Linuxベースサイトの改竄被害急増

Linuxベースサイトの改竄被害急増 102

ストーリー by yourCat 2002年07月20日 0時48分
他人の振り見て部門より

masahikoi曰く、 "Computerworld Japanの記事によると、今年上半期のLinuxベースWebサイトの改竄被害数がすでに昨年の総件数を上回ったという調査結果があるそうです (Windowsベースサイトは20%減、全てのOSの合計は27%増)。
調査会社によれば、Linux利用の急増とセキュリティ修正の適用の遅れによって既知のセキュリティホールをついた攻撃が成功するケースが目立つ模様です。
/.の読者なら大丈夫だと思いますけど、やはり穴は見つかったらすぐふさぎたいものですね。"

該当時期は大きなセキュリティー・ホールの発見も相次いだので、その影響もあるだろうか。それにしてもIISでは減っているというのは偉いな。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索102コメント Log In/Create an Account

サーバの増加から見れば (スコア:5, すばらしい洞察)

by cyacya (6701) on 2002年07月20日 6時19分 (#129223)

ApacheとIISのサイト数を比較しても今回のOS改竄数とは正しい比較にならないのですが、securityspace [securityspace.com]のApacheとIISのデータを鵜呑みにするとすれば、先月 [securityspace.com]と１年前 [securityspace.com]と比較すると、
Apache：サイト数3,672,192増、シェア9.91%増
IIS：サイト数915,690サイト増、シェア5.66%減
(計算違っていたらすいません)

ですから、Linuxの改竄数が増え、IISの改竄数が減るのは当然のように思います。

ただ、この記事を読んでいたので気がついたのですが、元記事は2002年前期と2001年前期を比較しているデータなのですが、2002年前期と2001年後期(CodeRedやNimdaが登場)の改竄数を、パーセンテージだけで比較するときっと、「Apacheは10%(?)増、IISは90%(?)減でIISの方がとてもセキュアです！」とかいう記事になってしまうのでしょうか？（笑）

WebサーバのOSのシェアをどっかで公開していたと思うのですが、探したのですが見つかりませんでした。誰かご存知でしたら教えてください。

＃このままだと今月あたり、とうとうApacheのシェアが70%を突破するかも・・・
- Re:サーバの増加から見れば (スコア:1)
  
  by masahikoi (1183) on 2002年07月20日 23時22分 (#129634)
  
  タレコミ者です。 IIS=Windows,Apache=Linuxではないのは承知の上でなのですが。
  
  どちらもサイト数は増えているなかで ｢Linuxの改竄数が増え、IISの改竄数が減るのは当然のように思います｣ というのは、 ｢Linuxのセキュリティは悪化傾向、Windowsのセキュリティは改善傾向｣ という主張と理解していいのでしょうか?
  
  私としては、「にわか管理者」や「ブームで立ち上げられてそのまんま」なサイトの増加が主因と思っているのですが。
  
  シェア
  
  親コメント
今なら自動更新が可能だと思うが (スコア:2, 参考になる)

by fut (9276) on 2002年07月20日 2時05分 (#129116) ホームページ日記

詳しい知識がない初心者ＬＩＮＵＸ管理者なら、最新版のＣＤを
使うんじゃないだろうか。なら、

　RedHat up2date (RedHat Network)
　Vine apt-get
　Kondara mph-get
　Turbo turbopkg
　Debian apt-get

を動かして、Yと答えれば、そこそこの穴は自動的に塞がれるよう
になってきていると思うが。各社がこれらをデフォルトでONにし、
cronにでもつっこんでおけばいいと思うがどうだろうか。

ミッションクリティカルなとこは、管理者が責任を持って対応で
きるようにする必要はあるけれどね。
- SuSEなら (スコア:1)
  
  by tag (10007) on 2002年07月20日 2時18分 (#129119) 日記
  
  SuSeにはYaSTまたはYaST2があります。
  Yet another Setup Tool だそうです。
  
  シェア
  
  親コメント
- UIの問題 (スコア:1, すばらしい洞察)
  
  by Anonymous Coward on 2002年07月20日 6時50分 (#129227)
  
  基本的に賛成です。が、もっとUIを考えるべきだと思います。
  せっかくそんな機能があるのなら、
  せめてCDからのインストールと同程度には簡単に扱え、
  その機能がいやでも目に付くようにしておき、
  そのアップデートがいかに重要であるのかを簡潔に説明するべきでしょう。
  そんなのいらねーよっていうほど情報と知識のある人なら
  その機能をOFFにするのは簡単でしょうから。
  
