[debian-devel:11567] Re: MBR (Re: Re: New Debian JP Packages)

[Taketoshi Sano <kgh12351@xxxxxxxxxxx>]

佐野＠浜松です。

In article <200002081856.DAA01247@xxxxxxxxxxxx>,
  at Wed, 9 Feb 2000 03:56:49 +0900,
   on [debian-devel:11560] MBR (Re:  Re: New Debian JP Packages),
 Hiroshi KISE <fuyuneko@xxxxxxxxxxxx> さん writes:

> From: Taketoshi Sano <kgh12351@xxxxxxxxxxx>
> Subject: [debian-devel:11556] Re: New Debian JP Packages
> Date: Wed, 9 Feb 2000 00:39:20 +0900
> > > ＃ mbrの穴は、修正されてからアナウンスが出るんだろか?
> > あれは「セキュリティホール」ではないので、出す必要は無いでしょう。
> > 単に運用上の問題であって、ソフトウェアのコードを変更して
> >  rebuild しなければならないような問題では無いと認識しています。
> 
> どう運用すればこれが防げるのですか? フロッピードライブを取りはずす、
> というのはちょっと変です。

必要無ければ "creating master boot record ?" という質問に No と
答えれば良いだけのこと、という点で運用の問題だと思いますが。
「デフォルトの設定」を問題にするなら LILO も標準の設定で
パスワード保護をしているわけではないので同じことです。
カーネルオプションで init=/bin/sh を指定すれば root access を
得られます。これは以前から Kernel Option Howto などに記述されて
きた周知の事実であり、かつこれまで「普通の人」があまり認識して
こなかったことでもあります。

そもそも不特定多数がコンソールに物理的にアクセスできる環境で
セキュリティを云々しても無意味という話があったはず。
Report した人は、ケースを施錠して分解されないようにした上で
監視装置でモニターしていたことを強調していましたが、そこまで
やれる / やる必要のある人は通常想定される「一般の利用者」では
ないでしょうし、当然「デフォルトの設定」では自分の必要とする
条件を満たさないことを承知しているはずです。

なお「フロッピードライブを取り外す」という措置は、
セキュリティを気にする環境では当然のことだと思います。

> これ、Debian2.0から存在するらしいですが…。boot floppy 2.2.6(という
> 書き方でよい?)ではすでに修正されているようで。

私の知る限り、1.3.1 (bo) でも mbr が使われていました。もっと以前から
じゃないですか ? "runninng lilo" というメッセージの後で "Creating
Master Boot Record ?" という質問が出るところで、「セキュリティのプロ」
を自認する人物なら当然気がつくべきだと思いますが。当時から「自分で
ブートマネージャをインストールしている人は 'No" と答えなさい」と
書かれていましたよ。あのメッセージで、これからインストールされるのが
「ブートマネージャ」であるということが示されていたと理解しています。

 bo や hamm のは CD から取り出さないといけないので、手もとにある
 slink-jp の boot-floppies のソースから引用すると

#define MSG_RUNNING_SILO        "\
  SILO を実行して、起動フロッピーを使用せずハードディスク
からカーネルが直接起動するように設定しています..."

#define MSG_RUNNING_LILO                "\
  LILO を実行して、起動フロッピーを使用せずハードディスク
からカーネルが直接起動できるように設定しています..."

#define MSG_RUNNING_VMELILO             "\
  VMELILO を実行して、起動フロッピーを使用せずハードディスク
からカーネルが直接起動できるように設定しています..."

