Linuxセキュリティ総合スレ [無断転載禁止]©2ch.net

[0001 login:Penguin 2016/06/12(日) 23:17:47.19 ID:OMH3td/9]

Linuxを安全に使うためにセキュリティについて語りましょう！

[0002 login:Penguin 2016/06/12(日) 23:38:08.55 ID:yP8FUEwn]

インターネットに繋がない

[0003 login:Penguin 2016/06/13(月) 06:09:27.32 ID:eDU8tci1]

電源を入れない

[0004 login:Penguin 2016/06/13(月) 10:29:04.09 ID:Oh9pGuME]

気にしない

[0005 login:Penguin 2016/06/13(月) 11:01:38.26 ID:2M58TAyx]

SAKOKU を使う

[0006 login:Penguin 2016/06/13(月) 11:57:17.29 ID:J1aqrsrp]

勝つためには戦わないこと(´・ω・`)

[0007 login:Penguin 2016/06/13(月) 12:21:18.30 ID:8nJEuh/y]

手始めにiptableから乗り換える話書けや

[0008 login:Penguin 2016/06/13(月) 15:37:47.75 ID:0TZsX1cx]

セキュリティ総合ってことはウィルス対策もここでいいよね？

[0009 login:Penguin 2016/06/13(月) 20:55:43.29 ID:j5ciL7QT]

そもそもLinux使うこと自体が対策に成り得る

[0010 login:Penguin 2016/06/13(月) 22:05:23.35 ID:Qr5Zi0oD]

サイバーノーガード戦法だ

[0011 login:Penguin 2016/06/13(月) 22:14:04.99 ID:K9ELyhAn]

nftの情報仕入れることを期待してたんだけど、セキュリティのスレなのな。
最近nftに移行はしたけど、iptableで指定した項目が全て移せたわけではないな〜。

[0012 login:Penguin 2016/06/13(月) 22:30:22.37 ID:THPCncF9]

重複
http://hayabusa6.2ch.net/test/read.cgi/linux/1150732249/

[0013 login:Penguin 2016/06/20(月) 09:45:44.94 ID:EE0G5RY5]

UACが欲しい(´・ω・｀)

[0014 login:Penguin 2016/06/27(月) 21:17:47.20 ID:1MSZfZlD]

代わりにキーリングをあげよう

[0015 login:Penguin 2016/07/08(金) 22:16:34.93 ID:nKTBpDXx]

ぱんつくれ !

[0016 login:Penguin 2016/07/11(月) 20:45:28.85 ID:1UAhQw4h]

(´･ω･`)･ω･`)　ｷｬｰ
/　　つ⊂　　 ＼　　怖いー

[0017 login:Penguin 2016/07/16(土) 12:23:29.36 ID:az2Lvjtg]

make pan

[0018 login:Penguin 2016/07/28(木) 14:39:09.27 ID:vgMn1AfM]

残念ながらいくつかの解決が困難な問題のせいで今やUnix/LinuxよりWindowsのほうが遥かにセキュアだからな。
被害が少ないのはただ単に狙われてないからってだけ。

1.su/sudoが糞
glibcの脆弱性GHOSTの発見に関わった人のコメント

http://www.openwall.com/lists/owl-users/2004/10/22/2
> If it would be permitted for a non-root user to su to root, then anyone who could have compromised the user's account[1] would also be able to hijack a su session[2] and then su to root himself.
> [1] Such a compromise could occur in a variety of ways: Web/FTP/etc.
> client vulnerabilities, password snooping, etc.
> [2] For example, edit the user's shell startup scripts to make su an alias for a custom su wrapper program.

http://www.openwall.com/lists/owl-users/2004/10/20/6
> unfortunately both su and sudo are subtly but fundamentally flawed.
> So the separation between the non-root and the root accounts is lost.


