さくらインターネット、適切なセキュリティ対策無しにサーバーを運用しているユーザーに対し対策を求める 43
ストーリー by hylom
お願いしても届かなそうではある 部門より
お願いしても届かなそうではある 部門より
さくらインターネットが、セキュリティ対策なしにサーバーを放置しているユーザーに対して「お願い」として対策を求めている(INTERNET Watch)。
挙げられている対策は下記のとおり。
- パスワードはすべて適切な強度を満たすように設定してほしい
- なるべく自動アップデートを利用してほしい
- ファイアウォールを設定すること、ウェブアプリケーションファイアーウォール(WAF)を活用すること
- 持続的な運用または終了方法を考えてほしい
背景には、管理者がいなくなってしまったサーバーや、管理者がやる気をなくしてしまったサーバーが運用状態のまま放置されているという問題があるという。こういったサーバーで利用されているソフトウェアで脆弱性が見つかった場合、管理権限が奪われて攻撃の踏み台にされるおそれもある。
持続的な運用または終了方法を考えてほしい (スコア:2, すばらしい洞察)
持続的な運用または終了方法を考えてほしい
これ、大切ですよね。
持続的な運用はルータとか、家電とか、IoT機器も含めて大切。
終了方法はもっと大切で、VPSに限らず、Google Maps API無償版のポリシー変更、SSL/TLS1.2未満、SSL証明書の有効期限、ブログパーツ、アクセス解析等の各種サービスも要チェック。
終わる事に対しての影響度(例えば依存関係とか)を導入時や変更時にマニュアル化して残しておかないと厄介な事に。
プログラム設計書やらコメントやらのドキュメント類同様面倒で後回しにされがちだけど、デプロイ段階で本来は考えて用意しておかないとダメですよねぇ。
Re: (スコア:0)
ただ、重大なセキュリティ事案が発生した直後を除くと、ドキュメント類のメンテナンスや運用にかかわる作業って、社内的には誰にも評価されないんですよねぇ。。
よほどマネージャや経営陣に拘りのある人でも立てない限りは。
Re: (スコア:0)
そういうトコだとマイナス評価喰らうだけですなぁ。
リファクタリングやデバッグも同様。
#ユーザー側評価が真逆(高評価)になれば幸運な方。
Re: (スコア:0)
(ドキュメント作成や管理などの)余計なことをするな!
そんな暇があったら本業をやれ、この極潰しめ!
とボーナス査定で詰められ中
Re: (スコア:0)
俺が明日トラックに轢かれて死んだり、引き継ぎ時に、今のドキュメント作成工数以上の工数が掛かりますが宜しいか?と言ってみたい。
Re: (スコア:0)
俺が明日トラックに轢かれて死んだり、引き継ぎ時に、今のドキュメント作成工数以上の工数が掛かりますが宜しいか?と言ってみたい。
(実際にその事態になって)「苦労してる俺サイコー」がオチかと。
Re: (スコア:0)
えらいひと 終わる前提で事業展開なんてもっての外だ!
# 昭和はまだ終わっていないようだ
さくらVPSユーザーだけども (スコア:1)
アップデートの時だけパフォーマンスが異常に低下する現象(アップデート後1時間くらい経過したら回復)を何とかしてほしいと思う。
手動でやってるとのうわさもあるが…
さくらのレンタルサーバとかさくらのマネージドサーバとか (スコア:1)
プロが管理してくれるサービスがあるよ。自作CGI(死語)とかの管理は自分の責任になるけど。Perlのバージョンが5.14(7年前)で止まってるとか、さくら自体あまり積極的にメンテする気なさそうなのが難点
Re: (スコア:0)
Perlのバージョンって、実際の利用者として確認した上で書いてます?
文書に載ってるバージョン番号とか細かいところは多分「文書の」メンテナンスしてないだけだと思うけど。
「お願い」してもムダ (スコア:0)
Windows10Homeみたいな強引な方法取らんと絶対に塞がないよ。
#某企業での体験
Re: (スコア:0)
お前だったのか、Windouws Updateをますますおかしくしやがったのは!