  シェア
  
  親コメント
- Re:今なら自動更新が可能だと思うが (スコア:1)
  
  by densuke (113) on 2002年07月20日 7時34分 (#129236) 日記
  
  はたしてそれがどこまで信用できるかは問題です。
  個人ならともかく、会社ではサーバのバージョンアップにより、今まで動いていたシステムが動かなくなる事態に幾度か遭遇してます。
  ミラーリングしておいた片割れで試してから出ないと実際に自動アップデートはやってられません。
  
  Debianのstableはその手間を減らすためか、できるかぎりバックポートしてくれているので、新機能の追加は難しいものの少し安心ですね(でも自動アップデートはしたくない)。
  
  サーバ管理者さんたちは常にチェックするようにしないといけませんね。これ忘れてればOSに関係なくやられるということですね。
  ＃自戒もこめて
  
  --
  -- やさいはけんこうにいちば〜ん！
  
  シェア
  
  親コメント
ついに来たか (スコア:2, 興味深い)

by Anonymous Coward on 2002年07月20日 3時32分 (#129151)

と言う感じですね。あれだけ猫も杓子もLinux、と騒いでいたのだから、まともに管理できない人がたくさん出てくるのもある意味当然というか…。

IISのアタック件数が減ってるのは、やはり去年のCodeRed/Nimda騒動のおかげでしょうかね。自分について言えば、あれ以来Hotfixに対する見方が変わったような。それまでは何となく「Hotfixは安定性の観点からするとむやみに当てるのはよくない、SPを待て」みたいな考えだったのですが、あれ以来セキュリティ関連のfixに関しては出た瞬間に当てるようになりましたね。単に、それまで駄目管理者だったってだけかも知れませんが。家庭内LANの管理者でよかった(笑)

とはいえ、まだまだパッチを当ててないがためにクラックを繰り返されてるサイトが多いのも事実ですが…。
- Re:ついに来たか (スコア:3, 興味深い)
  
  by Artane. (1042) on 2002年07月20日 5時14分 (#129203) ホームページ日記
  
  私はDebian使いなのでサーバ運用任されていた時も、stableで構築しておいて、新しいのが必要な(と言うか、deb化が中途半端でパッチの適用が遅かったり、deb化自体されていなかった)パッケージだけ/usr/local以下にbuild、
  セキュリティ情報に目を光らせておいて、欠かさずapt-getや再buildしておけば済んだし、殆どのサーバはDebian側でapt-getすれば済んでいました。
  
  で、最近(ったって半年くらい前に)サーバ開発の仕事でRED HAT使ったのですが、ベンダー側でaptみたいな機構がなくて、ベンダのセキュリティ情報でrpm -i URL などというメカニズムを推奨していたのには驚きました。
  
  日本やアメリカの企業から一番「信用」されているディストリビューションがこんな面倒な方法を推奨していたら、そりゃ穴塞ぎを怠ける人が増えるのも当り前ではないかと思いました。
  
  私みたいな、ソースからのbuildも苦にならないサーバモンキーならばそれなりの手を打てますが、普通の暇も余裕もない人には、せめて最初からaptやMandrakeなどにあるような、セキュリティ専用サイトからの半自動アップデート機構が用意されていて、惰性で半自動アップデートを起動させるまでに至らないとアップデートする気を起こせないと思うのですが。
  
  要は、ベンダー(集団)が、アップデートも迅速且つ容易に出来るようなデザインを行わなければ早晩こういう状況になるのは分かっていたはずで、それをやらないベンダ(RED HATとか)は、努力を始めているMicrosoftに劣ると考えるのですが…。
  
  シェア
  
  親コメント
  - Re:ついに来たか (スコア:1)
    
    by shunak (3585) on 2002年07月20日 7時45分 (#129238)
    
    up2date があるのに、こういうことを書いた理由を教えてください。存在自体を知らない訳じゃないですよね？セキュリティ情報のサイトをみるような人は rpm -Uvh でも困らないでしょう。逆にセキュリティ情報のサイトを見ない人のために、up2date のコマンドがあるわけです。
    
    シェア
    
    親コメント
    - Re:ついに来たか (スコア:3, おもしろおかしい)
      
      by Artane. (1042) on 2002年07月20日 8時23分 (#129244) ホームページ日記
      
      up2dateだと、本当に危険な物しかアップデートされない(細かな修正や緊急Fixは別になる)とか、aptほどの汎用性がないとかで、使い勝手が中途半端なんですよね。
      
      せめて、セキュリティ情やホームページでup2dateを使うように繰り返し勧めるとか、up2dateベースでのきめの細かいサポートを行うとかして欲しい
      …一度aptベースのシステムを使うと依存関係とかをかなり細かく見たり、Hot Fixがそのまま入れられたりする分、RED HATのアップデート機構が非常に不便に見えてしまうのですが。
      