suやsudoを使える非rootのアカウントが攻撃者に侵入された時点で、攻撃者はそのアカウントの~/.bashrcなどにパスワードを盗むラッパーを実際のsu/sudoのaliasやfunctionとして仕込んだり出来る。
次に正規のユーザーがsu/sudoを使おうとすると攻撃者の仕込んだラッパーが実行され攻撃者はパスワードを得ることが出来、あとは攻撃者もsu/sudoを使い放題となる。
結果としてこれらのツールのせいでrootと非rootというユーザーの分離という一番基本的なセキュリティさえ無意味になっている。

[0019 login:Penguin 2016/07/29(金) 08:18:56.26 ID:3v5CyHDC]

じゃけんSELinux使いましょうね

[0020 login:Penguin 2016/07/29(金) 11:43:36.67 ID:c3kWqYGY]

セキュリティ対策がはっきりしない以上Win使いしかいない
でもw10こわいわー

[0021 login:Penguin 2016/07/29(金) 12:00:07.41 ID:r5rsVV/0]

>>18
侵入された時点でおしまいだろうに何言ってんだこいつって感じですかね。

[0022 login:Penguin 2016/07/29(金) 15:11:35.83 ID:2cIkyZpH]

>>21
今の時代は｢侵入された時点でおしまい｣が許されないからこそブラウザとかはseccompやnamespaceを駆使して仮に脆弱性経由で何かコードが実行されても被害を最小限に食い止めるようにsandbox化に力を入れてたりするんだが
そもそもそれが許されるなら、一人で使うデスクトップ用途ではUbuntuみたいなわざわざ｢普段非rootでログインして必要な時だけsu/sudoでrootになって実行する｣
っていう行動にはセキュリティ的には何の意味もない、最初からrootでログインしてそのままエロサイト巡りしても何ら問題ないって事になるのは理解できるか？


もっとも昔はそれでも問題ないレベルだったのでWindowsではAdministratorでのログインがデフォになってたわけだが
そのあたりをきちんと理解しないで｢Unix/LinuxはWindowsよりセキュアなんですーー｣で思考停止してる馬鹿が大多数のせいで今の現状があるわけだ

その間にWindowsは、UACのように権限を得るためにはきちんとそれぞれへの入出力の機密性やコマンド自身の完全性をきちんと確保して｢異アカウント間の分離｣を破壊しないように考慮したり、
ILのように同アカウント内でもきちんとプロセス間を分離して保護(これは>>19の言うように強制アクセス制御で"一部"は解決できる)することでよりセキュアに進化した

一方残念ながら思考停止したUnix/Linuxは、権限を得るために｢何の保護もない環境｣から実行される｢何の保護もされてないsu/sudoコマンド｣に対して｢何の保護もされてない状態でパスワードを入力する事｣状態が放置され、
その一番基本的な｢異アカウント間の分離｣すら無意味になってる体たらく
結果的に｢(sudoが使える非rootユーザーが)侵入された時点で(システム全体が)おしまい｣になってるので、一周回ってお前の言ってることも正解なわけだがな

[0023 login:Penguin 2016/07/29(金) 15:40:50.53 ID:2cIkyZpH]

一応フォローしとくとLinux kernel自体は割ときちんと進化してるな、NXとかASLRとかYamaとかLSMとか

きちんと設定されてなかったり(互換性のせいで出来ない)、ユーザーランドが糞の寄せ集めなせいで台無しだが

[0024 login:Penguin 2016/07/29(金) 16:57:07.30 ID:AresjTJd]

うんそれはご説ごもっともなんだけどさ、ただ危ないぞって騒ぐだけじゃなくて被害に遭った卑近な例とか挙げられないのかな？
卑近なって言ってもあなたの身近な人じゃなくてネットで皆の目に触れるようなブログやフォーラムでいいんだ。
xpが終わる時にデスクトップLinuxがって騒いでから、Linuxといえどのほほんとしてられないってのはみんな思ってることなんだ。
だから知りたいのは、いかに危険か、ではなく、危険なブツに出くわした時にどうすべきか、出くわした人はどう対処したか、なんだよ。
開発に携わった人のブログやコラム見つけて危険だ危険だって焚き付けるのなんて思考停止してもできることだろ？
LinuxユーザーがWindowsは危険だと騒ぐのが思考停止ならWindowsユーザーがLinuxは危険だと騒ぐのもまた思考停止じゃないの？対策を示すとか何かしない限り。
まるで、ゲームのバグを見つけたからプランナーや開発者より自分の方が優秀だって威張ってるデバッガーみたいだよ君は。