最初から自動アップデート切れていることも (スコア:0)
10年ぐらい前に契約したGMOのWindowsサーバーVPSプランは最初からWindows Updateが切れてたな。
WordpressみたいなCMSとかOS以外もどんどん脆弱性見つかってくるし、メジャーアップデートしたら動かなくなることも多い。
よほどきちんとした管理者と開発者がいるところでないと維持管理は無理だよね。
記事中 (スコア:0)
>まず最初にファイアウォールを無効にしよう
まずSELINUXを無効にしようっていうのは至る所に広がっちゃってますよね…
Re: (スコア:0)
>まず最初にファイアウォールを無効にしよう
まずSELINUXを無効にしようっていうのは至る所に広がっちゃってますよね…
それがわかってる人でもIPv6用ファイアウォールをすっぽり忘れているなんてことも。。。
# プロバイダのIPv6対応ルータにIPv6用ファイアウォールがついてないってどういうこと。。。
Re: (スコア:0)
そりゃ"ルーター"だからだろ
正直個人向けでもアクセスラインはL2(またはL1)で渡してほしいので、
現時点ではフレッツギガラインタイプ(PPPoE)1択
Re: (スコア:0)
だって「SELINUX」なるものが何なのか、さっぱり分かんないんだもんよ。。。
どうやら通貨の単位でない事は分かった。
「愛」とか「峠を攻める速度感」とか、そういった概念的なものでもないらしい。
単一のアプリケーション・ソフトウェアでもないようだ。
google兄貴に聞いてredhatのドキュメントを開いてみたら 真っ白 [redhat.com]。
既に知ってる人にとっては、SELINUXなんて
Re:記事中 (スコア:2, 参考になる)
当方は真っ白じゃないのでブラウザ不具合っぽいけど、RHEL7のSELinuxドキュメントに新しい日本語ガイド [redhat.com]が有ります。
リンク先読まない人向けに簡単に解説すると、SELinuxは、Security-Enhanced Linuxの略で、アメリカのNSA製のLinuxのセキュリティ強化パッチ。
Windowsユーザーに解りやすく伝えるならVista以降のUAC的な物。
アプリが動かないエラーが起きた時に、めんどうだからUAC切っちゃえというバッドノウハウが蔓延したのも同じ。
SELinuxはスマホのカメラとか電話帳アクセス権限設定のような物という理解でも可。
このアプリはこの人でしか起動しないし、このファイルしか読み込めない、ネットワーク機能は動作に必要無いので使えないようにする。といった風にアプリが出来る事を色々制限できる。
上手く使えば、プログラムの不具合で管理者権限を乗っ取られても、攻撃者が実質何もできないなんて事が可能。
ただし、何でも対応できるように高機能化した代償にユーザビリティが極悪(と言い切ってよいと思う)で、初心者には意味不明な代物。
SELinuxの設定は、SELinuxの自体の理解とアプリの設計(どのファイルにアクセスするか等)やアプリの設定が絡むので、アプリ開発者とかでもない限り簡単に網羅した設定を作成できない側面もある。
設定ファイルで待ち受けポートを変更したり、一時ファイルの作成場所を変更したら、SELinuxのポリシーや設定値も弄らないといけないとか起きるしね。
ブラックボックステスト的な感じでポリシーを作れなくはないけど……
他にもWindowsのNTFSのファイルバックアップ等でも同様だけど、tarとかで何も考えずにファイルバックアップ採ると、セキュリティ設定(拡張属性)がバックアップされず、リストアしたら動かなくなる罠とかもある。
Re: (スコア:0)
そこまでやるなら、最早UNIXらしさが無いからWindowsServer使うわってのが、正直な本音で・・。
Re: (スコア:0)
分からないならあえて無効にせず有効にしておいてくれよと。
問題が起きた時に初めて無効化すればいいんだよ。
っつかsemanageくらいググればいくらでも出てくるだろと。
# 世の中のクラウドサービスの中には事業者が勝手に無効にしてる時もあるのだけどアホかと。
Re: (スコア:0)
その「問題が起きたとき」がインストール当初だったりするので、真っ先に無効化されちゃうんですよ。
それ以外にも、「問題が起きたとき」に表示されるメッセージが "Permission Denied" として一律なので、
SELinuxが原因なのかどうかがわかりにくく、あらかじめ無効化しておくことが効率的、という問題もあります。
クラウドサービスどころかハードウェアメーカーやアプリケーションメーカーですら、
真っ先にSELinuxを無効化しろ、というところが多いですよ。
Re: (スコア:0)
SELinuはセキュリティの為にデプロイコストをとんでもなく掛けられる特定界隈専用品なイメージ。
# 動くアプリが少ないなら頑張れると思う。Androidとか。
あるアプリの設定ファイルをリネームやscp等でコピって入れ替えた時に、
設定ファイルに紐づいているSELinuxのフラグを適切に設定しないと動かなくなるラベルベースのSELinuxと、
パス名が同じなら動くパスベースのAppArmorとTOMOYOの差とか、
カーネルのLSM機構とLSMを使わない追加パッチセットであるgrsecurity位の区別はついてると思うな。
1台借りてるけど (スコア:0)
実験用なんで使わない時はApacheとか全部止めてる
SSHだけ生きてて鍵認証でしか入れなくしてるけど足りんのか?