      シェア
      
      親コメント
      - Re:ついに来たか (スコア:2, 参考になる)
        
        by Anonymous Coward on 2002年07月20日 9時52分 (#129278)
        
        up2dateだと、本当に危険な物しかアップデートされない(細かな修正や緊急Fixは別になる)とか、
        使い勝手はともかく，こういう嘘を書くのは好い加減に止めたらどうですか？errataに情報が出るのと同時か，それより先にup2dateでアップデートが可能です．ろくに知ってもいないのに，とにかくRed Hatのことを悪く書こうとする意図が見え透いてます．
        せめて、セキュリティ情やホームページでup2dateを使うように繰り返し勧めるとか、up2dateベースでのきめの細かいサポートを行うとかして欲しい
        ろくに使いこなしてもいないのに目茶苦茶を言っているのが明白ですね．所詮マニュアルさえ読めないので使いこなせないのでしょうが．本当に問題なのはこの程度の能力しかないのに仕事で金を儲けようとする人間の存在ですね．
        
        シェア
        
        親コメント
      - Re:ついに来たか (スコア:1)
        
        by shunak (3585) on 2002年07月20日 12時10分 (#129344)
        
        up2date で入れ替えられるパッケージが少数であることが不満ですか？
        そもそも up2date は管理コストを少しでも抑えるために作られたものですから、インストール／アップグレードを頻繁にするようなシステムのために作られたコマンドではありません。なるべくアップデートを抑えたいシステムのためにあるのですから、複雑である必要はありませんよね。シンプルなものが良いに決っています。
        蛇足ですが、woody , sid ならともかく、potato でそれほどたくさんのパッケージが入れ替わっているとは思いませんが？potato にて apt をつかって入れ替えたところで、入れ替えられるパッケージは少数です。
        apt でインストール／アップグレードを頻繁に行っているほどの管理コストをかけてもよいのならば、rpm でやっても同じことですよね。
        
        シェア
        
        親コメント
        
        Re:ついに来たか (スコア:1)
        
        by KENN (3839) on 2002年07月20日 13時40分 (#129399) 日記
        
        rpmと同列で語られるべきはdpkgだと思うんですが、いかかでしょう？
        
        シェア
        
        親コメント
      - Re:ついに来たか (スコア:2, 興味深い)
        
        by hajimetyan (3875) on 2002年07月20日 11時30分 (#129320) ホームページ
        
        ＞Windows Update に出てない(もしくは出るのが遅い)
        ＞パッチがいくつもあること知ってます？
        
        以前、Win2000用のパッチ数えたら9つありましたからね。
        Windows Updateの「重要な更新はありません。」
        というメッセージは信じられない。
        
        --
        
        .::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
        I 1 2 B H4[keR. :-)
        
        シェア
        
        親コメント
    - Re:ついに来たか (スコア:1)
      
      by Masafumi Otsune (3314) on 2002年07月20日 12時23分 (#129351) ホームページ日記
      
      サーバー用途でX Windowをインストールしないでおくと。up2dateを登録するのって骨じゃありません？
      別のXが入っている端末から登録して、プロファイルをコピーするんでしょうか。
      
      こういう感じなので「何も考えずにVineにしておけ」と初心者には勧めることに。
      
      --
      Masafumi Otsune [otsune.com]
      
      シェア
      
      親コメント
      - Re:ついに来たか (スコア:1)
        
        by Masafumi Otsune (3314) on 2002年07月25日 1時31分 (#132587) ホームページ日記
        
        up2date --noxって、登録したあとでコマンドラインからアップデートできるっていうコマンドじゃないんですか？
        up2date --configure --noxもプロクシなど設定をコマンドラインからする機能ですよね。
        で、やっぱり登録データ（xmlファイル）をX無しで登録できる方法は無いですよね？
        
        --
        Masafumi Otsune [otsune.com]
        
        シェア
        
        親コメント
- Re:ついに来たか (スコア:1)
  
  by RED COMET (3816) on 2002年07月20日 3時47分 (#129158) ホームページ
  
  難しい理由探さなくても、単にLinuxでやってるサーバの数が増えたので、
  相対的に増えたと言うだけのような気がするのです。
  インストールが簡単になったし、回線やハードのコストが下がったからですかね。
  
  --
  AMIGA4000T(60/50)使い
  
  シェア
  
  親コメント
  - - 私は間抜けな発言をしてみたい (スコア:1)
      
      by Aisya (6363) on 2002年07月20日 20時04分 (#129558)
      
      今までは「Linuxむずかしそう」と思ってた人が、「安全そう」
      な理由で参入してなければいいですけど。
      
      アップデートと情報収集は簡単な方が良いですね。
      「むずかしい、でも、やらなきゃ」と思う人が増えてくれると
      良いのですが。
      
      シェア
      
      親コメント
運が良いだけ？ (スコア:1)

by a Coward (5383) on 2002年07月20日 1時37分 (#129097) ホームページ

私はここ [srad.jp]にも書いた通り、なんちゃって管理者です。これでも被害に遭わ
ないのだから、自分でも不思議です。
- Re:運が良いだけ？ (スコア:1)
  
  by uy807 (4351) on 2002年07月20日 1時56分 (#129108)
  
  「日本のクラックサイト」によれば
  改竄されてるのは断然 IIS のようですが?
  
