こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

CentOSのセキュリティ対策はyumだけでよい?

Linuxの勉強の為、自宅サーバをCentOS4.2で構築し、http:80を公開(後にsshも)したいと思っています。その際のパッケージ管理ですが、基本的にyumをやっておけば良いものなのでしょうか?
それとも、個別のパッケージ毎にアップデートされた時点で、インストールしなおす運用の方が良いのでしょうか?

yumを使ってみて、Windows updateの様にお手軽にパッケージ管理が出来るので、出来ればこれを使いたいと思っています。
でも、Apacheを見るとyum updateしても2.0.52のままで、Apacheサイトを見ると、2.0.55が最新のようです。
しかも、2.0.55ではセキュリティの問題が修正されている様です。

一般的に、自宅サーバ等を構築する場合、どの様に管理されているのでしょうか?是非、教えていただけませんか?よろしくお願いします。

一応、使っているブロードバンドルーター(光電話対応のWBC 110M)で、WANからLANへのアクセスは80番のみとして、NAPT機能で、ローカルアドレスのCentOSの80に飛ばしています。
CentOS4.2では、rikenのサーバに変えて、
# yum -y update
を定期的にするようにしています。
また、CentOSのインストール時に、ファイアウォールを有効にし、httpとsshのみチェックをし、SELinuxをアクティブにしてあります。

投稿日時 - 2006-02-14 14:56:02

QNo.1965388

暇なときに回答ください

質問者が選んだベストアンサー

一応、昨年までそういう業務の責任者をしてました。

> # yum -y update
> を定期的にするようにしています。
> また、CentOSのインストール時に、ファイアウォールを
> 有効にし、httpとsshのみチェックをし、SELinuxをアク
> ティブにしてあります。

良いと思いますよ。SELinux がアクティブになっているのなら、下手にいじらないで yum を使う方に注力しましょう。yum で提供されるパッケージは CentOS 環境用に調整がなされていますので、他のものと混在させるのは慣れるまでオススメしません。

yum で提供されているソフトは CentOS 独自(というか Red Hat 独自、かな...)のパッチが適応されているケースがあります。これらのパッチが後日本家に取り込まれて... という場合もありますので、本家が常にベストではないのです。

投稿日時 - 2006-02-16 22:54:06

お礼

回答ありがとうございます。

この様な現場の話を聞きたかったのです。

投稿日時 - 2006-02-18 06:50:01

このQ&Aは役に立ちましたか?

4人が「このQ&Aが役に立った」と投票しています

回答(5)

ANo.4

いやはや、手厳しい回答される経験者の方もいらっしゃるようで。
私も、日本に internet がやってきた頃からそれまでの仕事からいわゆる net 業界に転職して来て現在に至っていますけど、学校や仕事もやめてなんていうのはどうかと思います。
確かに installer などの進化?もあって多数の Linux distribution(派生も含めて)が出回ってきて、その手の本や構築 guide site なんかも多く見ますし、よし!自分も挑戦してみるか的な方も多いですし、また、「なんちゃって管理者」が増えているのも実情でその弊害と言える事象も数多く遭遇すると言う現実もあります。
事実あなたその程度の skill や policy で外に出来の悪い子出さないでよって思ってしまう事もあります。(気も付かないで放置しているような場合)
かと言って、100点満点の子(server)なんていますか?って私は聞きたいですね。(例えその時に100点満点でもその数分後に90点や80点に下がってしまう事だってありえる世界ですから)夜も寝ないで24時間365日目を離さないなんてあり得ませんからね。
私は、外に出す子に対して、その責任と自覚を意識することができれば、そして常に追い求める姿勢があれば少なくとも「なんちゃって管理者」卒業だと思いますよ。
私のserverに対しての基本的な姿勢は「必要最低限」です。余分なコトさせない、余分なトコ開けない、かけもちは最低限させない。
ってかんじです。
私は、個人的には質問者さんの真摯な姿勢も含めてエールを送りたいと思います。
細かな事は他の回答者の方が具体的な事例くださっていますし、他にも多数の管理手法もありますので先人の知恵や知識に学ぶ姿勢を持ち続けてください。
形はどうあれ、open source community に少しでも貢献できる人に育っていただけたらと思います。
そして、常に最善の管理者を目指してがんばってください。

