[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:57185] Re: オープンソースなのにレポジトリにないソフト

皆さんこんにちは、松井です。

ポートに関する
inbound と outbound がよく理解できていなかったようです。
ufwの設定をする時に
$ sudo ufw default DENY
とすると外部からの通信を遮断しているはずなのに
様々なホームページを見ようとすると
きちんとデータが送られてきているようで
変だななどと思っておりました。

そうではなくて、
様々なホームページを閲覧する時は
こちらからサーバーに通信を申し込むので
outboundのポートが開いておかなければならないが、
inboundのポートを開けておかなくても相手サーバーからのパケットを受け取ることができる。
逆にサーバーから見ると
inboundのポートを開けておきさえすれば
outboundのポートが開いていなくても
接続してくる相手に向けてパケットを送り出すことができる、
というのが正しい理解ということで大丈夫でしょうか?


とすれば、Debian Linux のようにネットワーク・インストールに時間を掛ける
インスト方式の場合、
debian のサーバであれ、ミラー・サーバであれ、或いはユーザ側のマシンであれ、
誰か悪意をもつ者がファイル転送の機構に攻撃をかける危険性は依然として残ると
お考えなのでしょう。


悸村さんのこの部分は
"ユーザ側のマシン"が加害者なのか被害者なのか意味がとりにくいですが、
ポートに関する理解が上記の内容で正しければ
ユーザ側のマシンがネットインストール時に被害者になることはないと考えて良いはずです。

debianのサーバ側では、
過去にdebianのサーバが攻撃された事例があるかなと思い検索していますと

Debian ウィークリーニュース - 2003 年 11 月 26 日
https://mozilla.debian.net/News/weekly/2003/47/index.ja.html - キャッシュ
2014年4月30日 ... Debian サーバにセキュリティ侵害。 Debian プロジェクトは、4 台のサーバが見知らぬ 攻撃者からのセキュリティ侵害を受けたと報告しなければなりませんでした。 サイト管理 者とサービス管理者からなる管理者チームは、マシンとサービスの ... 

とIceweaselで表示されたので、
このサイトをクリックして開こうとすると
「接続の安全性を確認できません」
などというメッセージが出ました。
たまにこういうこともあるということで、
おそらく気にしなくていいとは思いますが。


そもそも例えば、デフォルトでCUPSをインストールして
インストール直後に始動させるディストリビューションがあったとしたら、
少なくともlocalhostからの接続を待ち受けることになりますので、
理論的にはセキュリティは悪化します。


ここはとまどってしまったのですが、
私が使っているdebianでCUPSが最初からインストールされていたかの記憶がハッキリしないので
/var/log/apt の中の一番古いファイル history.log.8.gz
を見てみました。
インストール時に自動で入るパッケージは記述されていない感じで、
一番最初の時刻より8時間くらい後の

Start-Date: 2013-12-13  14:29:41
Commandline: apt-get -o APT::Status-Fd=4 -o APT::Keep-Fds::=5 -o APT::Keep-Fds::=6 -q -y -o APT::Install-Recommends=true -o APT::Get::AutomaticRemove=true install 

の後に何十行もずらずらパッケージが並んでいるところに
libcups2:amd64 (1.5.3-5, automatic)
が記述されていました。
インストール時に入っていたのかアップデートで入ったのかハッキリしないので
Webで調べてみると

http://cdimage.debian.org/debian-cd/current/i386/list-cd/debian-7.5.0-i386-CD-1.list.gz

の中には
libcups2_1.5.3-5+deb7u1_i386.deb
libcupsimage2_1.5.3-5+deb7u1_i386.deb
の二つがありましたから、
debianではデフォルトで入っているのではないでしょうか。
始動するのがインストール直後でなかったとしても、
もし危険があるのだとしたら
CUPSを使う限りはやはり危険だということなのだと思いますが、
そもそもCUPSを使わずに印刷するというのは
私のようなLinux歴の浅いユーザーには考えられません。

$ sudo ufw default DENY
のコマンドを実行しておけば外部からの接続はこないはずですが、
インストール直後はそれがなされていないだろうから
localhost(自分)からの接続を待ち受けるのも危険があるということなのか、
それとも「理論的には」ということですから
実質的には違うけど建前上ではそうということなのか、
よく分かりません。


---
Kenji Matsui