どうすりゃいいんだ！Linuxのセキュリティ

Windowsとは違い感染するウイルスの数も遥かに
少ないようですが、やはり不安は残ります。
さらに不正アクセスに対する防御などは対応している
アプリケーションが少ないためどうすれば良いのか
わからないという人も居るはず。そこで語り合うスレです。

なんかリンク集みたいなの必要？

アンチウィルスソフト

BitDefender
http://www.bitdefender.com/html/bd_linux.php

OpenAntiVirus
http://www.openantivirus.org/

AntiVir
http://www.hbedv.com/

Clam AntiVirus
http://clamav.elektrapro.com/

>>1
Linux付属のipchains or iptablesでだめ?

--川合の子 #brotherでなりきろう!

iptablesやipchinsの簡易設定ツール

fwbuilder
http://www.fwbuilder.org/

mason
http://dhp.com/~whisper/mason/

fwctl
http://indev.insu.com/Fwctl/fwctl.html

knetfilter
http://expansa.sns.it/knetfilter/

firestarter
http://firestarter.sourceforge.net/

2chスレ

おい、iptablesの使い方を具体的に詳しく教えろ！
http://pc.2ch.net/test/read.cgi/linux/1000817457/

あなたのipchainsを見せてください。
http://pc.2ch.net/test/read.cgi/linux/1017819588/

guarddogもね。
--trip:brother

SELinux　
http://www.nsa.gov/selinux/
日本のホームページ
http://www.selinux.jp/document/theunofficialfaq.html
Snort
http://www.snort.org/

OSASK
http://www.imasy.org/~kawai/osask

>>1
乙

とりあえず無駄なサービスは立ち上げない。
素人はinetdは止めておけ。

Linux管理者への道
http://www.atmarkit.co.jp/flinux/index/indexfiles/rootindex.html

ハニーポットを利用したネットワークの危機管理
http://www.atmarkit.co.jp/fsecurity/special/13honey/honey01.html

>>9
あぼーんしとけ。

なんかネタない？

>>11
# echo "ALL" > /etc/hosts.deny
# rm /etc/hosts.allow; touch /etc/hosts.allow

SPI機能などがついてるFWない？
iptablesじゃACKフラグで終了ですよ。

セキュリティ管理もできないやつがLinux使うな
これ以上DQN管理者を増やすな
が正解

削除依頼しとけよ >>1

>>1
> さらに不正アクセスに対する防御などは対応している
> アプリケーションが少ないため
どういう意味だろう。

どうすりゃいいのかって？　死ね。

でもさー、Lindowsなんてのが出るし...
安さだけに引かれて、セキュリティー管理ができない
オジサンやオバタリアンがわんさか出てきそうだよ。
今のうちにシナリオ作らないと酷い事になるよ。うん。