投稿日時 - 2006-02-16 03:56:24

お礼

あたたかい回答ありがとうございます。

私は今まさに「なんちゃって管理者」なんだと思います。今後経験をして卒業していくように頑張りたいと思います。
そして、いつか私もコミュニティに貢献していければと思います。

ありがとうございました。

投稿日時 - 2006-02-16 15:04:09

ANo.3

#2です。うーん。100%の正解は無いと思います。
賃貸アパートに住んでいるとして、鍵がピッキングに弱いものである場合、大家さんが変えてくれるのを気長に待つか、(大家さんにはことわるにせよ)早急に自分で鍵を交換するか。みたいなもんでしょうか。

例えばroot権限を乗っ取られる脆弱性を持ったソフトを使い続けることに抵抗が無いかどうかですよね。抵抗があるなら面倒でも対処しないといけない。乗っ取られると知らずとはいえ他サイトへの加害者に加担することになるのも考慮しないといけない。

抵抗無く公開サーバーを運営している人もきっと大勢いるんでしょう。ボットにやられているサーバーは全国で数十万台という話もあるし。

さっき書きましたけど、自分でアップデートする他に、そのソフトを一時的に使用をやめるという手もあります。

投稿日時 - 2006-02-16 01:40:12

お礼

理解しやすい回答ありがとうございます。感謝します。

yumで管理するか、自力でアップデートするかは、結局のところ、公開するサーバの重要性や、攻撃にあった場合の被害レベルによるという感じですかね。
(notnotさんの例に例えると)自宅なら、大家さんが変えてくれるのを待ってもいいが、企業のデータセンター等では、直ぐに変えないとまずい。という感じでイメージしました。

でも、インターネットの場合、いつのまにか自分が加害者になってしまうかもしれないので、結局、yumで管理するより、新しいパッチを自分で更新するのがいいのでしょうね。

どちらをやるにしろ、ログの管理をしっかりして、不正に進入する人がいないか確認するのが大切って事なのですね。

ありがとうございました。

投稿日時 - 2006-02-16 14:49:11

ANo.2

linuxの各ディストリビューションは各ソフトコンポーネントの整合性を確認した上でパッケージされています。yum でアップデートされるより新しいバージョンのソフトを入れるならその確認を自分でする必要があります。もちろん、サーバー公開するならセキュリティーに問題があるとされたソフトはすぐに使用停止ないしアップデートするべきですね。

最初にlinuxの勉強の為とお書きですが、linuxの勉強と自宅サーバー公開は全然リンクしません。一般に公開したいコンテンツがあるならレンタルサーバーが気楽です。

投稿日時 - 2006-02-14 22:57:13

お礼

回答ありがとうございます。自宅サーバの公開はしないと思います。

正確にはlinuxの勉強とネットワークの勉強中です。いずれ自宅サーバを公開できるスキルを持ちたいと思っています。
今回は、自分のスキルを飛び越えて、(少しの期間)試しに公開してみたい。が、ソフトウェアのバージョン管理は一般的にどうするのだろうか?という所で、質問しました。

ここでお聞きしたいのですが、(公開する/しないは抜きにして)ソフトウェアのセキュリティを保つためには、yumをやるだけではなく、個々のソフトウェアのアップデート情報に注意して、他のパッケージとの整合性を見ながら、個別にインストールする。というのが良いのでしょうか?
そうすると、そのソフトウェアはyumは使えなくなると思いますが、当然そういうものですか?

すみません、よろしくお願いします。

投稿日時 - 2006-02-15 05:45:07

ANo.1

その程度の認識しかないなら公開サーバは
やめておくべきですね。
内部でとどめておくべきですよ。

公開するならそれなりの責任が発生します。
それこそ学校や仕事をやめて引きこもって
外に出てはいけません。
24時間体勢でサーバを監視するくらいのことを
しないとダメですよ。

>セキュリティ対策はyumだけでよい?
ログ管理くらいどうして思いつかない?
セキュリティーの基本でしょう。

投稿日時 - 2006-02-14 19:06:54

お礼

厳しい指摘ありがとうございます。
そうですね、引きこもって監視したいと思います。

ちなみに、、、

公開する/しないは抜きにして、パッケージのセキュリティを保つためには、それぞれのソフトウェアのバージョン管理は、yumは使わず、個々のパッケージのアップデート情報に注意して、他のパッケージとの整合性を見ながら、個別にインストールする。というのが良いのですか?

投稿日時 - 2006-02-15 05:46:34

あなたにオススメの質問