企業の3割のLinuxサーバはウィルスに対して無防備 58
ストーリー by mhatta
クラック対策はともかくウイルス対策はあんまりしないなあ 部門より
クラック対策はともかくウイルス対策はあんまりしないなあ 部門より
3割打者曰く、"Internet Watchの記事によると、トレンドマイクロはLinuxサーバを導入している企業でウィルス対策をしていない企業が3割を超えるという調査結果を発表した(ニュースリリース)。Windowsサーバでのウィルス対策は9割近い企業で導入されているのとは対照的であり、サーバOSとしてLinuxを選ぶ理由の第3位に「セキュリティ」(52.1%)が入っていることを考えると皮肉にも取られかねない(第1・2位は「コスト」(64.4%)、「安定性」(53.4%))。
…とはいうものの、逆に言えば6割以上の企業ではLinuxサーバにウィルス対策がされていると言う事でもある。タレコミ人としてはむしろそちらの方が意外に思われた。/.Jでも過去に「Windows以外はどんなセキュリティソフトを使えばいいの?」でも取り上げられていたが、どういうものが入っているのか興味深い。"
露骨な自社製品の売り込みのFUD (スコア:3, すばらしい洞察)
1988年11月のMorris worm [wikipedia.org]以外に、UNIX 系 OS の世界で、ネットで広まったワームなんて実際にあったっけ?
ウイルスの方にしたって、Windows と違って root (Administrator 相当) で日常作業しているバカは居ないし。つーか、「root で作業してれば、そいつはバカ」と言えるだろう。Linux にウイルスは存在しないとは言わないが、Windows と違って、わざわざアンチウイルスソフトで守ってやらなきゃ使い物にならないほど弱っちょろい OS じゃないだろ。だいたい、アンチウイルスソフトが必要とすれば、メールサーバーとかファイルサーバーみたいに、Windows とやりとりするモノぐらいじゃないか。それも、「Windows のために必要」だけの話で。
こう書くと Windows しか使えない読者が「可能性はゼロじゃないぞ!」「Linux に感染するウイルスだって存在するぞ!」とギャーギャー言ってくるだろうけど、そうじゃなくて、「ウイルスが Linux に対する現実の脅威である」というのを、証拠を示して論じる読者は居るかな?
もちろん、脆弱性のある古いバージョンのサーバープログラムを対策せずに使って侵入されたというのは、ウイルスにやられやすうというのは別問題だ。「Windows でアンチウイルスソフトがあればパッチを当てなくて平気なんだ」という事にはならないのと同様。
OSの違いというより、利用者層の違いでは? (スコア:5, すばらしい洞察)
Windowsほど一般の人の手に触れなかったという事に
支えられているのではないかと思うのです。
実際、OSカーネルの脆弱性、ソフトウェアの脆弱性、
不見識な利用者による脆弱性の3つのレイヤーでの
脆弱性を考えるとき、LinuxはWindowsとは異なった
利用者層が使っていたために助けられたと思うことが
多いのです。
まず、OSカーネルの脆弱性は2003年にDebianのサイトが
侵入され、カーネルの脆弱性により不正に管理者権限を
奪取されたという事件 [debian.org]があったくらいで、
Linuxだから安全というのは幻想に過ぎないでしょう。
逆に、バージョン2.6のバグ増加をAndrewさんが
懸念している現状 [zdnet.com]では、むしろカーネルに
起因する侵入の可能性はあがっていると思うのです。
次に、ソフトウェアの脆弱性を考えると、Symantecの
ウィルス検索でLinuxというキーワードで探す [symantec.com]と
思いの外沢山のウィルスが報告されています。
これは利用者の不見識によるものが多々ありますが、
ソフトウェアの脆弱性をつき侵入するものもあり、
信頼できない実行ファイルを実行していないから
安全ということは必ずしも言えません。実際、これの
中にはLionやSlapperなど、かなり流行ったものも
含まれています。
不見識な利用者による脆弱性は、信頼が無いサイトや
メールメッセージから得た実行ファイルを実行してしまう
という状況を考えています。この状況はたまたま、
Linux用のこの手のバイナリが普及していないだけだと
考えられます。そして、Linuxを一般の人が使うように
なることでこの手法で攻撃が成立しやすくなり、
この危険性は増大していくことでしょう。
実際、利用者にファイルの実行を促すタイプの
ワームであるNetskyは流行っており [ipa.go.jp]、
Linuxが一般の人に普及すれば同様のものがLinux用に
