INFORMATION Security特約記事 「SECURING Linux」 第1回「Linuxのセキュリティホール」
最近、いたる所でLinuxが販売されている。ほとんどと言っていいほどのWebサイトや書店、コンピュータショップで小さくてかわいいペンギン(Linuxのシンボル)を目にする。Staplesのような事務用品大型ストアでさえもLinuxを在庫するようになっている。今月Windows2000
国際
海外情報
これは、プライベートネットワーク上でLinuxを動作させてみようとするエンドユーザが増加していくことを意味している。彼らは、無料でLinuxやオープンソースソフトウェアを実行できるのに、なぜWindowsやOfficeに我慢しなければならないのかと考える。こちらの方が、安いし、優れているし、高速なのだ。少なくとも、支持者達はそう主張している。
本当だろうか。たしかにエンドユーザにとってはLinuxはWindowsよりも優れたプラットフォームなのだろう。より堅固で、より信頼でき、明らかに費用が安いのだから。しかし、Linuxの方が安全なのだろうか。そうではない。新しいRed Hat Linuxのインストールは比較的安全だ。しかし、Linuxの初心者がアプリケーションやサービスのインストールや設定を始めると企業内通信網の基盤にセキュリティホールが広がることは間違いない。
LinuxはWinsowsデスクトップよりも遥かに安全であるように作られているが、Linuxが主流になるにつれ、考慮しなければならない重要なセキュリティ上の問題点がある。ユーザが旧式の386デスクトップをプリントサーバにする場
合、Apacheを用いてインターネットサーバをセットアップする場合、または全社レベルのアプリケーションについてオペレーティングシステムを評価しようとする場合、管理者はLinuxセキュリティに関してリスクとそれを除去する方法を理解しておく必要がある。
1.セキュリティホール
Linuxのセキュリティ問題がほとんどUNIXに関してと同じであり、UNIXに対して機能する多くのオープンソース・セキュリティソリューションはLinuxに対しても機能することは周知の事実である。しかし、ベンダーやユーザは
Linuxのセキュリティを別のものとして扱うことが多いようだ。誇大広告されるマシンが原因でLinuxへの注目が高くなるに連れ、典型的なLinuxユーザが、UNIXの知識があるユーザからWindowsの知識がありLinuxとWindowsを同じPCで動かすユーザへと移り変わっている。その結果、Linuxは少なくともWindowsと同程度の安全性を保つことが可能であるにもかかわらず、ハッカーの格好の攻撃対象となったのである。
Linux(またはUNIX)には、一般的に3つのクラスのセキュリティホールがある。それらは、(1)未知のセキュリティホール、(2)既知のセキュリティホール、そして(3)アプリケーション/配置セキュリティホールだ。未知のセキュリティホールは、現時点で発見されていない欠陥や弱点である。Bastille
LinuxプロジェクトのJon Lasserは「オープンソースモデルのソフトウェア開発では厳密なレビューが行なわれるため、Linuxは他の大部分のオペレーティングシステムよりも未知のセキュリティホールは少ない」と主張している。
未知のセキュリティホールは問題ではない─少なくとも、まだ問題にはなっていない。それらは発見された時にのみ脅威を与える。ただし、その時点で、それらは既知のセキュリティホールとなる。セキュリティホールを発見すると、それを修正するか、パッチをあてなければならない。しかし、この後、すべてのLinuxボックスについて、修正版の配布とインストールが熱心に行われるのに比べて、何が問題だったのかの割り出しはそれほど熱心には行われていない。
アプリケーション/配置脆弱点は、セキュリティシステムが何らかの手順で誤って設定された時、またはアプリケーションが不適切に使われた時に発生する。こうしたセキュリティホールは、inetd.confファイル中でネットワークサービスを使用可能な設定のままにしておくことのように単純なものである場合も、アタッカーがアプリケーションからコマンド行を攻撃し破壊をもたらせるようにしたスクリプトファイルのように巧妙に仕掛けられたものである場合もある。
Lasserによれば、これらは最も致命的なクラスのセキュリティホールだ。彼は次のように続ける。不適切な設定のアプリケーションやバグのあるスクリプトはすべてのUNIX亜種に存在する可能性がある。しかし、実際の問題は、Web
サーバが、システムのそれ以外の部分へのアクセスが多すぎる状態で動作している時や、不要な機能のCGIスクリプトが多すぎる場合、パーミッションの規制が緩すぎる時に発生する。Lasserによると、これらのセキュリティホールはおそらく一般的なものであるが、システムによって違いがあるため、悪用することは相当に難しいそうだ。一方、既知のセキュリティホールについては、単純にシステムを順に調べていきパッチがあたっていないシステムがあれば攻撃するスクリプトを作成することができる。
次回は、「システム管理とセキュリティツール」。
※今回掲載された「SECURING Linux」の日本語訳は、5月下旬に刊行される
「Scan Security Handbook Vol.3」(Linuxセキュリティ専門資料)から抜粋したものです。
詳しくは下記URLをご覧下さい
http://www.vagabond.ne.jp/scan/ssh3.htm
《ScanNetSecurity》