• ベストアンサー

CentOSのセキュリティ対策はyumだけでよい?

Linuxの勉強の為、自宅サーバをCentOS4.2で構築し、http:80を公開(後にsshも)したいと思っています。その際のパッケージ管理ですが、基本的にyumをやっておけば良いものなのでしょうか? それとも、個別のパッケージ毎にアップデートされた時点で、インストールしなおす運用の方が良いのでしょうか? yumを使ってみて、Windows updateの様にお手軽にパッケージ管理が出来るので、出来ればこれを使いたいと思っています。 でも、Apacheを見るとyum updateしても2.0.52のままで、Apacheサイトを見ると、2.0.55が最新のようです。 しかも、2.0.55ではセキュリティの問題が修正されている様です。 一般的に、自宅サーバ等を構築する場合、どの様に管理されているのでしょうか?是非、教えていただけませんか?よろしくお願いします。 一応、使っているブロードバンドルーター(光電話対応のWBC 110M)で、WANからLANへのアクセスは80番のみとして、NAPT機能で、ローカルアドレスのCentOSの80に飛ばしています。 CentOS4.2では、rikenのサーバに変えて、 # yum -y update を定期的にするようにしています。 また、CentOSのインストール時に、ファイアウォールを有効にし、httpとsshのみチェックをし、SELinuxをアクティブにしてあります。

質問者が選んだベストアンサー

  • ベストアンサー
回答No.5

一応、昨年までそういう業務の責任者をしてました。 > # yum -y update > を定期的にするようにしています。 > また、CentOSのインストール時に、ファイアウォールを > 有効にし、httpとsshのみチェックをし、SELinuxをアク > ティブにしてあります。 良いと思いますよ。SELinux がアクティブになっているのなら、下手にいじらないで yum を使う方に注力しましょう。yum で提供されるパッケージは CentOS 環境用に調整がなされていますので、他のものと混在させるのは慣れるまでオススメしません。 yum で提供されているソフトは CentOS 独自(というか Red Hat 独自、かな...)のパッチが適応されているケースがあります。これらのパッチが後日本家に取り込まれて... という場合もありますので、本家が常にベストではないのです。

zucchine
質問者

お礼

回答ありがとうございます。 この様な現場の話を聞きたかったのです。

その他の回答 (4)

回答No.4

いやはや、手厳しい回答される経験者の方もいらっしゃるようで。 私も、日本に internet がやってきた頃からそれまでの仕事からいわゆる net 業界に転職して来て現在に至っていますけど、学校や仕事もやめてなんていうのはどうかと思います。 確かに installer などの進化?もあって多数の Linux distribution(派生も含めて)が出回ってきて、その手の本や構築 guide site なんかも多く見ますし、よし!自分も挑戦してみるか的な方も多いですし、また、「なんちゃって管理者」が増えているのも実情でその弊害と言える事象も数多く遭遇すると言う現実もあります。 事実あなたその程度の skill や policy で外に出来の悪い子出さないでよって思ってしまう事もあります。(気も付かないで放置しているような場合) かと言って、100点満点の子(server)なんていますか?って私は聞きたいですね。(例えその時に100点満点でもその数分後に90点や80点に下がってしまう事だってありえる世界ですから)夜も寝ないで24時間365日目を離さないなんてあり得ませんからね。 私は、外に出す子に対して、その責任と自覚を意識することができれば、そして常に追い求める姿勢があれば少なくとも「なんちゃって管理者」卒業だと思いますよ。 私のserverに対しての基本的な姿勢は「必要最低限」です。余分なコトさせない、余分なトコ開けない、かけもちは最低限させない。 ってかんじです。 私は、個人的には質問者さんの真摯な姿勢も含めてエールを送りたいと思います。 細かな事は他の回答者の方が具体的な事例くださっていますし、他にも多数の管理手法もありますので先人の知恵や知識に学ぶ姿勢を持ち続けてください。 形はどうあれ、open source community に少しでも貢献できる人に育っていただけたらと思います。 そして、常に最善の管理者を目指してがんばってください。

zucchine
質問者

お礼

あたたかい回答ありがとうございます。 私は今まさに「なんちゃって管理者」なんだと思います。今後経験をして卒業していくように頑張りたいと思います。 そして、いつか私もコミュニティに貢献していければと思います。 ありがとうございました。