作られるでしょう。
以上の危険性はちゃんと教育された利用者がちゃんと
脆弱性を修正していれば回避できることです。
しかし、そのレベルを保つのはこれまで動いていた
サービスが動かなくなる危険性があったり、
利用者を教育するコストが高くなったりと
難しいでしょう。もっと言えば、そのレベルを
確保するとWindowsでも安全に使えてしまうのでは
ないかと思うのです。
今回は特にLinuxを取り上げましたが、これはLinuxに
限った話ではなく、Mac OS Xでも、FreeBSDでも、
Plan9でも、そのOSが普及すればどのOSにも起きえる
ことだと思います。
それは今までの話であって、これからもそうとは限らないのでは (スコア:3, 参考になる)
今まで比較的安全だったから、これからも、という発想は危険ではないかしら。
誰の目にも明らかな「証拠」が出てきてからでは手遅れだと思うのだが。
個人的にはWindows用と同じ程度の価格で購入できるFreeBSD用のノートンなりウィルスバスターがあれば買います。是非、ラインナップしてほしい。ClamAVでもスキャンできるが、未知のウィルスには対応できないので、パターンマッチング以外の検索能力を持ったアンチウィルスがほしいので・・。
・・・Antivirは現在評価中・・。問題は日本ローカルのウィルス/ワームだよなぁ。
Re:露骨な自社製品の売り込みのFUD (スコア:2, 参考になる)
物事を必要以上に単純化したがるのは知っているよね?
そういう人は、後半の「メンテは必要だけど」なんてのはそもそも
聞いてないから、最初に「Linuxは大丈夫」なんて言ったら、サポー
ト人員を0にされかねないよん。
言うんなら「やるべきことはわかっていて、それはソフトウェアを
買わなくてもできるし、それほど大変な作業でもない」じゃないか
な。
#長いからあんまり格好よくはないけれど、格好良いより適切の方
#が重要だと思うな。技術者の端くれとしては。
Re:露骨な自社製品の売り込みのFUD (スコア:2, 参考になる)
sadmin/IISというのが有りました。
http://www.cert.org/advisories/CA-2001-11.html [cert.org]
日本語ならここの詳細が詳しいかな?
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=ELF_... [trendmicro.co.jp]
こいつはIISを攻撃するためにSolarisに感染します。
UNIX系でも穴が有ればワームに感染する良い例かと。
正しい設定ときちんとした運用していれば侵入だの感染だのはだいたい防げます。
それはWindowsだろうがlinux(UNIX)だろうが同じ事。
ウィルス対策ソフトは保険みたいなもので、設定でも運用でもカバーできない時(ゼロデイとか)に役に立つ(こともある)。
個人的には元記事のLinux系サーバで7割もウィルス対策しているってのが信じられません。
ホントに7割もウィルス対策ソフト入れているのかな?
wrapper設定して有るだけで「ウィルス対策」に含めているんじゃ有るまいな。(間違いじゃないけど)
Re:露骨な自社製品の売り込みのFUD (スコア:1)
Re:露骨な自社製品の売り込みのFUD (スコア:1)
三日風呂に入らなかったら、あなたはすめるまんです。
Re:露骨な自社製品の売り込みのFUD (スコア:0)
「Linux ウィルス」で検索したらこんなん [impress.co.jp]出てきました。
# Linux とは kernel のことで OpenSSL は Linux じゃない
# とか言われそう
トレンドマイクロをLinuxサーバに入れた話 (スコア:3, 参考になる)
それ以来「インストールしてあるけど動いてない」製品になってるトレンドマイクロなわけですが、少しは改善されたんでしょうか。
# 自分のサーバはClamAV使ってます。動いてます(笑)
Re:トレンドマイクロをLinuxサーバに入れた話 (スコア:2, 興味深い)
SEGV = Sig11 Problem (スコア:2, すばらしい洞察)
(参考)The SIG11 problem [linux.or.jp]
Super Souya
なにをもって「ウィルスに無防備」と定義するのかな (スコア:2, すばらしい洞察)
ウィルスを含む、いわゆる"malware"の類がPCやサーバ上で実行されるには、
サーバ上で… (スコア:1, 興味深い)
サーバ上でそんな操作すること自体が少ないと思うのだが。
だからクラック対策はしてもウィルス対策は…ってのは理解できる。
#Windowsサーバだと、サーバ上で「広い食い」する人とかいるのかな?
