[debian-users:57180] Re: オープンソースなのにレポジトリにないソフト

[Mika Kobayashi <mika.kby@xxxxxxxxx>]

こんにちは。小林です。

2014年6月17日 23:27  <kmatsui@xxxxxxxxxxxxxxxxxx>:
> Porteusなどで使われているRazorQtも軽量のわりに結構イカす感じでしたが、
> こちらはまだunstableの段階ですね。

RazorQt ですが、LXDEのQt移植版とマージして、LXQt というDEになっています。
http://lxqt.org/

RazorQtはLXQtに完全移行となるはずです。
LXDEはGTK+2ベースですので、
GTK+2を選んでいるユーザのためにメンテが続けられる予定です。


> インストール中でOSが完全に稼働していなくても
> debianのサーバーと通信するポートのみを開いていて
> 他のポートが閉じていれば、
> 外部からクラックされる危険性は
> 普段OSが起動している状態でネットに接続するより高いわけではない、
> ということですね。

ネットインストールでは、
Debianのサーバなりミラーサーバなりからパッケージをダウンロードするために
インターネットに接続します。
外向けにポートを開いて待ち受けをするわけではないはずです。
だから、外からアクセスされる可能性はほぼ無いと思います。

ネットインストールでのリスクは、
サーバの成りすましやパッケージの改ざんです。
この点では、ハッシュ値や電子署名の照合が行われているはずです。


普段OSが起動している際でも、
外向けにポートを開いた時に初めて外部から一方的にクラックされる虞が出ます。

Windowsでよくあるのだと、マルウェアをインストールさせて、
それでポートが開いてしまうという事例ですね。
オフィシャルのサーバが改ざんされていてマルウェアが仕込まれていた、
という事件は一般的にいくつもあります。
人気の「アプリ」を買収してマルウェアに差し替えるクラッカーもいます。


それはともかく、
ApacheやPostfixなど公開するのが前提のサーバでは、
これらのバグや設定ミスからクラックされる虞が出ますし、
DoS攻撃もできるでしょう。

管理不行き届きで不要な相手にまでポートを公開してしまった、
というケースも多いでしょう。
公開しなくてもよかったのに、
dovecotやBINDやntpdやCUPSへの接続を許可してしまった、だとか。
デフォルトでは安全寄りになっていることがほとんどですが、
設定を間違えるとアウトです。


> iptablesはある程度どういうものか読んだことがありますが、
> ufwが具体的に何をしているかはろくに知りません。

iptables は一種のルータで、 ufw はその設定ツールで、
GUI版に gufw があるというのが私の理解です。


> debianでこうなっているのは常識ということでしょうか。
> ただ、他のディストリでもdebianのように安全ということにはならないかもしれませんが。

一般的に常識で、
ただ、ディストリビューションは数多ありますから
そのセオリーを侵しているものが有る可能性は否定ができません。

そもそも例えば、デフォルトでCUPSをインストールして
インストール直後に始動させるディストリビューションがあったとしたら、
少なくともlocalhostからの接続を待ち受けることになりますので、
理論的にはセキュリティは悪化します。

Debianでネットインストーラを利用する理由には
余計なものをインストールしたくない、というのが大きいわけでしょう。
何をインストールするかを熟知しているはずですから、
総じてセキュリティレベルは高いです。

-- 
Mika Kobayashi