"rei" <wata...@hotmail.com> wrote in message news:<B0HDb.21$eF...@news7.dion.ne.jp>...
> Linuxをはじめてまだ1週間経ちません。
わたしゃLinuxは疎いので、以下は一般論
> 家でわたしだけしか使いませんので、
> ルートのパスワードなんかは複雑にしています。
> そして極力一般ユーザとしてログインしています。
一般ユーザーのパスワードは複雑にしないんですか?
> インターネットはルータを介していますし、
そのルーターは適切に設定してますか?
すくなくともNATは使うようにしてますよね?
> 一般ユーザとしてログインしている時だけしか、
> 接続しないようにしていますので、防御は完璧
> なのでは?と思うのですがどうなんでしょうか?
ネットワークから攻撃されるとしたら
そのとき自分がrootでログインしているかどうかは無関係でしょう。
(rootでログインしたらOSの動作モードが変わるわけじゃないです)
じつは、セキュリティについて「完璧」というのはないんです。
どんな防御手段でも何かしらの弱点があるのですが、
その弱点をつくのにそれなりの時間やコストがかかるようなら
実用上(ほぼ)安全(だろう)というだけです。
現時点だとネットワークにつながないというのが
最も「完璧」に近いとは思うんですが、それでは困るんですよねえ
> なおメールはデュアルブートの相棒WindowsXP
> の方でやり取りしています。(そちらはセキュリティ
> ソフトを導入しています)。
もしかして、Linux側に重要な個人情報とか何も入れてないというのなら、
踏み台やウィルス媒介者にならないことだけ気をつけて
あとはとくに何も対策しないというのもありかもしれません。
何かあったらLinux側パーティションを初期化して再インストールするだけ
> フリーのセキュリティソフトをダウンロードしたの
> ですが、そのサイトから来たメール(キーを送付
> してくることになっていました)の添付書類が
> XPの方のセキュリティソフトによって削除されて
> しまいましたので気持ちが悪くて削除してしまい
> ました。
その「フリーのセキュリティソフト」というのが
どういう名前でどこからダウンロードしたのかわからないと
だれも助言できないとおもいます。
> 出来ればわけの分からないところからダウンロードしたくないし、
それは基本、というか
不安なところから入手したもので「安心」できますか??
極端なことをいうと、
「セキュリティソフト」という名目で配布しているものが
ウィルスや「トロイの木馬」ではないと誰が保証するのでしょうか?
> かといって出来れば余計な出費は省きたいのです。
MS-WindowsとかMacとかだと、
信頼できるセキュリティ対策ソフトウェアのパッケージを買ってインストールして
ウィルス定義ファイルを定期的にアップデートして
OSのセキュリティパッチをその都度あてて
重要なファイルをこまめにバックアップして
あぶなそうなサイトには近寄らない
...くらいのことをすれば(ふつうにつかうぶんには)だいじょうぶそうですけど
linuxは疎いのでよくわかりません。
--
ishida-yuusuke #5002(greenmover)
私も、集団利用を含めた一般論です。
> > 家でわたしだけしか使いませんので、
> > ルートのパスワードなんかは複雑にしています。
> > そして極力一般ユーザとしてログインしています。
>
> 一般ユーザーのパスワードは複雑にしないんですか?
というか、どういうものが「複雑」か良くわかりません。そして、その「複雑」
なパスワードが、総合的に見て安全なものかどうかも良くわかりませんね。
最近のセキュリティ指導では
・たびたび変更させるような指導はしない。
・決して、覚えられないような「複雑」なパスワードを使わせない。
ってのがあります。つまり、
「一般ユーザは、そんな指導をすると、メモを残すから。」
です。別の言い方をすると、
「パスワードをクラックするなら、まずマウスパッドの裏から。そのなかで消
されていない、一番下の文字列が…」
だいたい、USBトークンくらいに秘密鍵を入れておいて、そのトークンのパス
ワードで認証するくらいでないと、信用できません。
#お金を扱うカードはそれくらいのことをしてほしいよなぁ。トークン代くら
#い払うから。それだと、オフラインで、いつでもパスワードを変えられるし。
> > インターネットはルータを介していますし、
>
> そのルーターは適切に設定してますか?
> すくなくともNATは使うようにしてますよね?
固定NATだと…
> > 一般ユーザとしてログインしている時だけしか、
> > 接続しないようにしていますので、防御は完璧
> > なのでは?と思うのですがどうなんでしょうか?