Re:サーバ上で… (スコア:2, すばらしい洞察)
masashi
Re:サーバ上で… (スコア:2, 参考になる)
ただ、ファイルサーバーなどでは拡大を抑えるために適当なものを入れることぐらいはするかもしれません。
企業で多いのはメールとファイルサーバーのウィルス対策でしょうね。
Windowsサーバだって、運用次第では同じ様なものだと思いますがね。セキュリティホールはアンチウィルスソフトでは対策できないわけですし。
ウイルス対策を導入していないとウイルス対策をしていないことになるの? (スコア:1)
Re:ウイルス対策を導入していないとウイルス対策をしていないことになるの? (スコア:2, すばらしい洞察)
Re:ウイルス対策を導入していないとウイルス対策をしていないことになるの? (スコア:0, 興味深い)
安置ウイルスソフト会社のレポートだから、そういう結論は当然だし、
レポートの調査結果発表の前段落において「Linuxサーバ向けウイルス対策ソフト
「ServerProtect for Linux」の新バージョンを本日5月26日から発売します。」
と書いてあるから露骨に宣伝であり、潜在ニーズを煽り立てる結果ありきであることは予想がつく。
タレコミ人にはそんな想像もつかなかったようだけど、この手の売り込み用レポートや
売り込み営業を相手にしている人間としては「ふーん」って感じ。
安直だなあ。
安置という字には安直という文字が隠されているッ
Re:ウイルス対策を導入していないとウイルス対策をしていないことになるの? (スコア:1)
http://www.symantec.com/region/jp/securitycheck/index.html
では、毎回250個以上のウイルスが発見されるけど報告している。
(ただで使わせて貰っているので、報告している)
ところで、アンチウイルスソフトをインストールしているか?ってサーバーだと外から分かるのか?
新しい穴が報告された際に、他人のサーバーの穴突いて確認でもしているのだろうか?
例えば、バッファーオーバーフローの脆弱性の場合だと、でかいデータを突っ込んでみる?
サーバーが落ちなければ対策済みで、落ちれば未対策?
まさかそんなことはしないだろ。どうやって外から確認するのだろう?今一分からん。
どのwebサーバーソフト使っているか?とかの話ならば
>Server: Apache/1.3.33 (Debian GNU/Linux) mod_perl/1.29
と/.はhttpヘッダーにこう書いているし、多くのサーバーも書いているので簡単に集計出来るってのは解るけど。
ポートオープンだと駄目でステルスにしてある場合だけ対策済みとか?
そんな気がしてならん。
Re:ウイルス対策を導入していないとウイルス対策をしていないことになるの? (スコア:0)
タレコミリンク先のニュースリリースみれば下の方にそのウィルス対策ソフト書いてあるし、
タレコミ文の「タレコミ人としてはむしろそちらの方が意外に思われた。」ってのは皮肉でしょ。
その程度読み取れよ。
アンチウィルス産業ってのはWindows世界の歪みに棲息している (スコア:0)
しかし今時Linuxでメールサーバとか作るならClamAVとamavisd-newで簡単にウィルスチェックが追加出来るんだし、 やらない理由はないと思うけどね。 あまり強調するとアンチウィルス業者は自分で自分の首締めるかもよ?
