パスワードを忘れた? アカウント作成
13776469 story
インターネット

さくらインターネット、適切なセキュリティ対策無しにサーバーを運用しているユーザーに対し対策を求める 43

ストーリー by hylom
お願いしても届かなそうではある 部門より

さくらインターネットが、セキュリティ対策なしにサーバーを放置しているユーザーに対して「お願い」として対策を求めている(INTERNET Watch)。

挙げられている対策は下記のとおり。

  • パスワードはすべて適切な強度を満たすように設定してほしい
  • なるべく自動アップデートを利用してほしい
  • ファイアウォールを設定すること、ウェブアプリケーションファイアーウォール(WAF)を活用すること
  • 持続的な運用または終了方法を考えてほしい

背景には、管理者がいなくなってしまったサーバーや、管理者がやる気をなくしてしまったサーバーが運用状態のまま放置されているという問題があるという。こういったサーバーで利用されているソフトウェアで脆弱性が見つかった場合、管理権限が奪われて攻撃の踏み台にされるおそれもある。

  • by Anonymous Coward on 2018年11月26日 18時27分 (#3521322)

    持続的な運用または終了方法を考えてほしい

    これ、大切ですよね。
    持続的な運用はルータとか、家電とか、IoT機器も含めて大切。
    終了方法はもっと大切で、VPSに限らず、Google Maps API無償版のポリシー変更、SSL/TLS1.2未満、SSL証明書の有効期限、ブログパーツ、アクセス解析等の各種サービスも要チェック。
    終わる事に対しての影響度(例えば依存関係とか)を導入時や変更時にマニュアル化して残しておかないと厄介な事に。

    プログラム設計書やらコメントやらのドキュメント類同様面倒で後回しにされがちだけど、デプロイ段階で本来は考えて用意しておかないとダメですよねぇ。

    ここに返信
    • by Anonymous Coward

      ただ、重大なセキュリティ事案が発生した直後を除くと、ドキュメント類のメンテナンスや運用にかかわる作業って、社内的には誰にも評価されないんですよねぇ。。
      よほどマネージャや経営陣に拘りのある人でも立てない限りは。

      • by Anonymous Coward

        そういうトコだとマイナス評価喰らうだけですなぁ。
        リファクタリングやデバッグも同様。
        #ユーザー側評価が真逆(高評価)になれば幸運な方。

        • by Anonymous Coward

          (ドキュメント作成や管理などの)余計なことをするな!
          そんな暇があったら本業をやれ、この極潰しめ!

          とボーナス査定で詰められ中

          • by Anonymous Coward

            俺が明日トラックに轢かれて死んだり、引き継ぎ時に、今のドキュメント作成工数以上の工数が掛かりますが宜しいか?と言ってみたい。

            • by Anonymous Coward

              俺が明日トラックに轢かれて死んだり、引き継ぎ時に、今のドキュメント作成工数以上の工数が掛かりますが宜しいか?と言ってみたい。

              (実際にその事態になって)「苦労してる俺サイコー」がオチかと。

    • by Anonymous Coward

      えらいひと 終わる前提で事業展開なんてもっての外だ!

      # 昭和はまだ終わっていないようだ

  • by Anonymous Coward on 2018年11月26日 17時08分 (#3521263)

    アップデートの時だけパフォーマンスが異常に低下する現象(アップデート後1時間くらい経過したら回復)を何とかしてほしいと思う。
    手動でやってるとのうわさもあるが…

    ここに返信
  • プロが管理してくれるサービスがあるよ。自作CGI(死語)とかの管理は自分の責任になるけど。Perlのバージョンが5.14(7年前)で止まってるとか、さくら自体あまり積極的にメンテする気なさそうなのが難点

    ここに返信
    • by Anonymous Coward

      Perlのバージョンって、実際の利用者として確認した上で書いてます?

      文書に載ってるバージョン番号とか細かいところは多分「文書の」メンテナンスしてないだけだと思うけど。

  • by Anonymous Coward on 2018年11月26日 17時34分 (#3521281)

    Windows10Homeみたいな強引な方法取らんと絶対に塞がないよ。
    #某企業での体験

    ここに返信
    • by Anonymous Coward

      お前だったのか、Windouws Updateをますますおかしくしやがったのは!