  あとは IRIXとSolaris,Linuxがひとつずつ。
  
  IISが「減った」といっても絶対数ではクラックされてるのはトップでしょう。
  
  シェア
  
  親コメント
単純に (スコア:1, 興味深い)

by Anonymous Coward on 2002年07月20日 1時54分 (#129106)

低い管理者意識のまま管理する人間が増えたのが原因ではないかと思います。
これからのLinux業界にとっては、どうやってそういう管理者を啓蒙しながら
やっていくかというのが重要になるのではないかと。
数年後に (スコア:1)

by kiyotan (3912) on 2002年07月20日 2時26分 (#129124) 日記

住基DBのデータ改竄被害急増なんてニュースが出ないことを切に願っております。

--
Kiyotan
ありがちな反応として (スコア:1)

by dark (10346) on 2002年07月20日 5時52分 (#129217) ホームページ

調査会社(mi2g) が Microsoft の宣伝をしているのだ、とかいう情報は今回はなしですか > アンチMS諸兄
- - Re:アンチMSですけど (スコア:1)
    
    by dark (10346) on 2002年07月20日 10時35分 (#129295) ホームページ
    
    思いついたから書いてみただけです。冷静な反応で安心しました :)
    
    シェア
    
    親コメント
単に (スコア:1, おもしろおかしい)

by Anonymous Coward on 2002年07月20日 10時15分 (#129288)

IISで失敗した管理者がLinuxベースに移行して、やっぱり
穴あけっぱなしだからって話じゃないだろうな。

どっちにしても、どんなソフトを使ってもちゃんと管理しないと駄目だね。

（しかし、いつもこの手の比較はWindowsとLinuxの比較のように書いてあるけど、IISとApacheで比較しないと駄目なんじゃないの？、それともWindowsのApacheは大丈夫だとでも？）
統計情報は注意して読みましょう (スコア:1, 参考になる)

by Anonymous Coward on 2002年07月21日 0時46分 (#129678)

あえて、もと記事を長めに引用します。
========
今年上半期のLinuxベースWebサイトの改竄被害数がすでに昨年の総件数を上回ったという調査結果があるそうです (Windowsベースサイトは20%減、全てのOSの合計は27%増)。
調査会社によれば、Linux利用の急増とセキュリティ修正の適用の遅れによって既知のセキュリティホールをついた攻撃が成功するケースが目立つ模様です。
/.の読者なら大丈夫だと思いますけど、やはり穴は見つかったらすぐふさぎたいものですね。"

該当時期は大きなセキュリティー・ホールの発見も相次いだので、その影響もあるだろうか。それにしてもIISでは減っているというのは偉いな。
========

確かに、正しい管理の仕方を知らないオープンソース系OSユーザーはかなり増え、簡単にグローバルIPアドレスと取得できるOCN ADSLアクセス IP1などで危険なサーバーをたてる管理者が増えたのではと思います。

しかし上記の記述には数値の記載がないので、サイトから引用するとLinuxの被害は7630件
--もとネタサイトからの引用--
Linux上で運用されるWebサイトの2002年上半期の改ざん被害は7630件に達し
----

一方、Windowsの被害は9404件でLinuxの被害に比べ23%も多いようです。
--もとネタサイトからの引用--
方、マイクロソフトのWebサーバ・ソフトウェア「IIS（Internet Information Services）」で運用されるWebサイトの2002年上半期の改ざん被害は9404件で、前年同期の1万1828件から20％減少した
-----

統計学を少しでも勉強してる方には常識ですが、統計上の数値はいくらでも資料作成者の有利になるようなデータを並べ、不利なデータを隠し、現実があたかもデータ作成者の望む現実であるかの様に見せかける事ができる、という事を忘れないようにしないといけません。（もと記事の方の意図はわかりません）

しかし、管理の仕方を知らないユーザー（WindowsもUNIXも）をどのように啓蒙するか考えないと困った事になりますね。既知のセキュリティーホールを放置して他人に迷惑をかけた場合、個人の場合、最低1000万円、企業の場合、最低1億円の罰金とか？！これくらいすると、いい加減な知識で危ないサーバーをたてる事もなくなる！？
- Re:統計情報は注意して読みましょう (スコア:1)
  
  by masahikoi (1183) on 2002年07月21日 14時42分 (#129982)
  