いやサーバ構築業者の立場にしてみればウィルス対策を入れない理由はあるな。ウィルスは大丈夫かい?と相談されたら待ってましたとばかりに専用のアンチウィルスサーバ売り付けるほうが儲かるからね。
Re:アンチウィルス産業ってのはWindows世界の歪みに棲息している (スコア:5, すばらしい洞察)
施され、ユーザにとってはとても喜ばしい結果になると
期待することができますが、そうなると困るのがアンチ
ウイルスソフトベンダーたちです。
トレンドマイクロはWindowsVistaのリリースによって
減少するのが確実なWindows向けの売り上げの代わりとして
Linuxサーバを狙っているわけです。
トレンドマイクロの製品はサーバ向けでも、そのサーバに
アクセスするクライアントの数によって計算するので
100台がアクセスするサーバなら、100台分のクライアントと
同じくらい稼ぐことができます。
トレンドマイクロの作戦に対し、Symantecのとった作戦は
WindowsVistaリリース前にライセンス料の値上げで一時的に
収益アップし、さらにMSとライセンス契約をしていた
Veritasを買収し、MSがそのライセンス契約に違反している
と訴えてVistaの発売を遅らせようというもの。
表立って口にすることができない本音が「Windowsが
安全になると困る」なんでしょう。
質問だが (スコア:0, フレームのもと)
なんかソース元といい、あおり過ぎじゃね?
Re:質問だが (スコア:2, すばらしい洞察)
「あるんですかね?(ないんじゃね?)」
という考え方をする人は、どんなインスコ方法だろうと知らない間にウイルスに感染してそうに思えますが・・・。
年に1度くらいは有名どころのサーバソフトウェアのサイトが乗っ取られるニュースが流れていると思いますし。
Re:質問だが (スコア:2, 参考になる)
・ウィルスとワームの違い
・セキュリティホールとウィルスと(その他、トロイなどのプログラム)の違いつうか関係
・サーバー自身の(システムに関する)感染と、ファイルサーバーなどのサービス上でユーザーが(widnowsなどから)感染する(保菌者と発病者の違い)
などが、ごちゃごちゃになっている気がする。セキュリティ業者が自社のアンチウィルスソフトを必要と思わせるために、あえて言葉をみんな一緒くたにしているという印象が強いね。
たぶん、スラドで書き込む人は、なんだかんだいってみんな分かっているとは思うのだが、「ウィルス」の言葉をどこまで適応するかが人によって異るので、なんかみんな妙なことを言っているような感じを覚えて、みんなごちゃごちゃ書いてしまう(私もだが)
みなさん良くご存じで、今更だけど、たとえば、実際、linux を端末として使っていて、そのユーザーがメールに添付したウィルスがメーラーの動的スクリプトで実行されて感染しても、Web ブラウザのセキュリティホールをつかれて、感染しても、それは、システム上にsecurity holeがなければ、一ユーザーのアカウントなので対して意味はない(困ると言えば困るが)。所詮は一般ユーザ。home を消せば消える。それで、対策終了は、極論だけど。
とにかく、ウィルスと言うよりは第一にシステムのセキュリティホール対策だよ。
こう言ったことは、日常的なLinuxシステムの管理者ならば、かなり神経使っている問題だと思うが(windows以上にたちが悪いのが山のようにあると思う)、正直アンチウィルスベンダー/ソフトががセキュリティホールを何とかしてくれるわけではない。
無論、ユーザーが持ち込む、感染・保菌するウィルスによりサーバが危険にさらされる頻度は増減するだろうけど、クライアントユースで linux 使用でない限り、あくまでウィルス対策等よりは、サーバシステム上のセキュリティホールを潰すというほうが、より能動的な表現というか、一般的な linux っぽい表現だと思う。
つうか、linux ユーザー/クライアント様が感染するってことは、linux ユーザーの linux 使いとしての使用率からいって考え難いと思うんだが、ようするに Web やら storageやらの各種ネットワークサービスとして裏で機能しているわけでしょ?
