[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:57187] Re: オープンソースなのにレポジトリにないソフト



こんにちは。小林です。


2014年6月20日 22:42  <kmatsui@xxxxxxxxxxxxxxxxxx>:
> 様々なホームページを閲覧する時は
> こちらからサーバーに通信を申し込むので
> outboundのポートが開いておかなければならないが、
> inboundのポートを開けておかなくても相手サーバーからのパケットを受け取ることができる。
> 逆にサーバーから見ると
> inboundのポートを開けておきさえすれば
> outboundのポートが開いていなくても
> 接続してくる相手に向けてパケットを送り出すことができる、
> というのが正しい理解ということで大丈夫でしょうか?

それでおそらく正しいかと思いますが、
厳密に正確に理解するには
ネットワーク、TCPやスリーウェイハンドシェイクなどについて
学習するべきだと思います。


> ポートに関する理解が上記の内容で正しければ
> ユーザ側のマシンがネットインストール時に被害者になることはないと考えて良いはずです。

サーバを詐称したりパケットをすり替えたりするような高度なことを行えば
被害者になる可能性はあります。
しかしこれは、iptablesで防げる次元の問題ではありません。

詐称(成りすまし)やすり替え(改ざん)の対策については以前書いたとおりで
ハッシュ値照合や、公開鍵方式での電子署名・暗号化を用います。

例えばTLS(SSL)にしたって、
認証局による「お墨付き」で詐称や悪質サイトを防ぎ、
公開鍵方式で暗号化を行い、盗聴防止と改ざん等の検出ができます。


> debianのサーバ側では、
> 過去にdebianのサーバが攻撃された事例があるかなと思い検索していますと
>
> Debian ウィークリーニュース - 2003 年 11 月 26 日
> https://mozilla.debian.net/News/weekly/2003/47/index.ja.html - キャッシュ
> 2014年4月30日 ... Debian サーバにセキュリティ侵害。 Debian プロジェクトは、4 台のサーバが見知らぬ
> 攻撃者からのセキュリティ侵害を受けたと報告しなければなりませんでした。 サイト管理 者とサービス管理者からなる管理者チームは、マシンとサービスの ...
>
> とIceweaselで表示されたので、
> このサイトをクリックして開こうとすると
> 「接続の安全性を確認できません」
> などというメッセージが出ました。
> たまにこういうこともあるということで、
> おそらく気にしなくていいとは思いますが。

このエラーの原因は、
debian.org用の証明書であるのに
debian.net のウェブサーバで使用されてしまっているからでしょう。
https://www.debian.org/News/weekly/2003/47/index.ja.html
↑にアクセスした場合には同じエラーは出ませんよね?


> もし危険があるのだとしたら
> CUPSを使う限りはやはり危険だということなのだと思いますが、
> そもそもCUPSを使わずに印刷するというのは
> 私のようなLinux歴の浅いユーザーには考えられません。

そうですね、
いわゆるデスクトップユースなどで CUPS で印刷するユーザには
CUPS がデフォルトでインストールされるのは便宜かもしれません。

そういうユーザばかりではないし、
そもそも印刷しないマシンに CUPS は要るでしょうか?


> それとも「理論的には」ということですから
> 実質的には違うけど建前上ではそうということなのか、

CUPS サーバへのデフォルトのアクセス権限をご存知なら
おのずと答えが出ると思いますが。
(これを知らない事自体がまたセキュリティリスクなわけです。)

デフォルトでは、CUPS サーバ自身が
外部からの接続を拒否する設定になっているはずです。

iptables ばかりに頼らずに、
そもそものサーバの設定を間違えないことが重要です。

「理論的には」と書いたのは、
CUPSが始動して localhost 向けにアクセス許可を開いた時点で
セキュリティ的な堅牢性は弱まっているからであり、
また、マルチユーザOSでは、ローカルユーザが複数居て、
善良なユーザしか居ないとは限りません。

更に、仮に、CUPSにバグがあったらどうなるでしょうか。

つまり、余計なものは入れない、始動しない、がセオリーなんです。
(ネットインストールでは、要らないものを削ぎ落とせます。)


現実的には、CUPSのデフォルト設定でクラックされる事例は稀だとは思います。
様々な状況が一致しないとやられないでしょうから。
だから、「理論的には」、です。