  タレコミ者です。
  タレコミ内容の主題は｢Linuxでも既存の穴をつかれた改竄が急増｣と｢穴はすぐ塞ぎたい｣というところで、括弧書きの部分は参考情報です。最初は書いてなかったんですけど、｢Windowsでは減っている事を書かないのには何か作為があるのではないか｣と思われそうだったので、一応付記しました。総件数やサイト数に対する割合はIDGやmi2gの記事をちゃんと読んでくれればOKですから。結局どっちにしても作為を疑われたようですが。(^^;
  ｢IISでは減っているというのは偉いな｣というコメントはちょっと予想外でした。「今まで多すぎ、減るのがあたりまえ」ぐらいかと思ってましたから。傾向としては確かに減少傾向ですけど、サイト数は下回っているのに被害件数は上回っていますからね。
  しかし、管理の仕方を知らないユーザー（WindowsもUNIXも）をどのように啓蒙するか考えないと困った事になりますね。
  
  同感です。もっとも出荷状態でもセキュアなサーバというのも同様に大事ですけどね。
  
  シェア
  
  親コメント
アップデートの容易さ (スコア:0)

by Anonymous Coward on 2002年07月20日 1時10分 (#129072)

次は
ほ～ら、IISの方がアップデート簡単ですよ～
make world 楽しい？
なんてネタで押してくるに20ガバス。

# まぁ何選ぼうがユーザーがセキュリティホールだったら一緒なわけで。
- Re:アップデートの容易さ (スコア:1)
  
  by oku (4610) on 2002年07月20日 1時59分 (#129110) 日記
  
  make world 楽しい？
  すみません、純粋に質問です。
  X 以外で make World を使うような Makefile のソフトウェアって何があるんでしょうか？
  
  # 閑話休題。
  # 世間的一般の apache 飼い主は
  # rpm -U ...
  # ではないかと勝手に妄想してるのだが、どうか。
  
  シェア
  
  親コメント
  - Re:アップデートの容易さ (スコア:1)
    
    by ttm (8278) on 2002年07月20日 3時34分 (#129152)
    
    BSD...
    
    シェア
    
    親コメント
    - Re:アップデートの容易さ (スコア:1)
      
      by oku (4610) on 2002年07月20日 4時07分 (#129164) 日記
      
      あう、しもぅた。(^_^;;
      
      シェア
      
      親コメント
  - make World (スコア:1)
    
    by Ysh (6632) on 2002年07月20日 3時43分 (#129157)
    
    以前のgccは”世界創世”してませんでしたっけ？
    
    シェア
    
    親コメント
  - Re:アップデートの容易さ (スコア:1)
    
    by typer (9666) on 2002年07月20日 20時11分 (#129561) 日記
    
    とりあえずなんちゃってFreeBSD使いです。よそのことは知りません。
    で、“make world”って/binとか/usr/sbinとかを(user landっていうのですっけ？)含めたシステム全体をコンパイルする事を意味する（抽象的な）言葉だと思ってました。
    実際のところFreeBSDではmake worldっていうと
    １．make buildworld
    ２．make buildkernel KERNCONF=fogefoge
    ３．make installkernel KERNCONF=fogefoge
    ４．再起動してsingle userモードにする。
    ５．make installworld
    ６．mergemasterで/etc周りを更新
    ってことになります。実際に
    # make world
    とか出来なくないですが推奨されてません。
    ほかのBSD系のOSとか、linuxとかその他のOSって“make world”って実際はどういう手順になるのでしょうか？
    
    元に戻って、
    make world 楽しい？
    なんて聞かれると、Windows Updateって楽しい？って聞きたくなるんですけど（笑）
    ＃どちらかといえば-RCがついたとかっていうのがある“make world”の方が楽しいかも
    ＃＃あ、これはcvsupか（笑）
    
    シェア
    
    親コメント
    - - Re:アップデートの容易さ (スコア:1)
        
        by redbrick (4865) on 2002年07月21日 14時04分 (#129965) 日記
        
        >OpenBSDはmake buildとしてもinstallまでやっちゃいます。
        
        蛇足ですが、NetBSDもそうですね。
        ＃OS本体のsource treeとXのsource treeは分離していて、
        ＃それぞれの単位でmake buildしなければなりませんが、
        ＃OpenBSDはどうなのだろう？
        
        --
        ---- redbrick
        
        シェア
        
        親コメント
    - - Re:アップデートの容易さ (スコア:1)
        
        by typer (9666) on 2002年07月23日 23時22分 (#131799) 日記
        
        ハンドブック [freebsd.org]にはinstallworldの後にmergemasterとあります。(19.4.9と19.4.10)
        念のためstableのUPDATING [freebsd.org]、currentのUPDATING [freebsd.org]を覗いてみましたが、場合によってinstallworldのまえにmergemaster -pということがあっても、mergemasterが後というのは変わってないようですが。
        