  • notnot
  • ベストアンサー率47% (4835/10236)
回答No.3

#2です。うーん。100%の正解は無いと思います。 賃貸アパートに住んでいるとして、鍵がピッキングに弱いものである場合、大家さんが変えてくれるのを気長に待つか、(大家さんにはことわるにせよ)早急に自分で鍵を交換するか。みたいなもんでしょうか。 例えばroot権限を乗っ取られる脆弱性を持ったソフトを使い続けることに抵抗が無いかどうかですよね。抵抗があるなら面倒でも対処しないといけない。乗っ取られると知らずとはいえ他サイトへの加害者に加担することになるのも考慮しないといけない。 抵抗無く公開サーバーを運営している人もきっと大勢いるんでしょう。ボットにやられているサーバーは全国で数十万台という話もあるし。 さっき書きましたけど、自分でアップデートする他に、そのソフトを一時的に使用をやめるという手もあります。

zucchine
質問者

お礼

理解しやすい回答ありがとうございます。感謝します。 yumで管理するか、自力でアップデートするかは、結局のところ、公開するサーバの重要性や、攻撃にあった場合の被害レベルによるという感じですかね。 (notnotさんの例に例えると)自宅なら、大家さんが変えてくれるのを待ってもいいが、企業のデータセンター等では、直ぐに変えないとまずい。という感じでイメージしました。 でも、インターネットの場合、いつのまにか自分が加害者になってしまうかもしれないので、結局、yumで管理するより、新しいパッチを自分で更新するのがいいのでしょうね。 どちらをやるにしろ、ログの管理をしっかりして、不正に進入する人がいないか確認するのが大切って事なのですね。 ありがとうございました。

  • notnot
  • ベストアンサー率47% (4835/10236)
回答No.2

linuxの各ディストリビューションは各ソフトコンポーネントの整合性を確認した上でパッケージされています。yum でアップデートされるより新しいバージョンのソフトを入れるならその確認を自分でする必要があります。もちろん、サーバー公開するならセキュリティーに問題があるとされたソフトはすぐに使用停止ないしアップデートするべきですね。 最初にlinuxの勉強の為とお書きですが、linuxの勉強と自宅サーバー公開は全然リンクしません。一般に公開したいコンテンツがあるならレンタルサーバーが気楽です。

zucchine
質問者

お礼

回答ありがとうございます。自宅サーバの公開はしないと思います。 正確にはlinuxの勉強とネットワークの勉強中です。いずれ自宅サーバを公開できるスキルを持ちたいと思っています。 今回は、自分のスキルを飛び越えて、(少しの期間)試しに公開してみたい。が、ソフトウェアのバージョン管理は一般的にどうするのだろうか?という所で、質問しました。 ここでお聞きしたいのですが、(公開する/しないは抜きにして)ソフトウェアのセキュリティを保つためには、yumをやるだけではなく、個々のソフトウェアのアップデート情報に注意して、他のパッケージとの整合性を見ながら、個別にインストールする。というのが良いのでしょうか? そうすると、そのソフトウェアはyumは使えなくなると思いますが、当然そういうものですか? すみません、よろしくお願いします。

回答No.1

その程度の認識しかないなら公開サーバは やめておくべきですね。 内部でとどめておくべきですよ。 公開するならそれなりの責任が発生します。 それこそ学校や仕事をやめて引きこもって 外に出てはいけません。 24時間体勢でサーバを監視するくらいのことを しないとダメですよ。 >セキュリティ対策はyumだけでよい? ログ管理くらいどうして思いつかない? セキュリティーの基本でしょう。

zucchine
質問者

お礼

厳しい指摘ありがとうございます。 そうですね、引きこもって監視したいと思います。 ちなみに、、、 公開する/しないは抜きにして、パッケージのセキュリティを保つためには、それぞれのソフトウェアのバージョン管理は、yumは使わず、個々のパッケージのアップデート情報に注意して、他のパッケージとの整合性を見ながら、個別にインストールする。というのが良いのですか?

関連するQ&A

  • yumについて(CentOS)

    CentOSのyumによるアップデートの仕方について教えてください。 #yum list availableや#yum check-updateなどで アップデートすべきパッケージを確認してから # yum update <パッケージ>で指定して ひとつずつupdateするのが良いのでしょうか? もしyum updateやyum update <パッケージ>などで アップデートしたパッケージにより 何かシステムに影響してしまい、取り除きたい場合 #yum remove <パッケージ>していくのが良いのでしょうか? 尚、#yum upgradeはCentOSのバージョンやパッケージなど 全てupdateしてupgradeしてしまうものでしょうか? パッケージの指定はできるのでしょうか? 指定してアンインストールできるのでしょうか? 宜しくお願い致します。

  • CentOS yumについて

    http://ftp.riken.jp/Linux/centos/5/isos/i386/ で"CentOS-5.3-i386-bin-DVD.iso"をインストールし http://centossrv.com/centos5-init.shtml を参照しながらOSをインストールしていますが yum -y install yum-fastestmirror ↑を実行したところ [root@host203 ~]# yum -y install yum-fastestmirror Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile * base: ftp.nara.wide.ad.jp * updates: ftp.nara.wide.ad.jp * addons: ftp.nara.wide.ad.jp * extras: ftp.nara.wide.ad.jp Setting up Install Process Parsing package install arguments Package yum-fastestmirror-1.1.16-13.el5.centos.noarch already installed and latest version Nothing to do [root@host203 ~]# と表示されインストールが出来ません。 別の方法などがございましたら教えていただけないでしょうか? よろしくお願いいたします。