SSHのポート変更もしてある
Re: (スコア:0)
opensshや依存しているライブラリ類(openssl, glibc)などの脆弱性が解決されていなければダメでしょう。
Re: (スコア:0)
実験用なんで使わない時はApacheとか全部止めてる
SSHだけ生きてて鍵認証でしか入れなくしてるけど足りんのか?
SSHのポート変更もしてある
足りんかどうかは
IPv6有効か否か
IPv6用ファイアウォールが有効か否か
によるね
SSHのポートだけと思ったら
全裸待機だったでござるの可能性も。。。
Re: (スコア:0)
iptablesで設定してホッとしたら、ip6tablesもあったでござる。
Re: (スコア:0)
v6はとりあえず全閉じですね
v4だけSSHポート空けてある
セブンアーチザンの場合 (スコア:0)
無料の共用サーバーサービスなどが多くあるセブンアーチザンは、客が脆弱性対策やバージョンアップを行っていないWordPressがある。
そのため、2018年11月1日 午前0時に上位回線事業者にブロックされ、IPアドレスを変更したと発表している。
TOK2・Sitemix関連・BFIT ネットワークメンテナンス (報告)
https://my.7artisan.com/serverstatus.php [7artisan.com]
Re: (スコア:0)
>DNSの再伝播の影響により、最大48時間程度、WEBアクセス、メールが不安定になる可能性があります。
浸透とはいってないけどこれは…
浸透いうなの会 会長に怒られる事案
Re: (スコア:0)
リリースを読むと11月1日 午前0時にIPアドレスを変更したようにも読めるけど、どうやらその時点では浸透どころか一部しか変更が完了していなかった模様。
TOK2は11月3日頃、SiteMixは11月8日頃から接続できるようになったという報告がある。
https://mevius.5ch.net/test/read.cgi/hosting/1467122106/83-95n [5ch.net]
Re: (スコア:0)
Saku2.comのドメイン更新忘れた事については何もアナウンスないのね
難しいよねぇ (スコア:0)
踏み台にされてたり、改竄されウイルスばらまいていてるのを検知したら、約款などでよくある「当社サービスおよび他のお客様への著しい影響があると当社が判断した場合」なんかを適用して、そのサーバを強制停止(もしくはネットワーク上から遮断)できるとは思う。
でも、メンテがされてなくて、「改ざんされる/不正侵入される恐れがある」という理由では
何もできないよねぇ、だから今回の”お願い”なんだろうけど。
標準設定で (スコア:0)
多くのユーザーは標準設定パスワードをそのまま使うので、
標準でランダム8文字くらいのパスワードにするのがいい
また、SSHやらのポートも、標準で1万以上のランダムポート(well-knownポートを除く)に
設定すればいいとおもう
Re: (スコア:0)
Re: (スコア:0)
多くのユーザーは標準設定パスワードをそのまま使うので、
標準でランダム8文字くらいのパスワードにするのがいい
んで平文メールで初期パスお知らせね
# マジやめてほしいけど未だにあるからかなわん
Re: (スコア:0)
多くのユーザーは標準設定パスワードをそのまま使うので、
標準でランダム8文字くらいのパスワードにするのがいい
また、SSHやらのポートも、標準で1万以上のランダムポート(well-knownポートを除く)に
設定すればいいとおもう
それでも共有サーバー狙ってポートスキャン&無限リトライされたら
ランダム8文字程度じゃ足りんきもするが
Re: (スコア:0)
worldwideに開いてるsshでpassword認証ってまだ普通のことなんですかね・・
Re: (スコア:0)
結構普通でしょ。
その代わりパスワードは20文字以上にしろとは思う。
逆に、ファイル自体が漏洩した時のダメージを考えたらRSAキーが安全と一概には言えないとは考えてる。
# たとえば定期的にRSAキーを変更とか、その変更されたキーの伝達手段がパスフレーズも付けずに
# メール送信とかやってる会社は知ってるが、どこから突っ込んでいいのか分からなかった。
Re: (スコア:0)
パスワード認証そのものは特に問題ないでしょう。
ただ総当たり攻撃を防ぐ手だて(例: fail2ban)を入れておく必要はあるでしょう。
どれだけのユーザが本当にサーバ丸ごとを必要としているのかな (スコア:0)
ほとんどのユーザはナントカ as a Service で事足りるような気がするが。
Re: (スコア:0)
IaaSを含むならそらそうやけど。それってレン鯖となんか違うんか?