてる状態で動くってのはまるで脳死状態で
    電気を送って活かし続けているような気持悪さがありますが、
    死んでいることを利用するテもあるんですねぇ。
    • by G7 (3009) on 2002年02月12日 0時52分 (#61712)
      殺すべき心臓(=機能)が無ければ敵にも殺されようがない、わけですか。
      これが本当(unix伝統語のアレよりも的確な)の、ゾンビですね(^^;

      いわゆるOSがフィルタのローダー(ブーター)になってるわけ、ですよね。
      これもまたコロンブスの卵系でしょうか?

      #逆にいえば、それだけ、unixにおける「動いてる」という状態の定義が、狭いということですかね…
      親コメント
  • ログの残っていないファイアウォールなんて。
     2chみたいに、ログを提出しろって言われたって、とってないもん出せない。
     警視庁 [srad.jp]から指導をうけそう。
    • by ryochan (6714) on 2002年02月11日 22時56分 (#61685)
      NATできるスイッチなのでは?

      #これならログのとれない説明がつく(笑)
      親コメント
    • by Hisahimi (4212) on 2002年02月12日 7時51分 (#61807) 日記
      haltするというのは行き着くとこまで行き着いた極端な例としても、不必要なデーモンを停止するという基本に立ち返るには、「これだけでも動く」ということを示す例として参考になると思います。

      あとは、ログが必要ならsyslogも動かさないといけない、ディスクにログをかき出すにはHDDもmountしておかないといけない…と、ここから追加して行くようなアプローチも面白いかと。
      親コメント
    • by ogochan (18) on 2002年02月12日 17時08分 (#61975) ホームページ
      先日、私の一般公開しているサーバの利用者から、警察の方に「不正使用を受けた」と報告があったらしく、警察からログの提出の打診をされましたが、「取ってるけどすぐ消してるので、出そうにも出せませんよ」と答えたら、「そうですよねぇ」とか言われて、特に取っておいて欲しいとも、取るべきだとも言われませんでした。

      警察自身がザルだとわかっているようですね > ログ
      親コメント
    • 賛成だな。
      「ファイアウォール機能」だけならそこらの廉価ルータだってできる。
      接続ログの取れないファイアウォールにファイアウォールを名乗る資格
      ナシナシと私は思う。
      --
      みんつ
      親コメント
      • そこらの廉価ルータとちがってBフレッツベーシックなんかでも
        キッチリ速度出せるって利点は一応ありますね。
        • ちょっぴり高いルータ買えばいいじゃん
          と、レスがつくのは目に見えていたと。
          • by Anonymous Coward
            例えば30万円以下くらいで、90~100Mbpsでるルータって存在しないと思いますけど、あります?
            あ、まんまLinuxなりBSDなりが載ってるようなの(特にHDD付きの)は除いてね。
            • by redbrick (4865) on 2002年02月12日 10時49分 (#61834) 日記
              ちょっと気になるんですが、この状況でハードウェアエラーや
              ドライバの障害がでたらどう対応するんでしょう?
              #障害がでたら即reboot?
              #エラーも通知してくれないsystemなら、まったく意味ない気がしますけど・・。

              自分の所で試せる環境が今ないんですけど、kernelがhaltの準備をしてる状況で
              プロセスを残しておくってのは、やっぱり気持ち悪いですねぇ・・・。
              #不必要なdiskのunmount、不要なプロセスは動かさないってのは、はっきり言って
              #secureなサーバを作るためには必須のことだと思うし、そんなことをhaltした
              #マシンで実現しても何もうれしくないと思うのだが・・・・。
              #それに、単に、rc scriptでの自動化だけでも実現できません?
              #それとも、kernel側でhaltにすることが必須なの?