        シェア
        
        親コメント
- - Re:アップデートの容易さ (スコア:1)
    
    by doripush (653) on 2002年07月20日 7時10分 (#129228)
    
    ディストリビューションにより機能に差はあれど、最近は自動Update
    は当たり前にできるんですが。と言うより、Windows Update以前に
    Linux OSでは自動Updateできていました。
    
    シェア
    
    親コメント
    - - Re:アップデートの容易さ (スコア:1)
        
        by hoihoi-p (5571) on 2002年07月21日 21時49分 (#130161) 日記
        
        Redhatでは無いですが、Vineのaptは安定してると思います。
        Seedですのでしょっちゅうやってますが、概ね問題ないです。
        # この、「概ね」が人によっては問題かもしれないですが。^^
        
        --
        hoihoi-p　　得意淡然、失意泰然。
        
        シェア
        
        親コメント
- 自治体のサーバ管理 (スコア:1)
  
  by wadatch (6649) on 2002年07月20日 12時32分 (#129358) 日記
  
  新聞で見つけたけどWeb上で見つからず、たれ込めなかったんですが、7/19付朝日新聞朝刊に「自治体のIPアドレス・サーバのOSバージョン情報を総務省が各自治体にメールで配信し、総務省に苦情・抗議があった」という記事がありました。
  
  抗議する暇があればバージョンアップして欲しいと切に思う。
  
  シェア
  
  親コメント
  - Re:自治体のサーバ管理 (スコア:1)
    
    by tix (7637) on 2002年07月20日 13時39分 (#129398) ホームページ
    
    これ [asahi.com]ですね。
    
    匿名での指摘の正しさを確認した後、警告を各市町村に送ったというのは、いい判断だと思いますが、やっぱり全市町村のデータを全市町村に送ったのが反感を買ったのでしょうか。
    
    抗議や問い合わせの数が4件というのが中途半端で、判断に迷います。
    
    --
    鵜呑みにしてみる？
    
    シェア
    
    親コメント
    - Re:自治体のサーバ管理 (スコア:2, すばらしい洞察)
      
      by KENN (3839) on 2002年07月20日 14時00分 (#129412) 日記
      
      リンク先の記事を読む限り、要はNetcraft [netcraft.com]で検索して出てくる情報をマメにリスト化しただけのように思えるんで、ここは総務省に軍配を上げたい。
      
      結局、この程度のことで抗議する人がいるってのが、改ざん被害が増えている原因ではないかと。
      
      何が知られても良い情報で、何が守るべき情報か。情報を守るためには何をどうすればよいのか。抗議した自治体は、そうしたセキュリティポリシーが存在しない、と自ら認めているようなもののような気がするんですが。
      
      「流行なんで作ってみました」ちゃうんか、と小一時間…
      
      シェア
      
      親コメント
      - Re:自治体のサーバ管理 (スコア:1, おもしろおかしい)
        
        by Anonymous Coward on 2002年07月21日 1時58分 (#129740)
        
        >> 何が知られても良い情報で、何が守るべき情報か。情報を守るためには何をどうすればよいのか。
        
        大学の計算機センターでバイトしてた知人に聞いた話を思い出した。
        
        「すみませーん、パスワード忘れちゃったんで再発行してください」
        「わかりました。で、アカウント名は何ですか？」
        「いや、それは他人に知られてはいけないと教えられているので、言うわけにはいきません」
        「....知られちゃいけないのはパスワードなんですけど」
        
        ということが頻発していたらしい。
        
        シェア
        
        親コメント
    - Re:自治体のサーバ管理 (スコア:1)
      
      by ryouga (2286) on 2002年07月20日 21時46分 (#129590) ホームページ日記
      
      推測するに、ちゃんと管理している自治体のとても親切な管理者が、まともに管理していない自治体のことを危ぶんで抗議したんだと思います。
      
      で、4件。
      
      ちがうかな。
      
      シェア
      
      親コメント
      - Re:自治体のサーバ管理 (スコア:1)
        
        by tix (7637) on 2002年07月20日 23時32分 (#129635) ホームページ
        
        それそれ。その辺が気になっていたのです。
        何となく、一番わかっていない人は、たぶん黙って無視しただろうと思うので、抗議した自治体が愚かだとも一概に言えないのではないかと。
        
        でも、他の自治体に危険が及ぶことを懸念して、という部分は思いつきませんでした。
        
        もし ryouga さんの書かれた通りだとしたら、4件という微妙な数にも納得できるような気がします。
        真相はわかりませんけどね。
        
        --
        鵜呑みにしてみる？
        
        シェア
        
        親コメント
- Re:ここでも何か．．． (スコア:1, 興味深い)
  
  by Anonymous Coward on 2002年07月20日 15時02分 (#129444)
  