クライアントの windows が感染して、バックエンドのサーバーを攻撃というのもあるけど、それは windows 側の問題。
無論、強固な(サーバ)システムで、ユーザ側で感染してもサーバシステムで発病しなくても、でも、ユーザーのクライアント側で(Windows上でなど)発病しちゃって、そのようにクライアント側で蔓延したらサーバシステムで発病していなくても、それは感染と言えるのかも知れないし、ユーザーで発病させない、ウィルスを能動的に駆除するってのもまぁ、たしかに重要だとは思うけどね。
能動的にサーバーのセキュリティホールを突くタイプのウィルス、感染はwindowsとかそこから派生したワームとかいう、widnows/linux 複合型のようなものはあるだろうけど。
ともかく、linux/unix システムでウィルス蔓延っていうのは、使用用途からしていまいち考えにくい。セキュリティホールをワームで突かれて乗っ取られたというのはありそうだけど。ウィルス的な感染経路って基本的に、クライアントユースだから。
linux システムを語るとき、自分=管理者、という発想は捨てるべし。たぶんそこにも、書き込む人の意見の祖語があると思う。
Re:質問だが (スコア:1)
Antinyのような情報漏洩系だと、1ユーザor1プログラムが乗っ取られ
ただけで十分に被害がでかいんじゃない?たとえ、蔓延しなくても。
Re:質問だが (スコア:1)
そういう意味では伝統的な644のマスクでは不十分で, デフォルトで640とかあるいはACLを使うってのが実用的には必要になってきているんでしょうね.
それでも伝統的にシングルユーザ指向でなにかというとAdministrator権限での作業を多用するWindows文化と比べれば, 曲がりなりにもUnix文化を受け継いで一般ユーザで作業することが普通なLinuxでは, 少しは(例えばウィルス検出の容易さなどでは)有利じゃないですかね.
# rootも自分も信じないjail多用派なのでID
Re:質問だが (スコア:2, すばらしい洞察)
論外と書かれていますが、ftp.openbsd.org が侵入されて、openssh のソース
配布イメージに悪意のあるソースコードが入れられていた事件だってあったわ
けで。openssh のような有名ソフトでさえこういう状況ですから、もっと小規
模な配布サイトだったら、侵入されていてしかも誰もきづいてないってことが
あったって不思議じゃありません。
ただ、現時点で、Linux にアンチウィルスソフトの導入が必須かというと、
そうとは思えませんけどね。
Re:質問だが (スコア:1, すばらしい洞察)
ディストリビューション純正のパッケージだけで構築、適時更新している環境はかなり安全かもしれません。
入っているアプリは定期的にチェックしてくれる人がいてセキュリティ勧告等も出してくれる機関があり、問題が報告/修正されることが期待できますからね。
しかしmake install なアプリを入れた環境は、入れた環境の管理者の責任で全てのアプリを検証しつづけなければならんわけでしょう。規模にもよりますが、まともな環境を構築できると考えるのはさすがに無理があるでしょう。
まして、そんな運営をやってしまう人は、セキュリティに関して完璧なまでに無頓着ということですから、その他の面でも穴だらけになってる可能性が高いですね。
Re:質問だが (スコア:1)
* ウェブサイトにクラックコード仕込まれてる可能性がある。
* 各種ネットワークサービスがクラックされる可能性がある。
(例えば、LAN内のWindowsマシンに感染したウィルス/ワームから攻撃されるとか)
#可能性を低くても、0にはならんのじゃないかな。ネットワークに
#つないでいる限りは。その他にはどんな可能性が??
Re:質問だが (スコア:0)
>ウェブサイトにクラックコード仕込まれてる可能性がある。
>各種ネットワークサービスがクラックされる可能性がある。
クラック対策がしてあって、サーバ上でメールを開かなければ、それで足りるじゃん。
クラックされた時点でサーバのチェックするだろうから、特に「ウィルス対策」が必要な場所がない。
Re:質問だが (スコア:1)
クライアントを保護する必要がないと仮定しているような気がする。
Re:質問だが (スコア:0)
で、露見していない問題は存在しないかって言えば、それは存在している訳なのだが。
Re:質問だが (スコア:0)
問題になってから行うのは対応です。
Re:質問だが (スコア:1, 参考になる)
Web サーバが乗っ取られてボット化してワームやら毛虫やら吐きまくる状態と、ファイルサーバに Windows 版ウィルスてんこもりで利用者が安心して利用できない状態は似たようなもんですから、ボット化しないためのクラック対策と、ウィルスを配布しないためのウィルス対策は同列に扱うものだと思いますけどね。Web サーバでもウィルスファイルをアップロードされたりしますから、それに対してもウィルスチェックするソリューションが必要だし。
Re:質問だが (スコア:0)
Re:質問だが (スコア:0)
# make install
こんだけの作業で感染ってこたぁあんまりでしょ
Re:質問だが (スコア:0)
# make install
なら、もう何でもアリでしょう。
大丈夫だと思う根拠がわからん。
Re:質問だが (スコア:0)
>大丈夫だと思う根拠がわからん。
元コメントの
>(tarballにトロイがあるっていうのは論外)
が見えないんでしょうかね。
Re:質問だが (スコア:0)
>(tarballにトロイがあるっていうのは論外)
この考えがすでに論外だと思うぞ、セキュリティを語るなら。
Re:質問だが (スコア:0)
しかもプロンプトが # ってことは root になってることを意味すると思いますし。
いわゆる、届いたメールの添付ファイルをWidnowsのOutlookでそのままクリックして実行するのと同じですよね。
しかも前提が変ですし。
>(tarballにトロイがあるっていうのは論外)
怪しいexeを実行したら危ないか?