>
> ネットワークから攻撃されるとしたら
> そのとき自分がrootでログインしているかどうかは無関係でしょう。
> (rootでログインしたらOSの動作モードが変わるわけじゃないです)
ですね。最近のUNIX系のセキュリティホールは、外から入ってrootをのっとら
れる、ってのが一番やばい話ですから。何と言ってもUNIXはnetwork daemonが
走っていますから、だれがloginしていようがいるまいが、何も関係がありま
せん。むしろrootでログインしている時間の方が、いろいろ監視できて安全な
時間帯であると言えるでしょう。
> じつは、セキュリティについて「完璧」というのはないんです。
> どんな防御手段でも何かしらの弱点があるのですが、
> その弱点をつくのにそれなりの時間やコストがかかるようなら
> 実用上(ほぼ)安全(だろう)というだけです。
>
> 現時点だとネットワークにつながないというのが
> 最も「完璧」に近いとは思うんですが、それでは困るんですよねえ
それでも、「内部犯行者」を何とかするのは難しいですね。だいたい日本最初
のコンピュータ犯罪も内部犯行であったことをお忘れなく。
> > なおメールはデュアルブートの相棒WindowsXP
> > の方でやり取りしています。(そちらはセキュリティ
> > ソフトを導入しています)。
>
> もしかして、Linux側に重要な個人情報とか何も入れてないというのなら、
> 踏み台やウィルス媒介者にならないことだけ気をつけて
> あとはとくに何も対策しないというのもありかもしれません。
> 何かあったらLinux側パーティションを初期化して再インストールするだけ
あ、それ、ある意味、うちの会社のメールゲートウェイがそうです。重要なの
はsendmail.cfと、ニュースの設定だけ。(newsスプールとspam dbは重要では
ありません。)
> > フリーのセキュリティソフトをダウンロードしたの
> > ですが、そのサイトから来たメール(キーを送付
> > してくることになっていました)の添付書類が
> > XPの方のセキュリティソフトによって削除されて
> > しまいましたので気持ちが悪くて削除してしまい
> > ました。
>
> その「フリーのセキュリティソフト」というのが
> どういう名前でどこからダウンロードしたのかわからないと
> だれも助言できないとおもいます。
まあ、最低でも、自分が信頼する(チェイン)の鍵でサインされていることは
チェックするのは言うまでもありませんね。
あと、Webで流される情報も、httpsでのページしか信用しないとか。
#案外、広まっていない話で、SSLってのは暗号のためだけにあるような言い
#方をされますが、プロトコルをちゃんと吟味すると、サーバの認証(クライ
#アントの認証もできます)をするプロトコルですので、そのセッションで流
#れたメッセージはサインされたものに近いと言うことができます。
> linuxは疎いのでよくわかりません。
linuxのフリーソフトウエア場合は、ソースで配布されているものを読むのが
正しい。
#Richard Stallmanが書いてない限り:-P最近のソースは理解しやすいです。
--
___ わしは、山吹色のかすてーらが大好きでのぅ
[[o o]] ふぉっふぉっふぉ
'J' 森下 お代官様 MaNMOS 英夫@ステラクラフト
PGP Finger = CD EA D5 A8 AD B2 FE 7D 02 74 87 52 7C B7 39 37
In article <4ef4f74f.03121...@posting.google.com>
ishida-...@mail.goo.ne.jp (ishida yuusuke) writes:
> こんにちわ、いしだゆうすけです。fj.comp.securityにも
> MS-WindowsとかMacとかだと、
> 信頼できるセキュリティ対策ソフトウェアのパッケージを買ってインストールして
> ウィルス定義ファイルを定期的にアップデートして
> OSのセキュリティパッチをその都度あてて
Unix 系(Linux含む)だと、次の2つで対策としては終りにしてもい
いんじゃないかなあ。
(1) パッチをあてる。
(2) 必要なサーバだけ動かす。netstat や lsof -i で調べて不明
なものを止める。
(3) パケット・フィルタを設定する。
ただ、パッチ当てプログラムが Unix 系だと今一つという感じはし
ます。パッチ当てが楽な Linux は、どれでしょうか。RedHat とか
FeeBSD とか、1年というのは短いですよね。
パケット・フィルタは、Linux だと iptables で何か書けばいいん
でしょうが、クライアント系とサーバ系でちょっと違いますよね。
どなたお奨めの方法を紹介してもらえませんか。
私の家のものは、ルータにして NAT させて、あと、named のキャッ
シュとか dhcp とかあって、複雑になっていて、あんまりお奨めの
状態にはなっていません。
In article <squn09s...@stellar.co.jp>
man...@stellar.co.jp (Hideo "Sir MaNMOS" Morishita) writes:
> あと、Webで流される情報も、httpsでのページしか信用しないとか。
https だから ok という話はないでしょう。
> linuxのフリーソフトウエア場合は、ソースで配布されているものを読むのが
> 正しい。
> #Richard Stallmanが書いてない限り:-P最近のソースは理解しやすいです。
100万行とかなると、ソース見ても分からないし。
Windows XP は、1000万行越えていそうだけど、作ったところでも
分からないのかも。Pentium 4 のロジックの記述は、どのくらいな
んでしょうね。CPU ちゃんと動くのは、偉い。
\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報 \\
>>> On 17 Dec 2003 15:40:27 +0900
in message "Re: セキュリティ対策について"
Hideo "Sir MaNMOS" Morishita(man...@stellar.co.jp)-san wrote:
> #案外、広まっていない話で、SSLってのは暗号のためだけにあるような言い
> #方をされますが、プロトコルをちゃんと吟味すると、サーバの認証(クライ
> #アントの認証もできます)をするプロトコルですので、そのセッションで流
> #れたメッセージはサインされたものに近いと言うことができます。
コレ,多いですよね.