[0025 login:Penguin 2016/07/29(金) 17:23:02.18 ID:2cIkyZpH]

>>24
俺みたいなゴミクズには解決する力も政治力もないから2chみたいな掃き溜めでグチってんのよ
Linux好きだから改善してほしいし、もし同じように問題だと感じる人が増えてくれれば改善される可能性も増すしね

そのために敢えて居丈高にLinuxに厳しくWindowsに甘く書いたんだ、ゴメン(´・ω・｀)

[0026 login:Penguin 2016/07/29(金) 17:53:59.24 ID:53ApPnD4]

windowsが仮に安全つうのは
あることするには続きは窓操作も必要だからじゃね？(あるいは暗号のようなパス書かないと辿れないとか)
そういう不便さを有難くセキュリティーが強いというのかどうか

[0027 login:Penguin 2016/07/29(金) 19:36:23.87 ID:IWyIiLvv]

Windowsがセキュリティーを確保しているのは専業のベンダー各社が競争に晒されながら製品を開発しているからであって、Windows自身が特段セキュリティに優れる訳じゃない

[0028 login:Penguin 2016/07/29(金) 21:02:48.88 ID:2cIkyZpH]

https://blog.martin-graesslin.com/blog/2015/11/looking-at-the-security-of-plasmawayland/
KDEの開発の人とかちゃんといまのXやシェルとかの実行環境には問題があることを認めてどうしたら良いか考えてる人もいるんだよなー
でも自分の開発してるソフトウェアだけが対応してもshellとかの他のソフトウェアのせいでそれが無意味になっちゃったりで困ってる

[0029 login:Penguin 2016/07/30(土) 13:47:31.26 ID:m4BHHueF]

強制アクセス制御だけでハッキングを防御できるの？できないの？
それと、強制アクセス制御のステータスってのは何らかのファイルにロギングされんの？

[0030 login:Penguin 2016/07/30(土) 13:54:08.97 ID:m4BHHueF]

Linuxなんてのは宮大工が構築した接ぎ木細工のようなもの。
ノーガードきめこんで運用してたら、そりゃあ狙われた時に簡単にクラッシュしますがな。
（肝心な釘打ち無しで構築してるもんだから）
Windowsの世界ではねセキュリティソフト入れて丸投げしてるわけ。
但し、ユーザーの中には変わり者がいて、ノーガードな奴もいる訳、
まあ、他人ごとでどうなろうが知ったことじゃないが…

[0031 login:Penguin 2016/08/13(土) 02:05:03.68 ID:oD+tGgzq]

LinuxのTCPに脆弱性、トラフィックを乗っ取られる恐れ
http://www.itmedia.co.jp/enterprise/articles/1608/12/news047.html

[0032 login:Penguin 2016/08/13(土) 04:51:41.40 ID:aN9vHd6i]

>>31
すぐ更新されるから慌てなさんな

[0033 login:Penguin 2016/08/13(土) 08:48:05.17 ID:TXBKXjH8]

>>32
2012年からあった脆弱性がすぐに修正されるの？

[0034 login:Penguin 2016/08/13(土) 08:55:27.99 ID:1K0xoI1z]

すでにパッチは出ているぞい

[0035 login:Penguin 2016/08/13(土) 11:19:12.09 ID:UrcrvCqb]

大して重要じゃないと思われてたから放置されてただけで、
修正が難しいわけじゃないのだろう。

[0036 login:Penguin 2016/08/14(日) 13:17:03.39 ID:gduCaAAf]

｢誰も気づかなかったけど2012年からひっそり存在していた物が今発見されてすぐに修正された｣
だろ

[0037 login:Penguin 2016/08/14(日) 14:21:25.00 ID:IM019vfG]

日本の官公庁のサーバのセキュリティってまともなの？

[0038 login:Penguin 2016/08/14(日) 18:52:10.23 ID:fe3iWrgq]