              あと、この状態の理論的な説明とかってないんですかね?
              記事の原文読んだ感じじゃ、そこまでまだ追求してないみたいですけど・・・。
              #経験則だけではどこに穴があるか分からないから、kernelやOSの動き全部
              #調べてからこういうのは発表すべきだと思うんだけどなぁ。
              --
              ---- redbrick
              親コメント
            • by redbrick (4865) on 2002年02月12日 14時10分 (#61921) 日記
              >例えば30万円以下くらいで、90~100Mbpsでるルータって存在しないと思いますけど、あります?

              スペックがよくわからないんですが、

              >90~100Mbpsでるルータ

              ってのが、Gigabit-Ether portありの機種のことを言ってるのなら、そうそうなさそうですねぇ・・・。
              でも、家庭内でGigabit-Etherでネットワーク組んでも、FTTHでもホームユースは10BASE
              相当のはずで、まったくオーバースペックなんですが、外部側は何と接続するつもりなんでしょ?
              企業ユースでも確か100BASE相当がせいぜいじゃないですかね?
              #あ、100BASE-TXでなら、5万から10万付近で数portあるのがごろごろあるみたいですけど。
              #しかもVPNやパケットフィルタはほとんど標準搭載みたいで。

              しかし、

              >まんまLinuxなりBSDなりが載ってるようなの(特にHDD付きの)

              これは買って実際に中身を見ないとわからないかと。
              #カタログスペックでOSがLinuxやBSDだって明記してあるのは数少ないんでは?
              #普通のユーザーはそんなこと気にしないから、カタログの文句には書かないでしょう。
              --
              ---- redbrick
              親コメント
              • by Anonymous Coward
                >外部側は何と接続するつもりなんでしょ?
                それはもちろん、100Mbpsの光ですね。

                >#あ、100BASE-TXでなら、5万から10万付近で数portあるのがごろごろあるみたいですけど。
                >#しかもVPNやパケットフィルタはほとんど標準搭載みたいで。
                その価格帯のルータだと、現状の製品群ではそのルータがボトルネックになってしまって
                回線が勿体ないのです。100M
  • by unagi (2663) on 2002年02月11日 21時39分 (#61665) 日記
    バッファオーバーフローを引き起こすコードが何処にもないことが前提ですよね。
    • バッファオーバーフローを引き起こすコードが何処にもないことが前提ですよね。
      ま、それ以外にもDoSを受けないとか重要ないくつか押さえておくべき事柄がありますが、この場合そういう問題を引き起こすコードが最小であることがポイントでは?

      たかだか数万行レベルならなんとか実地で証明できそうなものでしょう。某OSみたいに数千万行あって、どこが問題だかわからないなら(いくらなんでも某OSのサポート体制がそうだとは思いませんが)作業量は膨大になります。

      親コメント
      • by unagi (2663) on 2002年02月12日 14時53分 (#61941) 日記
        その通りだと思います。
        ただ、「最強の」という所にちょっとだけツッコミを入れてみたかったんです。
        親コメント
        • ただ、「最強の」という所にちょっとだけツッコミを入れてみたかったんです。
          なるほど。とはいえ、「最強」は「一番強い」ですからねえ。他に対抗がないと。

          # え、*BSDで同じことをやったほうが強いって?:-)

          親コメント
          • by gimy (5240) on 2002年02月13日 2時26分 (#62183)
            ># え、*BSDで同じことをやったほうが強いって?:-)

            少なくともNetBSDではできません。(他の*BSDも同様だと思う。)
            もちろんshutdown時の幾つかの処理をコメントアウトしてしまえばできますが、それは反則でしょうから。

            というか、haltというのはいつ電源を落とされても構わない状態なのだから、そんな状態でパケットを受け入れてしまうLinuxのほうが変。
            親コメント
  • ネットに繋がないのが最強、というのはナシの方向で?