  • by Anonymous Coward on 2018年11月26日 17時44分 (#3521289)

    10年ぐらい前に契約したGMOのWindowsサーバーVPSプランは最初からWindows Updateが切れてたな。

    WordpressみたいなCMSとかOS以外もどんどん脆弱性見つかってくるし、メジャーアップデートしたら動かなくなることも多い。
    よほどきちんとした管理者と開発者がいるところでないと維持管理は無理だよね。

    ここに返信
  • by Anonymous Coward on 2018年11月26日 18時02分 (#3521303)

    >まず最初にファイアウォールを無効にしよう
    まずSELINUXを無効にしようっていうのは至る所に広がっちゃってますよね…

    ここに返信
    • by Anonymous Coward

      >まず最初にファイアウォールを無効にしよう
      まずSELINUXを無効にしようっていうのは至る所に広がっちゃってますよね…

      それがわかってる人でもIPv6用ファイアウォールをすっぽり忘れているなんてことも。。。

      # プロバイダのIPv6対応ルータにIPv6用ファイアウォールがついてないってどういうこと。。。

      • by Anonymous Coward

        そりゃ"ルーター"だからだろ

        正直個人向けでもアクセスラインはL2(またはL1)で渡してほしいので、
        現時点ではフレッツギガラインタイプ(PPPoE)1択

    • by Anonymous Coward

      だって「SELINUX」なるものが何なのか、さっぱり分かんないんだもんよ。。。
      どうやら通貨の単位でない事は分かった。
      「愛」とか「峠を攻める速度感」とか、そういった概念的なものでもないらしい。
      単一のアプリケーション・ソフトウェアでもないようだ。
      google兄貴に聞いてredhatのドキュメントを開いてみたら 真っ白 [redhat.com]。
      既に知ってる人にとっては、SELINUXなんて

      • Re:記事中 (スコア:2, 参考になる)

        by Anonymous Coward on 2018年11月27日 1時48分 (#3521593)

        当方は真っ白じゃないのでブラウザ不具合っぽいけど、RHEL7のSELinuxドキュメントに新しい日本語ガイド [redhat.com]が有ります。
        リンク先読まない人向けに簡単に解説すると、SELinuxは、Security-Enhanced Linuxの略で、アメリカのNSA製のLinuxのセキュリティ強化パッチ。
        Windowsユーザーに解りやすく伝えるならVista以降のUAC的な物。
        アプリが動かないエラーが起きた時に、めんどうだからUAC切っちゃえというバッドノウハウが蔓延したのも同じ。

        SELinuxはスマホのカメラとか電話帳アクセス権限設定のような物という理解でも可。
        このアプリはこの人でしか起動しないし、このファイルしか読み込めない、ネットワーク機能は動作に必要無いので使えないようにする。といった風にアプリが出来る事を色々制限できる。
        上手く使えば、プログラムの不具合で管理者権限を乗っ取られても、攻撃者が実質何もできないなんて事が可能。
        ただし、何でも対応できるように高機能化した代償にユーザビリティが極悪(と言い切ってよいと思う)で、初心者には意味不明な代物。
        SELinuxの設定は、SELinuxの自体の理解とアプリの設計(どのファイルにアクセスするか等)やアプリの設定が絡むので、アプリ開発者とかでもない限り簡単に網羅した設定を作成できない側面もある。
        設定ファイルで待ち受けポートを変更したり、一時ファイルの作成場所を変更したら、SELinuxのポリシーや設定値も弄らないといけないとか起きるしね。
        ブラックボックステスト的な感じでポリシーを作れなくはないけど……

        他にもWindowsのNTFSのファイルバックアップ等でも同様だけど、tarとかで何も考えずにファイルバックアップ採ると、セキュリティ設定(拡張属性)がバックアップされず、リストアしたら動かなくなる罠とかもある。

        • by Anonymous Coward

          そこまでやるなら、最早UNIXらしさが無いからWindowsServer使うわってのが、正直な本音で・・。

      • by Anonymous Coward

        分からないならあえて無効にせず有効にしておいてくれよと。
        問題が起きた時に初めて無効化すればいいんだよ。
        っつかsemanageくらいググればいくらでも出てくるだろと。

        # 世の中のクラウドサービスの中には事業者が勝手に無効にしてる時もあるのだけどアホかと。

        • by Anonymous Coward

          その「問題が起きたとき」がインストール当初だったりするので、真っ先に無効化されちゃうんですよ。
          それ以外にも、「問題が起きたとき」に表示されるメッセージが "Permission Denied" として一律なので、
          SELinuxが原因なのかどうかがわかりにくく、あらかじめ無効化しておくことが効率的、という問題もあります。

          クラウドサービスどころかハードウェアメーカーやアプリケーションメーカーですら、
          真っ先にSELinuxを無効化しろ、というところが多いですよ。

  • by Anonymous Coward on 2018年11月26日 18時11分 (#3521307)

    実験用なんで使わない時はApacheとか全部止めてる
    SSHだけ生きてて鍵認証でしか入れなくしてるけど足りんのか?
    SSHのポート変更もしてある

    ここに返信
    • by Anonymous Coward

      opensshや依存しているライブラリ類(openssl, glibc)などの脆弱性が解決されていなければダメでしょう。

    • by Anonymous Coward

      実験用なんで使わない時はApacheとか全部止めてる
      SSHだけ生きてて鍵認証でしか入れなくしてるけど足りんのか?
      SSHのポート変更もしてある