  別にどちらかの優劣を決めるような単純な議論は誰もしていませんが．むしろ，Red HatとDebianとが比較されただけで「またRed Hat vs Debianだよ」と決め付けてしまう姿勢のほうがよほど馬鹿らしいです．
  
  シェア
  
  親コメント
  - パッケージ管理機構に関する議論希望 (スコア:1)
    
    by KENN (3839) on 2002年07月20日 16時17分 (#129486) 日記
    
    RedHatにしろDebianにしろ中途半端にしか知らない人間としては、実際のところどちらがどのように優れていてるのか、メリット・デメリットは何か、という議論を期待したいところ。
    
    Vineみたいに、パッケージはrpmだけどユーザーインターフェースとしてaptも使える、とか言われると、もう何がなんだか(笑)
    
    できればFreeBSDのport/packages辺りまで含めてもらえるとモアベター。
    
    シェア
    
    親コメント
    - Re:パッケージ管理機構に関する議論希望 (スコア:1)
      
      by typer (9666) on 2002年07月20日 21時22分 (#129581) 日記
      
      すみません。FreeBSDのports/packages辺りしか知りません。
      私の思うports/packagesの良いところは、
      ・バイナリ配布版のpackagesと、コンパイルする（つまりいじれる）portsが、ともに同じ管理データベースを使っていて混在できる
      ・portsは雛型をとってくれば、makeでオリジナルのソースをとってきてパッチ当てしてくれます。雛型はcvsupすればいいし、makeするだけでいいし、パッチの追加も簡単だし、インストールすればpackage版も作れます。あと、ソースはとってくるので著作権等でバイナリ配布(できない|しかだめな)物もいけます。
      
      悪いところは、
      ・バージョンの違うpackages（たとえばapache-1.3.23とapache-1.3.26）が別のものとして管理される。
      ＃たとえばapache-1.3.23をインストールした後、apache-1.3.26をインストールすると、/usr/local/libexec/apacheは上書きされますが、packagesではそれぞれインストールされた物として管理されます。portsはインストール時に見つけてくれたと思います。
      ただ、この点はportupgradeというツールを使えば大概回避できます。（前版の情報を消してくれる）
      ・packagesの依存関係は管理データベースのみでチェックされるので、ports/packagesによらずインストールした物があっても認識されない。（でも回避ぱ簡単）
      ＃portsはバイナリの存在を検知してた気もしますが、そこら辺りはMakefile依存でしたっけ。
      
      ん～、書いているうちに殆ど理解していないことが判明致しました（汗
      誰か添削してください。あと、必然的にrootになる必要がありますが、ここらへんの考え方についても知りたい。
      
      なんにしても、この手のツールは、
      ・コンパイルなんて面倒。バイナリをさくっとインストールしたい。
      ・パッチ当てたい。コンパイルさせろ。
      ・いいじゃん。オリジナル持って来たんだからインストールさせろ。
      ・なんだよ、どうせなら全部まとめて面倒見ろよ。面倒なのは嫌いなんだよ。
      ・いじり倒させろ。でもゴミ残すな。
      って言うわがままをどうかわしているかが重要かと（笑）
      
      シェア
      
      親コメント
      - Re:パッケージ管理機構に関する議論希望 (スコア:1)
        
        by Stealth (5277) on 2002年07月22日 13時54分 (#130596)
        
        とりあえず、sysutils/portupgrade をお勧めしておきます。
        
        バージョン違いで別途入ってしまう、は ports とて一緒です。この辺りの事を楽にしたいのであれば、portupgrade を利用するのが一番です。
        
        シェア
        
        親コメント
- - Re:Linuxユーザはセキュリティ意識が低いナァ！！ (スコア:1)
    
    by mich (6859) on 2002年07月20日 17時31分 (#129520)
    
    > 国家試験にしてみる？？
    
    　そろそろそういう時期に来ているのかもしれませんね。良い案だと思います。
    　セキュリティ意識と免許とは直接的には無関係ですが、責任の所在がはっきりすることで自ずとセキュリティ意識も芽生えてくるのではないでしょうか。
    
    ＜おふとぴ＞
    　いい加減、言葉狩りのような真似はやめて欲しいところです。たとえ2chが嫌いであったとしても、所詮この手のフレーズは(爆)とか(謎)とか「アレゲ」等と大差ないのですから。
    　はっきり言ってトピック全体が読みにくくなる方がよっぽど迷惑です。
    ＜/おふとぴ＞
    
