2007-08-19

少し旧聞になってしまいますが、せっかく勢いのあるUbuntuに水をさすようなニュース、Ubuntuのコミュニティ用サーバ乗っ取り事件。Ubuntuのサーバ領域での普及に問題が出るのは否めない事件です。

• Ubuntuサーバが乗っ取り被害に − ＠IT

ITメディアの記事によると中国からのブルートフォースアタックが関係するかのようなことを書いてありますが、実際のところはどうなんでしょう。まあ中国といえば皆が納得するところなんですが。

もちろん節操なくどこにでもアタックするクラッカーに怒りを覚えますが、今回はなんといっても人災としか言いようがありません。ボランティアベースで大変だとは思うのですが、Ubuntuの品質云々以前にサーバ管理者、ひいてはコミュニティの信頼までも失いかねない問題です。個人的にデスクトップを使っており期待しているだけに残念です。出来る限り早期に信頼回復を頑張って頂きたいところですね。

サーバはドライバの問題などでアップデートをしないまま放置していたそうから、カーネルもWebアプリも結構古いものが入っていた可能性が高いようです。どのあたりがやられたか記事からはわかりませんが、なんともいえないところです。ハードの制限はお金に直結するのでなんなのですが、Webアプリに関してはカーネルが変わっても別に動作する訳ですし、こういうところで失敗は痛いですね。

通常のLinuxではカーネルやその他のコンポーネントのバージョンアップはメンテナンスされているものであればパッケージ管理ソフトが面倒を見てくれるので比較的楽です。大幅なバージョンアップなどによる問題さえなければ普通にアップデートすればいいのですが、むしろ個別にインストールしたWebアプリの脆弱性なんかが面倒です。バージョンアップによりデータベースが変更になっていたり、動作しなくなったりすると結構手間と時間がかかります。

特にUbuntuのパッケージに入っているwebアプリは大抵が古いため、皆さん自分で最新版をインストールされていると思います。 自前のインストールで注意する点はインストールする時点では最新版でも数ヵ月・数年もすればすっかり古くなってしまうことです。なかなかフォローしきれないのが実際のところではないでしょうか。

個人的に知っているサーバでもOSやサーバ等がかなり古いものが稼動している所があります。特に小さい組織で専任の管理者でもいない限り一旦安定して運用が始まるとバージョンアップを嫌がるものです。頻繁にアップデートしてくれるのはセキュリティ意識の高い一部のマメな管理者だけでしょう。

ということでここで得られる(というよりほとんどが昔からある)教訓としては

1. サポートの短いOSはサーバに使わないこと(例:Fedora, LTS以外のUbuntuなど）
2. バージョンアップはこまめに行うこと
3. ハードの(互換性)問題は出来るだけ早期に解決しておくこと
4. webアプリはなるべく新しい版のインストールをおこなうこと
5. 同じくwebアプリの更新は出来る限り頻繁におこなうこと
6. 予防・防御措置を講じておくこと
   1. 不要なサービスの停止
   2. firewallをいれておく
   3. 侵入改竄検出
   4. パスワード管理
   5. アタックの検出
   6. アタックされた場合IPアドレスや範囲、ドメインなどで自動ブロック
   7. そもそも危ないポートへアクセスを許可/禁止するIPアドレスやドメインや国などを決めておく
   8. その他
7. これを理由にWindowsサーバを使わないこと(これが最悪の結論)
8. 100%の防御など出来ないとはいえ、出来る範囲で守っておくこと。(最も一般的な話)
9. 上り調子の時には特に注意すること(これが最重要な項目)

といった感じでしょうか。例にもあげましたが、外部向けサーバでFedoraやUbuntuサーバ(!LTS)などのサポートの短いLinuxを推薦する行為は間違ってもやらないようにしたいものです。もちろんサポートが切れる頃にはちゃんとOSのアップグレードが出来る管理者なら問題ありませんが、RHEL,Debian, Ubuntu LTS, CentOSなどの元からサポート期間の長いOSを選択した方が得策です。

Tags: Linux, Ubuntu

Popularity: 83%