>>37
自分で確認したら？ガバガバだから。ただし、法令違反で引っ張られないように工夫しろよ。
官公庁はWindows serverじゃないの？

[0039 login:Penguin 2016/09/03(土) 02:42:39.64 ID:T3i7Gd65]

アグレックスって　その１３

なんで飲み行かないの？
なんで女の子誘って飲みに行かないの？
声掛けないと飲みいけないのに。
話しないと恋は始まらないよ。
声掛けないとＳＥＸもさせてくれないのに。
声掛けないから、
ヤンキーみたいなオジサンが誘いだして大きなこと言って、不倫してるよ。
女の子誘って飲みにきなよ。
女の子に声掛けないと、恋も出来ないよ。
ＳＥＸしたかったら、声掛けて飲みに行きなよ。
残業してる間に、持っていかれちゃってるよ。
後ろから見たら、がに股になってる女の子見たことない？
ＳＥＸしたかったら、なんでもいいから声掛けて飲みに行きなよ。
残業しても恋はできないよ。ＳＥＸできないよ。
恋をしなけりゃ、ＳＥＸはさせてもらえない。
恋をするには、話して気に入ってもらうしかない。
気に入ってもらうには、飲み行くのが近道だろ。
別に会議で、大きな事言ってもいいけど。
どうせＳＥＸ出来るまで何度も繰り返すんだろうから、
そのうち年配の方々にめんどくさがられて、遠くに飛ばされるよ。
そんなだったら、飲みに行くのが一番だろ。
別にがに股のさせこちゃんを探して、お願いしてみてもいいけど。
ばれたとき、周りの目が厳しいぞ。

お前が呼ばないから、ほらみろ可愛い子はみんなやられて。
　　残っているのはブスばかりになってるじゃないか。
　　ブスはキツイぞ。

誘えないなら、韓国人でも買えよ。みんなそうしてるぞ。

[0040 login:Penguin 2016/09/06(火) 16:46:15.64 ID:vVf8gi4f]

clamAVでは不安だお(´･ω･`)

[0041 login:Penguin 2016/09/06(火) 22:53:44.42 ID:TopTMWtn]

>>40
なんでよ？シスコ様だぞ？

[0042 login:Penguin 2016/09/07(水) 07:09:59.88 ID:O110MSh/]

常駐じゃないと安心できないマン

[0043 login:Penguin 2016/09/13(火) 10:37:58.85 ID:g0CBlyhH]

常駐か駐留か進駐か それが問題である

[0044 login:Penguin 2016/09/17(土) 18:12:13.92 ID:9GLGaOH4]

ｷﾞﾌﾞﾐｰﾁｮｺﾚｰﾄ

[0045 login:Penguin 2016/09/29(木) 12:32:01.60 ID:ZwQJlT8x]

尻|ωﾟ )┻┛身動きとれんのだが・・・

[0046 login:Penguin 2016/09/29(木) 12:44:59.58 ID:5wiRFmuo]

NOTIFY_SOCKET=/run/systemd/notify systemd-notify ""

[0047 login:Penguin 2016/09/29(木) 12:54:29.04 ID:lvJNOdKb]

最強のiptablesの設定をうぷしてくれる神いないの？

[0048 login:Penguin 2016/09/29(木) 20:57:19.24 ID:SWTYFo2r]

firewalldに乗り換えれ

[0049 login:Penguin 2016/10/04(火) 17:05:57.73 ID:ZgAPWl/3]

>>48
乗り換えると最強になるの？

[0050 login:Penguin 2016/10/04(火) 21:10:03.74 ID:MfnjwfuN]

設定が簡単になるから、「設定をうぷしてくれ」とは思わなくなる

[0051 login:Penguin 2016/10/23(日) 10:01:10.29 ID:PWQ2IPcX]

>>50
出て行く通信のフィルタを書くためには
結局IPTABLES書かなきゃいけないのはなおった？
なおったなら乗り換える。

[0052 login:Penguin 2016/11/30(水) 12:37:43.41 ID:SfHGIzEu]