  • CentOS yumアップデート基準

    現在、お客様サーバをCentOS 4.4にて運用しており、定期的にyumでアップデートをかけております。 ご存知の通り、CentOS 4.5がリリースされまして、yum ckeck-updateすると山のようにアップデートのリストが出てきます。できれば現状の4.4のままで運用したいので、CentOS-Base.repoのbaseリポジトリに「enabled=0」を追記して、updateリポジトリのみアップデートをかけたいのですが、そもそもこういう運用は「あり」か「なし」で言うところの、どちらなのでしょうか。 「検証機用意しろ」「バーチャル環境で再現してみろ」という答えが想像できてしまいますが、残念ながら予算的にも工数的にも厳しいといわざるを得ない状況ですので、実運用において「うちはこうしている」という実例が欲しいのです。 いろいろ検索してみたのですが、個別の事例として出てくるのは大抵自宅サーバで「いかにして無理やり上げるか」という観点ばかりでした。 例えば、「ウチは4.3のまま個別のパッケージだけあげてますよ」とかそういう実例があればご教示いただけませんでしょうか。 よろしくお願いいたします。

  • CentOS5,2 / yum-cron を入れられない

    http://centossrv.com/ を参考にしつつ、 CentOS5.2を使って、yum-cron を入れようとしたのですが、以下のように入れられません、 どうすればいいのでしょうか? (別のレポジトリを追加する必要があるのでしょうか?・・・ただその方法は分かりません) なお、CentOS5.3からは、yum-cronが削除されたと、たまたま見かけたのですが、 特に問題ないのでしょうか?あるいは今後どのように対応すべきでしょうか? よろしくお願いします。 [root@centos52 var]# yum install yum-cron Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile * base: www.ftp.ne.jp * updates: www.ftp.ne.jp * addons: www.ftp.ne.jp * extras: www.ftp.ne.jp Setting up Install Process Parsing package install arguments No package yum-cron available. Nothing to do [root@centos52 var]#

  • CentOSのyum updateとup2dateの使い分け

    CentOS4.4を新規インストールしてテストしています。 OS標準の警戒通知ツールとしてup2dateが、またパッケージ管理としては標準でyumが導入されていると思います。 必要なものはアップデートして行く必要あるとと考えているのですが、up2dateとyumコマンド(例えば yum update)の両方を使用していけばいいのでしょうか。それともup2dateは無効にして、yumだけ使い運用していったほうがいいのでしょうか。 経験者のアドバイスをいただけたらと考えています。

  • CentOS7 yumでバージョン指定update

    こんにちは、お世話になります。 CentOS7で、デフォルトでopenssl1.0.1が入っていましたが、 これを1.0.2にアップデートしたいです。 普通にyum updateすると最新バージョンになってしまい、 opensslを必要とするほかのソフトで「対応していないバージョン」という エラーが返されてしまいます。 リポジトリには1.0.2はないようで、 このバージョンのパッケージを落としてきてはいます。 yum update で、ローカルにある特定のバージョンのパッケージを使って アップデートする方法はあるのでしょうか? よろしくお願いいたします、

  • Yumで最新版2.2系Apacheへアップデート

    CentOS 6.4 Apache 2.2.27 の環境を運用しています。 Apacheを2017年4月時点の最新版2.2.32にアップデートしたいと考えています。 できればYumによるインストールをしたいのですが、実施方法をネット上で見つける事ができません。。 Yumでのインストールはできないのでしょうか。

  • rpmからyumに移行する方法をお教えください(CentOS4)

    某レンタルサーバでVPSを利用しております。CentOS4です。 で、そこの会社のサービスに入会させていただいたときに、セットアップの時点で、 Apache,sendmail,php,mysql,etc...はrpmで管理している、と以前お聞きしました。 ですが、yumの方が管理が依存関係などでらくかと思いまして、 rpmからyumに移行(正式な表現ではないかもしれませんが) したいと思っております。 ですが、移行の仕方が分かりません。 そこで、お手数をおかけして恐縮ですが、rpm⇒yumに移行の方法を、お教えねがえませんでしょうか? 以上、よろしくお願いいたします。

  • CentOSのインストール

    CentOS6のインストールを考えています。 セキュリティの観点から、不要なサービスのインストールは 避けたいと思います。 以下のインストールを考えていますが、問題はありますでしょうか?。 1).インストールの種類で「Minimal(最小構成)」を選択しインストール 2).Apacheなど必要なパッケージをyumでインストール よろしくお願いします。

  • CentOS5環境で、MySQL4・PHP4を動かすには?

    現在運用しているサーバ(CentOS4、MySQL4.1.20、PHP4.3.9)を、訳あって引越ししなければならなくなりました。 引越し先はOSが、CentOS5です。互換性等々が心配なため、MySQL4.x・PHP4.x環境にしたいのですが、最も確実に行うにはどうしたらいいでしょうか? これまで、パッケージ管理はyumに任せてきたきたので、ちょっと心配です。 新サーバのMySQLとPHPをyumで削除してから、インストールしたいバージョンのrpmを拾ってインストール・・・だけで問題なく動くでしょうか?