    シェア
    
    親コメント
    - Re:Linuxユーザはセキュリティ意識が低いナァ！！ (スコア:1, 興味深い)
      
      by Anonymous Coward on 2002年07月20日 17時50分 (#129527)
      
      ＞> 国家試験にしてみる？？
      ＞　そろそろそういう時期に来ているのかもしれませんね。良い案だと思います。
      
      そして、国家資格を振りかざすにわか管理者が増える罠。
      
      どこかの国の資格と違い、CISCO認定資格などは一定期間経過後
      再度試験を受けないと失効します。
      
      ＃CISCO認定資格で言えばCCIEが二年、他が三年。
      
      すなわち、取得後も常に精進を必要とする資格なのに対し、
      情報処理のような国家資格は取ったらオシマイだったりするんで
      大学受験のように合格後精進しない輩を増やす環境を
      作ってしまうような気がします。
      
      シェア
      
      親コメント
    - Re:Linuxユーザはセキュリティ意識が低いナァ！！ (スコア:1)
      
      by ryouga (2286) on 2002年07月21日 13時06分 (#129946) ホームページ日記
      
      おふとぴに反応してごめんなさい。
      
      >いい加減、言葉狩りのような真似はやめて欲しいところです。たとえ2chが嫌いであったとしても、所詮この手のフレーズは(爆)とか(謎)とか「アレゲ」等と大差ないのですから。
      >はっきり言ってトピック全体が読みにくくなる方がよっぽど迷惑です。
      
      議論というのは自分の主張を相手にわかるように伝える必要があります。それらの言葉が入っていると、発言の要点がわかりづらくなり、読みづらいということだと思います。
      
      そうであっても誰も気にしないスレッドもあるわけですが、もう少し場をわきまえて使うのがいいんじゃないでしょうか。格好よく使っている発言もあるけど、議論の流れを考えずに、ただ真似をしているだけという格好悪い発言が増えているような気がします。
      
      シェア
      
      親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Linuxベースサイトの改竄被害急増 More ログイン

サーバの増加から見れば (スコア:5, すばらしい洞察)

Re:サーバの増加から見れば (スコア:1)

今なら自動更新が可能だと思うが (スコア:2, 参考になる)

SuSEなら (スコア:1)

UIの問題 (スコア:1, すばらしい洞察)

Re:今なら自動更新が可能だと思うが (スコア:1)

ついに来たか (スコア:2, 興味深い)

Re:ついに来たか (スコア:3, 興味深い)

Re:ついに来たか (スコア:1)

Re:ついに来たか (スコア:3, おもしろおかしい)

Re:ついに来たか (スコア:2, 参考になる)

Re:ついに来たか (スコア:1)

Re:ついに来たか (スコア:1)

Re:ついに来たか (スコア:2, 興味深い)

Re:ついに来たか (スコア:1)

Re:ついに来たか (スコア:1)

Re:ついに来たか (スコア:1)

私は間抜けな発言をしてみたい (スコア:1)

運が良いだけ？ (スコア:1)

Re:運が良いだけ？ (スコア:1)

単純に (スコア:1, 興味深い)

数年後に (スコア:1)

ありがちな反応として (スコア:1)

Re:アンチMSですけど (スコア:1)

単に (スコア:1, おもしろおかしい)

統計情報は注意して読みましょう (スコア:1, 参考になる)

Re:統計情報は注意して読みましょう (スコア:1)

アップデートの容易さ (スコア:0)

Re:アップデートの容易さ (スコア:1)

Re:アップデートの容易さ (スコア:1)

Re:アップデートの容易さ (スコア:1)

make World (スコア:1)

Re:アップデートの容易さ (スコア:1)

Re:アップデートの容易さ (スコア:1)

Re:アップデートの容易さ (スコア:1)

Re:アップデートの容易さ (スコア:1)

Re:アップデートの容易さ (スコア:1)

自治体のサーバ管理 (スコア:1)

Re:自治体のサーバ管理 (スコア:1)

Re:自治体のサーバ管理 (スコア:2, すばらしい洞察)

Re:自治体のサーバ管理 (スコア:1, おもしろおかしい)

Re:自治体のサーバ管理 (スコア:1)

Re:自治体のサーバ管理 (スコア:1)

Re:ここでも何か．．． (スコア:1, 興味深い)

パッケージ管理機構に関する議論希望 (スコア:1)

Re:パッケージ管理機構に関する議論希望 (スコア:1)

Re:パッケージ管理機構に関する議論希望 (スコア:1)

Re:Linuxユーザはセキュリティ意識が低いナァ！！ (スコア:1)

Re:Linuxユーザはセキュリティ意識が低いナァ！！ (スコア:1, 興味深い)

Re:Linuxユーザはセキュリティ意識が低いナァ！！ (スコア:1)