    ## 防火壁という大前提を忘れているような気が・・・・
    --

    # I will work seriously this year!

  • by baby_face (5007) on 2002年02月12日 1時42分 (#61735)
    できるんでしょうか?
    イマイチどういう状態なのか想像がつかないです。
    いわゆるシングルユーザモードとも違うのですよね?
    • by tyamagch (672) on 2002年02月12日 5時08分 (#61799) 日記
      元ネタの筆者も'interesting as a excercise'なんて書いているように、あくまで好奇心の対象として捉えるのがこの記事の正しい読み方でしょ。
      真面目に「Firewallとしての機能が云々」と言っても面白くない。「他のUNIXではどうか?」(筆者もOpenBSDで試したいと書いてた)のようなリアクションを筆者も期待していると思うよ。
      ほら、この記事を読んだ後は、今まで呆然と画面を眺めていた'shutdown -h now'入力後の時間も、「ここで何が出来るんだろう」と思いをめぐらす有意義な時間に!(笑)
      --
      Don't ask me why!
      親コメント
      • by baby_face (5007) on 2002年02月12日 9時35分 (#61820)
        うーん。なるほど。
        しかし、shutdownしたあとにプロセスが残るというのは、なんとも
        不気味な…
        興味の対象とはなっても、真っ当な運用では無いかも知れませんね。
        親コメント
        • by TOMOO (4768) on 2002年02月12日 11時17分 (#61851)
          「プロセス」ではないと思います。
          中身をきちんと読んでないけど、割り込み処理をまだ続けて
          しまってるって感じですよね。

          しかしっこれってずいぶん昔からある「バグ」だと認識して
          たのですがまだあったのか。ちょっとびっくり。
          親コメント
          • by Anonymous Coward on 2002年02月12日 18時44分 (#62025)
            > しかしっこれってずいぶん昔からある「バグ」だと認識して
            > たのですがまだあったのか。ちょっとびっくり。

            バグですよね。 割込テーブル潰してからHaltするよう修正してよ。 それともシャットダウン後にこだわる深いわけでもあるの?

            そういや、shutdown -n now すると

            • 職場のSolaris(Sparc)は、ROM prompt
            • 自宅のLinuxは、Power OFF
            • 息子のFreeBSDは、Type any key to reboot
            いったいどれが、正しいシャットダウンなの?
            親コメント
            • by gimy (5240) on 2002年02月12日 21時35分 (#62086)
              >そういや、shutdown -n now すると

              shutdown -h nowの間違いでしょうか?
              少なくともFreeBSDのshutdownにおいては-nはsyncを*しない*というとっても危険なオプションなんですが…

              >いったいどれが、正しいシャットダウンなの?

              shutdownの引数の意味がシステムごとに違うっていうだけじゃないんですか?
              Solarisの場合は/usr/sbin/shutdownと/usr/ucb/shutdownでも引数が違うし。
              親コメント
          • by baby_face (5007) on 2002年02月13日 2時20分 (#62180)
            「カーネル」の機能だから動き続けるというわけですか…
            ちょっと英文の理解に自身がないのですが、一応2.0.xではこうなる
            っていうことですよね?
            スクリプト消すだけで同じ状態になるんなら、2.2.xでも残ってる
            バグということになるのだろうか。
            バグというよりは仕様という気もしますが。
            親コメント
  • 別投稿でも指摘されているが、要するにプロセス起動についての リスクが排除されているというだけの話。ファイアウォールの基本 機能設定に穴が残されていれば、単なるザルでしかないっしょ。

    やることちゃんとできていれば、こんな姑息なことやる必要ないし、 やることできてないくせにこんなことされようもんなら死屍累々と ちゃうか?

    --
    --- Toshiboumi bugbird Ohta
  • by Anonymous Coward on 2002年02月11日 20時37分 (#61654)
    パケットフィルタのログがとれないし、トラブったときにsloginできませんねぇ。
    まぁ、どうせログなんて見ない自宅のルータには最適かも(w。
    あ、でもPPPoEのデーモン動かせないな。

    自宅用、ってことだったら、IPアドレス8つもらってて、PPPoEの箱モノのルータ
    がある環境で内部のマシンを守る壁にでも活用って感じ?
typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...