      足りんかどうかは
      IPv6有効か否か
      IPv6用ファイアウォールが有効か否か
      によるね

      SSHのポートだけと思ったら
      全裸待機だったでござるの可能性も。。。

      • by Anonymous Coward

        iptablesで設定してホッとしたら、ip6tablesもあったでござる。

      • by Anonymous Coward

        v6はとりあえず全閉じですね
        v4だけSSHポート空けてある

  • by Anonymous Coward on 2018年11月26日 18時23分 (#3521321)

    無料の共用サーバーサービスなどが多くあるセブンアーチザンは、客が脆弱性対策やバージョンアップを行っていないWordPressがある。
    そのため、2018年11月1日 午前0時に上位回線事業者にブロックされ、IPアドレスを変更したと発表している。

    TOK2・Sitemix関連・BFIT ネットワークメンテナンス (報告)
    https://my.7artisan.com/serverstatus.php [7artisan.com]

    ここに返信
    • by Anonymous Coward

      >DNSの再伝播の影響により、最大48時間程度、WEBアクセス、メールが不安定になる可能性があります。
      浸透とはいってないけどこれは…

      浸透いうなの会 会長に怒られる事案

      • by Anonymous Coward

        リリースを読むと11月1日 午前0時にIPアドレスを変更したようにも読めるけど、どうやらその時点では浸透どころか一部しか変更が完了していなかった模様。
        TOK2は11月3日頃、SiteMixは11月8日頃から接続できるようになったという報告がある。
        https://mevius.5ch.net/test/read.cgi/hosting/1467122106/83-95n [5ch.net]

    • by Anonymous Coward

      Saku2.comのドメイン更新忘れた事については何もアナウンスないのね

  • by Anonymous Coward on 2018年11月26日 18時50分 (#3521340)

    踏み台にされてたり、改竄されウイルスばらまいていてるのを検知したら、約款などでよくある「当社サービスおよび他のお客様への著しい影響があると当社が判断した場合」なんかを適用して、そのサーバを強制停止(もしくはネットワーク上から遮断)できるとは思う。

    でも、メンテがされてなくて、「改ざんされる/不正侵入される恐れがある」という理由では
    何もできないよねぇ、だから今回の”お願い”なんだろうけど。

    ここに返信
  • by Anonymous Coward on 2018年11月26日 20時11分 (#3521413)

    多くのユーザーは標準設定パスワードをそのまま使うので、
    標準でランダム8文字くらいのパスワードにするのがいい

    また、SSHやらのポートも、標準で1万以上のランダムポート(well-knownポートを除く)に
    設定すればいいとおもう

    ここに返信
    • by Anonymous Coward
      とりあえず、さくらのVPSを借りようとすると、ランダム10文字の英数記号でパスワードが発行されますね
    • by Anonymous Coward

      多くのユーザーは標準設定パスワードをそのまま使うので、
      標準でランダム8文字くらいのパスワードにするのがいい

      んで平文メールで初期パスお知らせね

      # マジやめてほしいけど未だにあるからかなわん

    • by Anonymous Coward

      多くのユーザーは標準設定パスワードをそのまま使うので、
      標準でランダム8文字くらいのパスワードにするのがいい

      また、SSHやらのポートも、標準で1万以上のランダムポート(well-knownポートを除く)に
      設定すればいいとおもう

      それでも共有サーバー狙ってポートスキャン&無限リトライされたら
      ランダム8文字程度じゃ足りんきもするが

    • by Anonymous Coward

      worldwideに開いてるsshでpassword認証ってまだ普通のことなんですかね・・

      • by Anonymous Coward

        結構普通でしょ。
        その代わりパスワードは20文字以上にしろとは思う。

        逆に、ファイル自体が漏洩した時のダメージを考えたらRSAキーが安全と一概には言えないとは考えてる。

        # たとえば定期的にRSAキーを変更とか、その変更されたキーの伝達手段がパスフレーズも付けずに
        # メール送信とかやってる会社は知ってるが、どこから突っ込んでいいのか分からなかった。

      • by Anonymous Coward

        パスワード認証そのものは特に問題ないでしょう。

        ただ総当たり攻撃を防ぐ手だて(例: fail2ban)を入れておく必要はあるでしょう。

  • ほとんどのユーザはナントカ as a Service で事足りるような気がするが。

    ここに返信
    • by Anonymous Coward

      IaaSを含むならそらそうやけど。それってレン鯖となんか違うんか?

typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...