みなさん、セキュリティは商品では無く、プロセスです。

そこの商売のネタができるんだからいいんじゃねーの？

>>19
資本主義、こわ

スレとめるのってフシアナっていれるんだっけ？
このすれうぜぇ

>>1
不安どころかGNUの一件以来ありとあらゆるバイナリに対して疑心暗鬼してますよ

誘導

皆様、セキュリティホールは埋めとけよ
http://pc.2ch.net/test/read.cgi/linux/1012625735/

Linuxにセキュリティホールなんてあるわけないだろ
M$の糞OSと一緒にすんな

>>22
ソースなら疑心暗鬼しないのですか？
俺はソース全部読んでる余裕ないからバイナリでも同じ。

>>24
ﾜﾗﾀ

>>14に聞くけどACKフラグに対してはどのように対抗するんだ？

セキュリティなんて心配しなくていいよ
糞Linuxなんてハックされまくっていて手の打ちようがないよ

クライアントじゃ怖くて絶対使えない
単純作業を黙々とやらせておくしか使い道はないよ

粘着が巣くうつまらないスレになったな。

>>1が頑張らないスレはクソスレになる法則だな。

　　　 (⌒V⌒)
　　　│ ＾ ＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

　　　 (⌒V⌒)
　　　│ ＾ ＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

　　　 (⌒V⌒)
　　　│ ＾ ＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

age

>>28=#brother
NWSOS＝糞

GNUのFTPサイトがこれじゃぁねぇ。
http://slashdot.jp/security/03/08/14/0136254.shtml?topic=34

漏れのつこてるlinuxも危うい。

>>36
その話が出来るｽﾚって無いの？

>GNUでは再発防止策として、8月1日以降全てのソフトウェアリリースに対し、
>リリース作成者のGPG署名付checksumをつけるようにしています。
だそうだ。

SELinuxとか使ってるつわもの居る？

http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030814/1/

3日前ぐらいから
210.21.34.66 - - [19/Aug/2003:11:20:36 +0900] "GET / HTTP/1.1" 200 3208 "-" "Moz
illa/4.0 (compatible; MSIE 5.5; Windows 98)"
61.182.255.188 - - [19/Aug/2003:11:21:30 +0900] "GET / HTTP/1.1" 200 3208 "-" "M
ozilla/4.0 (compatible; MSIE 5.5; Windows 98)"

みたいなのがすごい頻度(2分おきぐらい)でapache宛にくるんですが、これってどれと関連してるの?

ウチにもありました。
218.58.85.252 - - [19/Aug/2003:11:48:17 +0900] "GET / HTTP/1.1" 200 107 "-" "Moz
illa/4.0 (compatible; MSIE 5.5; Windows 98)"

以後はこちらで。

皆様、セキュリティホールは埋めとけよ
http://pc.2ch.net/test/read.cgi/linux/1012625735/

>>43
何度もそのスレへの誘導があるけど、そっちはセキュリティホールとか
パッチ情報のスレでしょ？

こっちは少なくともスレタイ的にはセキュリティポリシーとかそれを
実現する手段のスレっぽいから、別に重複じゃないと思うんだが。

>>44
2スレにわけて話すほどネタないと思うけどな。
ポリシー等について語りたいならセキュリティ板でいいし。

>>1に書いてあるようにLinuxで使えるアンチウィルスソフトとかセキュリティツールの話はどこですんの？
今後だとPOSIX ACLやSE Linuxとかさ。
>>43はセキュリティホールを埋めるだけがセキュリティ対策だと思ってんのか？

# 同一人物じゃないかもしれんが、そもそもGNUのftpがやられたってスレでも誘導してるけどさ、
# GNUの事例は穴が公開されてからパッチが出来るまでの間にやられたんだぜ？
# あきらかに誘導先とは語る内容が違うだろ。

debian以外でも役に立つ

Debian セキュリティマニュアル
http://www.debian.org/doc/manuals/securing-debian-howto/index.ja.html

漏れはLinux使ったことないけど勉強してSELinuxを使うつもり。
今はプログラムの勉強中なんだけど

おいおいルーティングテーブルに数秒間通信が終わったあとも
変換情報が残ってるって本当？

>>49
なにか問題が？

>>50 その間に侵入される可能性があるだろ。
変換情報をFINパケットを検知破棄することによってセキュリティを
高められるだろ。
http://www.zdnet.co.jp/magazine/ybb/0202/security/04.html
ここにかいてあるけど。

このスレ伸びが悪い

>>49
Linuxではその問題が解決されてない、ということ？

俺あんま詳しくないんだけど、kernel-2.4からのnetfilter
が持ってるconnection tracking機能って、こういうの追跡
できるんじゃないのかな。

見当違いだったらｽﾏｿ

/ の確認もせずに、いきなり /scripts/root.exe とか なんちゃら.dll とか
/c/winnt/system32/cmd.exe とか
/d/winnt/system32/cmd.exe とかアクセスしてきてウザイんですけど、
こういうのおっ払う方法無いですか？