/**/
#define MSG_CREATE_MBR_L                "\
  MBR(マスターブートレコード)はシステムを起動するのに使用
されます。既に何かのブートマネージャーを使用している場合
は、以下の質問に「いいえ」と答えて下さい。
  ブートマネージャが何か知らない、あるいはブートマネージャ
があるかどうか知らない場合は「はい」と答えて下さい。
  MBR を %s にインストールしますか？"

#define MSG_CREATE_MBR                  "MBR のインストール"

というメッセージが表示されているはずです。英語版だと

#define MSG_RUNNING_SILO
                "Running SILO to make the kernel able to boot from the \n
hard disk without a boot floppy..."
#define MSG_RUNNING_LILO
                "Running LILO to make the kernel able to boot from the \n
hard disk without a boot floppy..."
#define MSG_RUNNING_VMELILO
             "Running VMELILO to make the kernel able to boot from the \n
hard disk without a boot floppy..."
#define MSG_CREATE_MBR_L
                "A master boot record is required to boo t the system.
If you are already using a boot manager, and want to keep it, 
answer \""MSG_NO"\ " \
to the following question. If you don't know what a boot manager is or \
whether you have one, answer \""MSG_YES"\".

Install a master boot record on %s?"
#define MSG_CREATE_MBR                  "Create Master Boot Record?"

ですね。

「ブートマネージャが何か知らない」一般の利用者に対しては、
「そもそも不特定多数がコンソールに物理的にアクセスできる環境で
セキュリティを云々しても無意味」という一般論が妥当だと思います。
いつもフロッピーを持ち歩いているわけではないノート PC の利用者に
とって、起動するパーティションを選択できる「ブートマネージャ」の
機能は便利なものですし、またそもそもこれはインストールに失敗して
そのシステムを起動できなくなってしまった場合の「回復手段」として、
「一般の利用者」のために用意されてきたものだと思います。

逆に、セキュリティに気を使わなければいけない環境で、管理者が
「ブートマネージャが何か知らない」状態だったりしたら、私は
そのほうが不安ですね。

なお potato 向け開発版の boot-floppies は 2.2.7 が出たような
雰囲気です。このバージョンでは install-mbr はまたオプション無しで
実行されるように戻され、その代わりに警告用のメッセージをもっと
詳細に書くという方向に変更されているようです。

もともと、original reporter が求めていたのも、「ブートマネージャ
として mbr を使えばフロッピーからも起動できる」という点についての
説明が不足しているから、もっとわかりやすく表示しろ、ということ
だったはずなので、本来 Documentation problem であって coding
problem では無いと認識しています。開発の優先順位として documentation
や translation が後に回るのは仕方の無いことだと思いますが ?
まずはちゃんと動くコードを作らなければ、文書だけ整備しても無意味
ですから。その意味で Severity を wishlist に下げたことについて
問題があったとは私は思いません。いきなり却下して close したなら
問題でしょうけれど。

boot-floppies の開発は本当に人手不足 (実際にコード書いて開発している
人間はおそらく 10 人以下、文書方面で貢献してくれている人はもっといる
だろうと思いますが) なので、documentation/install*.sgml に含まれる
 (LINUGA/)dbootstrap.sgml の内容を改定してこのへんの説明を含むように
しようという話は -boot list に書いたし、 Karl がそれに賛同して
くれてはいるのだけど、具体的にはまだ何も進展してません。

> もし本当に問題がないとしても、www.debian.orgに何かあるべきでしょう。
> あちこち(SecurityFocusとか)で報告されてるのを認識している、という意味で。

もし本当に「何かすべきだ」と思うのであれば、 -www list (@lists.d.o) 
にドラフトを投げるのが良いでしょう。あるいは、 -boot list に
 dbootstrap.sgml に対する変更のパッチを投げるのでもいいです。

重要なのは、「どう思うか」よりも「何をしたか」だと思います。
相手がちゃんと対応してくれようとくれまいと、とにかく自分にできることを
やる。前に進むにはそれしか無いという考えでやってます。

# 最近「ちゃんとやってくれよ」と感じたのは
# -boot list での "Re: init/umount problem persists" のスレッド
# とか、 <http://cgi.debian.org/cgi-bin/bugreport.cgi?bug=57113>
# にある console-data の bug に関する Joey Hess とのやりとり。

-- 
     ＃ (わたしのおうちは浜松市、「夜のお菓子」で有名さ。)
    <kgh12351@xxxxxxxxxxx> : Taketoshi Sano (佐野　武俊)