(ウイルスに感染してるってのは論外)
っていってるようなもの。
そんなもんでしょ (スコア:0)
がんばってる人でWindowsUpdate+ウイルスチェッカ+FW
ここまでは素人の中にもたまにいる。
でも、Linuxのセキュリティ対策が出来る人が
存在するのは、ほんとーに狭い世界の中だけ。
普通の世の中にはまず存在しない。
Re:そんなもんでしょ (スコア:2, 参考になる)
>WindowsUpdate+ウイルスチェッカ+FW
Linuxでこれ相当のことをやるのは、Linux使ってる人間からすると、
それほど難しいこっちゃないような気がする。
まるで、Linuxを使ってる人間にはスーパーマンと落ちこぼれの2種
類しかいないかのようなことは言わないで欲しいなぁ。自分はスー
パーマンかと問われて素直に「YES」と言える奴はほとんどいないの
だから。
#それはそれでFUDに近いものがあるかと。
Re:そんなもんでしょ (スコア:2, 興味深い)
>それほど難しいこっちゃないような気がする
職業柄、顧客の管理するLinuxサーバを大量に預かってますが、ちゃんと管理できているところは少ないです。
BOTを飼ってるLinuxサーバさえあります。
「Windowsは危険。Linuxは安全」という単純化された誤った布教活動による効果ですね。
サーバを安全に運用することのできないところほどLinuxサーバを入れるだけで安心して、セキュリティには無頓着です。
私が悪意の攻撃者なら、Windowsサーバを狙うよりもLinuxサーバを狙います。
Re:そんなもんでしょ (スコア:1)
#情報提供ありがとうございます。
とすると、各ソフトウェア側にもうちょっとがんばってもらう必要があ
りますね。
#Sambaとか、Ftpdとか、sendmail/qmail/imap/popサーバにウィル
#ススキャンソフトの呼び出しを標準で実装してもらえば、ちったぁ
#ましかなぁ。
Re:そんなもんでしょ (スコア:0)
知ってるなら教えてやればいいのに。カネにならなかったり、かえって怒られたりもするけどさ。
#狙うならOpenBSDがオススメ。
#あいつらOSがデフォルトで安全だと思ってる。
告白します (スコア:0)
> 私が悪意の攻撃者なら、Windowsサーバを狙うよりもLinuxサーバを狙います。
同感です。
私が面倒みてるLinuxサーバは見事にBOTにやられました。Windowsはサーバ・クライアント含めてまだ一度もやられていません。
# Linuxは正直ライセンス費用以外にメリットがないと感じてるのでAC
summary (スコア:0)
Re:そんなもんでしょ (スコア:0)
「Linux 使えてる人間」が少ないって言ってるんでしょうな。
>WindowsUpdate+ウイルスチェッカ+FW
相当のことをやるのが難しくないと思う人がどれだけの割合でいるか。
Windows でも Linux でも、程度の差はあれど本質は同じことであって、
自分が出来ることは人も出来るだろう、と思ってると落とし穴にハマりがちですよ。
# 「なんとなく構築できちゃいましたぁ」ってのが案外多いんだから。
Re:そんなもんでしょ (スコア:0)
落ちこぼれなおいらはGentooで余計なデーモン入れず(抜けない&安全な設定の仕方を知らないので)
なにも考えずにemerge syncとworldしてemerge clamavとbitdefenderすることにしてます。
常時サーバでもないし大丈夫…と思いたい。