＞50
ttp://www5e.biglobe.ne.jp/~aji/3min/47.html

>>51
つまり、ステートフルインスペクション対応ルーターを買えば良いって
ことなんだな、なるほろ。

>>56　コレガっていう会社のルーターで28日発売のは
パケットフィルタとSPIつきで5530円だよ。

Linux は完全セキュアなOS
M$の糞OSと一緒しないでもらいたい。

嘘はいかんヨ

>>53
netfilter の connection tracking はステートフルインスペクション。
対応プロトコルがやや少いのが困るが、きちんと動く。
何を通過させているかもちゃんとチェック出来て安心。
100万円のFW-1と比べちゃいかん。
>>57
ブロードバンドルータのパケットフィルタはおもちゃ。
ステートフルインスペクションだって動作が不明の怪しいもの。
それでもルータが無いよりはるかにまし。
ウィルス対策ソフトと変らない値段なんだから、ルータ買わない奴は非国民。

つうか１だけどLinux使いたてだよ。残念ながらDVDROMを粉砕してしまったよ。
２まいCD入れてね。
まあいい。それよりネットフィルターっていうのはインスコできるのか?
SPIだから基本的に安心だね。がんばってSELinuxつかってみるよ。

ttp://www.linux.or.jp/JF/JFdocs/netfilter-faq.html

という訳で、糸冬 了

↑がんばって考えた書き込み

兆件労。
つーかテスト。

>>58
M$は確かに、満開チューリップだけどね。
Linuxもけっこう、ぼろぼろだよ。手本となったUnixがそうなのか、実装が甘かったのか。
だから、SELinuxのようなものが出て来たんだね。

あと、Linuxのせいじゃないんだけど、メモリオーバランにようるセキュリティホールがあるね。
これは、考えてみるとOSのせいじゃなくて、開発で使っているc言語のせいのような気がする。
だって、この現象、昔のCOBOLやFORTRANでは考えにくいもの。

さらにいうと、CPUのデザインミスじゃないかなと思う。CPUの持っているスタックを
c言語が多用しているのね。だから、メモリオーバランが多発する。

こう考えると、比較的新しいc言語とCPUのカップリングが取れていないところに理由があるような気がする。

COBOLやFORTRANでﾈｯﾄﾜｰｸｻｰﾋﾞｽを立ててみませぃw

#微弱電波入感中？

COBOLでいっぱいたってるぞ＜金融系。
今更何言ってるんだか。

>>66
セキュリティホールの大半はバッファーオーバーフローだから、そもそもスタックからCPU命令を実行できないようにすればいいと思う。
というか、昔のCPU(例えばM68k)とかではメモリがデータ空間とCPU命令空間に分かれていて、
そもそもスタックを実行しようとするとexceptionが発生してOS上ではcore dumpになるから、セキュリティホールにはならなかったはずだが・・

>>69
なーんにも知らない馬鹿ﾊｹｰﾝ。

ばかばかばーか

ごめん。書き込みテストしてしまった。


クラッカー迎撃完全ガイドを参考にするとよいぞ。

パケットを解析したセッションの乗っ取りなどの手法が載っている。

このあたりからどうしたら対処可能か良い素材になるとおもう。

>>68 http://pulse.homeip.net/ にCOBOLでCGIするらいぶらりがあるぞ。

>>66
CPUのもっているスタックとは？

>>73
CGIとinetdは無しでおながいします
それ以外の手段でネットワークサービスを立ててくだせえ

>>69
それは真なのだけど、Unix系では例外的な処理(てかシグナル)の帰りのため
にスタックに一時的にコードを配置するのが伝統的実装なの。他には、クロー
ジャをどうやって実装するかという問題もある。だからスタックは実行可なの。
なお、そこを工夫して、スタックの実行許可を落して、セキュリティ向上を
はかったLinuxの実装は既にあります。でも問題含みだし、伝統には勝てない
しで、今はまだ本家には採用されない。