なんか期限切れの証明書で運営されているサーバが存在するそれなりに有名な
通販サイトとか,暗号化のためだから自己署名 CA で発行した証明書を使って
運営していたそれなりにオフィシャルな SSL サイトとか.
結局,いくら暗号化されていても,信頼できる相手と暗号通信をやって,それ
が確認できないと意味がないというのがわかってないのかなあ...
--
==============================================
(((( 加藤泰文 karma @ prog.club.ne.jp
○-○ http://www.ae.wakwak.com/%7Ekarma/
==============================================
(仮称)新 fj.* の歩き方の作成完了部分の公開
http://www2s.biglobe.ne.jp/~kyashiki/fj/arukikata/
In article <sa6k74utrge.wl%ka...@prog.club.ne.jp>
ka...@prog.club.ne.jp writes:
>> #案外、広まっていない話で、SSLってのは暗号のためだけにあるような言い
>> #方をされますが、プロトコルをちゃんと吟味すると、サーバの認証(クライ
>> #アントの認証もできます)をするプロトコルですので、そのセッションで流
>> #れたメッセージはサインされたものに近いと言うことができます。
>
>コレ,多いですよね.
>
>なんか期限切れの証明書で運営されているサーバが存在するそれなりに有名な
>通販サイトとか,暗号化のためだから自己署名 CA で発行した証明書を使って
>運営していたそれなりにオフィシャルな SSL サイトとか.
>
>結局,いくら暗号化されていても,信頼できる相手と暗号通信をやって,それ
>が確認できないと意味がないというのがわかってないのかなあ...
そもそも、同一性を確認するための証明書や印鑑証明を発行するVerisign
自体が極めて怪しいですからね。ついこないだ我々はココに酷い目に遭わされた
ばかりではないですか。以下、参照。
#個人的には、自分の信頼するサイトのオレサマCAの方が全然良いです。
少なくとも、SSL使っているから安心なんてとんでもなく大嘘。
Message-ID: <YAS.03Oc...@kirk.is.tsukuba.ac.jp>
In article <YAS.03De...@kirk.is.tsukuba.ac.jp>
y...@is.tsukuba.ac.jp writes:
>Unix 系(Linux含む)だと、次の2つで対策としては終りにしてもい
>いんじゃないかなあ。
3つ有るんですけど…。 :-)
>(1) パッチをあてる。
>(2) 必要なサーバだけ動かす。netstat や lsof -i で調べて不明
> なものを止める。
>(3) パケット・フィルタを設定する。
私はそれよりも、まず同一性チェックをすべきだと考えます。/home,/tmp
はともかく、システム領域のファイルが勝手に書換えられていないか、
MD5なり、なんなりで侵入の有無をチェックすること。*BSDだと、たいてい
インストールした状態で勝手に夜中の2時頃にチェックして、root宛に
メールしてくれると思います。snortの類を入れるなり、chkrootkit
入れるなりしても良いですが。
パケットフィルタも、*BSD,Linuxならタダで付いてくるので使わなきゃ損です
よね。昔と違って今は、不用なポートを塞ぐのではなく、必要なポートだけ
開いて残りは全て閉じるとしないといけない世の中になってしまいましたね。
--
中村和志@神戸 <mailto:k...@kobe1995.net>
NAKAMURA Kazushi@KOBE <http://kobe1995.net/>
- Break the hate chain. No more kill!
administrator@127.1
>>> On Thu, 18 Dec 2003 12:01:25 GMT
in message "Re: セキュリティ対策について"
NAKAMURA Kazushi(k...@kobe1995.net)-san wrote:
> そもそも、同一性を確認するための証明書や印鑑証明を発行するVerisign
> 自体が極めて怪しいですからね。ついこないだ我々はココに酷い目に遭わされた
> ばかりではないですか。以下、参照。
そういう人はブラウザのベリサインの証明書を信頼しないように設定すればよ
いわけですよね.
> #個人的には、自分の信頼するサイトのオレサマCAの方が全然良いです。
で,こちらはブラウザにインストールして信頼するように設定する.
> 少なくとも、SSL使っているから安心なんてとんでもなく大嘘。
はい.私が言いたかったのも SSL の本質をわからずに,「SSL して暗号化さ
れているから OK 」という例があまりにも多いということで...
はい、加藤さんはきっと分かってらっしゃると思ってました。
しかし、世間には誤解・盲信している人達や、或は「当サイトはSSL
使っているから安心」「VerisignにCAしてもらっているから安心」等、
誤解を誘導するサイトが多過ぎ。
期限が切れて2年近く経つのに、堂々とVerisign CAを水戸黄門の印籠
みたいにかざしているサイトなんてのも平気で有るし。