　　 ∧,,,∧
　　 （´・ω・)　＜ おっかのうえひっなげしのはぁながぁぁ 〜
　　 （U　　　)
　　　｀ｕ-ｕ´

[0053 login:Penguin 2017/01/20(金) 17:47:06.69 ID:OITYnSWZ]

　　　　　　＿＿＿
　　　　　 (＼ ∞ ﾉ　　
　　　　　　ヽ)＿ﾉ　　迫る〜パンチ〜〜♪
　　　　　 (=O┬O
　　　　◎-ヽJ┴◎　ｷｷ〜
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣

[0054 login:Penguin 2017/02/01(水) 08:09:39.67 ID:gwo76No6]

　　　　　.γ ⌒ ヾ　
　　　　　（´・ω・`) 　迫る〜ハゲｯ♪　
　　　　　 (=O┬O
　　　　◎-ヽJ┴◎　ｷｷ〜
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣

[0055 login:Penguin 2017/02/13(月) 20:59:43.28 ID:aKHZLuDZ]

顔がでかいなぁ・・・

[0056 login:Penguin 2017/03/08(水) 21:47:52.30 ID:TuQ4x/Y7]

　　　　　　 ∧_∧
　　　　　　.ﾐ,,・_・ﾐ　　　迫る〜ハゲｯ♪　
　　　　　 (=O┬O
　　　　◎-ヽJ┴◎　ｷｷ〜
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣

[0057 login:Penguin 2017/04/19(水) 13:43:38.91 ID:kexeXY6M]

(´・ω・´・ω・ω・｀）知らんがなトリオ

[0058 login:Penguin 2017/04/28(金) 16:59:33.55 ID:ZiXyj8JT]

Linuxの方がWindowsよりもセキュアだっていうのは
過去の話なんすね。それなのに未だにLinuxを
安全って紹介してる所ばかりなのは何でですかね

[0059 login:Penguin 2017/04/30(日) 00:21:15.39 ID:zhwkJ+1u]

Linuxで被害出たという報告は少ないでしょ
Windowsでは散々あるけど

[0060 login:Penguin 2017/04/30(日) 00:36:51.26 ID:3yi8UZQK]

使う奴のスキル/知識レベル次第だから、OSが解決できる問題じゃないよ

[0061 login:Penguin 2017/04/30(日) 14:38:15.54 ID:6nvs6+SR]

んだんだ !

[0062 login:Penguin 2017/04/30(日) 19:21:48.33 ID:K1kIRV9a]

clamとかselinuxとか、皆さん使っていますか？

マシンの使用用途によりけりだとは思いますが、
僕の自宅鯖はfail2banだけです。
有用な物や便利な物があれば教えて欲しいです。

[0063 login:Penguin 2017/05/09(火) 10:29:04.72 ID:6kIUOBHa]

他人のサーバ管理してるけど、
今までosの脆弱性突かれてどうこうてのは
無いなあ

過去10年起きたのは、全てユーザーの問題
クソみたいなパスワード突破されたとか、
ゴミみたいなコードからのインジェクションとかのみ

[0064 login:Penguin 2017/06/16(金) 09:15:27.82 ID:Cv6QgGNP]

今年も夏を乗りきれず逝く小型PCがいるのでしょうね

[0065 login:Penguin 2017/06/16(金) 09:16:10.27 ID:Cv6QgGNP]

誤爆失礼

[0066 login:Penguin 2017/07/03(月) 23:36:13.34 ID:cDHqg+NI]

openssl enc -e -aes256
で暗号化してたファイルが、急に、
openssl enc -d 〜
で開けなくなりました。

ファイルが壊れたかとめちゃくちゃ焦ったけど、
タイムスタンプは去年のまま変化なし。
本家から、1.0.2lを落としてコンパイルした実行ファイルからだと
問題なく開けたからファイルの問題ではない模様。
1.1.0のバグですか？
#確か2ヶ月前ぐらいだとパッケージインストールされている
1.1.0系でも問題なかったはずですが。

linux-mint(ubuntu16.04)です。