このスレではMicrosoftの話題は禁止しませう。

LIDSのFAQ 日本語訳
http://www.linux.or.jp/JF/JFdocs/LIDS-FAQ/

>>73
シェルでもCGI出来るからなぁ・・・

>>76
皆が微妙に誤解している気がしてならないのだが。
ttp://linux.ascii24.com/linux/linuxcom/2000/06/13/465216-000.html

>>80
thx
微妙に違和感あったんだけど
うまく説明できなくて困ってた。

勉強になりますた。

米だと日本より使用してる人多くなってると思うけど、ハッキングパークと化してないのかな？

Yahooより

最も攻撃を受けている OS は Linux
セキュリティ関連の脆弱性報道といえば、Microsoft 製品の記事を目にすることが多いかもしれないが、イギリスの調査会社 Mi2g によると、
侵入を試みる露骨な攻撃の最大のターゲットは、オープンソース OS の Linux という。
Mi2g のデジタルリスク管理に関する調査では、成功したあからさまな攻撃全体の67％が、Linux を対象にしたものだったことを明らかにした。
なお Windows への攻撃が占めた割合は23.2％で、Linux への攻撃は3倍近い。

8月だけでも、Eビジネスや情報サイトを運用している1万2892台の Linux サーバーが侵入被害に遭っている。一方同期間中に侵入を受けた Windows サーバーの数は、4626台に留まっていた。
また BSD 系 OS が8月中に侵入を受けた台数はわずか360台と、好成績を示した。

Mi2g は、「ここ1年間のスパンで見ると、もっとも多くの攻撃を受けた OS はインターネットに接続している Linux OS で、侵入に成功したすべての露骨なデジタル攻撃の51％を占めるに至っている」とした。
ただし、政府系機関では Windows が最大の侵入被害を被っており、政府機関のシステムへの攻撃全体の51.4％に達する一方、Linux は14.3％と、順番が逆転していることにも言及している。
同社は8月中に発生した侵入被害の経済的影響について、生産性の低下と復旧費用の面から算定した金額として、推計7億700万ドルという数字を挙げた。

Mi2g は、「ウイルスやワームによる被害に加え、明白である無しを問わず、様々な攻撃が与えた経済的被害の総額は、史上最高の282億ドルにも達した。
Windows に大きな被害をもたらしたワームの Sobig と Blaster が、被害推計額拡大の主要因になった」と述べた。

なんでソース書かないんだ？

ttp://headlines.yahoo.co.jp/hl?a=20030916-00000007-inet-sci

「情報サイト」って2chも含まれてる？(w

(･∀･)renice!

ディストリビューターによるRPMのセキュリティフィックスが、
サポート期限切れてリリースされなくなったら、各サーバソフトウェア
の開発元が出してるソースアーカイブのパッケージに入れ替えれば
セキュリティホールって回避できるのでしょうか？
長く使いたいと思ってるですけど・・

修正されてるセキュリティホールは回避できるんじゃない。
ただしちゃんとビルドできないかもしれないし、
環境の違いから思わぬ不具合が発生したりするかもしれないけど。
そういうのを自前で面倒見れないなら素直にアップデートしとけ。

>>88
なるほど。
参考になりました。ありがとございます。

悪意ある歪曲記事を切る
最も攻撃されたのがLinux？
http://allabout.co.jp/computer/netsecurity/closeup/CU20030917A/

クライアント用途でもルータとiptablesぐらいはやっておけ。

Clam AntiVirusを育てよう！

Vineの2.1もDebianのpotatoももうさぽーとされないの？

されないよ

>>91
最近のRedHat系ディストリは、デフォルトでiptablesがびっしり掛かってる。

で、クライアント用途でルータってなんやねん。

>>14
DQNじゃなく、セキュリティ管理抜群の
鯖を運営しているのはあなたでつか？

なんでもかんでも2chで
バカの一つ覚えみたいな風に
「削除以来しとけよ>>1」とか書いちゃってる（ﾌﾟｹﾞﾗ

スレの一つもたてたことないくせに（藁

3ヶ月前のにレスつけられてもなぁ。