気になるけど

PC関連情報、ビジネス書、IT資格などについて書いていきます。 ただいま不定期更新中です。

PREV | PAGE-SELECT | NEXT

≫ EDIT

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Twitterでつぶやく

| スポンサー広告 | --:-- | comments(-) | trackbacks(-) | TOP↑

≫ EDIT

RHELのセキュリティは厳しい

今やMicorsoftのサーバを導入するより高価なのでは?と言われる事もあるRedHat Enterprise Linuxシリーズ(RHEL)ですが、個人でこのRHELのサブスクリプションを購入している人はほとんどいないと思われるくらい、企業・法人用の色彩が濃いOSと言えます。

Linuxは無料だという認識を持っている方は多いのですが、RHELシリーズはサブスクリプションというものを購入し、RedHatに登録をすれば、さまざまなサポートや、WindowsのMicrosoftUpdateに相当する、up2dateというパッケージ管理コマンドを使い、MSアップデートに相当するセキュリティパッチなどを提供してくれます。

これが、UbuntuやFedoraCoreなどのLinuxOSになると、各々の管理する諸団体が提供するアップデートファイルを無償で適用する形になりますが、全ては自己責任の世界なので、セキュリティパッチなどの適用に失敗しても誰も保障をしてくれません。

その点、RHELはRedHat社がある程度の面倒を見てくれるという事で、企業系で多く導入されておりまして、私のような「なんちゃってSE」が必然的に触れる機会が多くなるのです。

私のLinuxとの付き合いは、RedHat Linux6.x頃からになりますので、10年経たないくらいの付き合いしかないのですが、本格的にいじりだしたのはここ5~6年くらいのにわか管理者でして、本気でいじればいじるほどドツボにはまっていくため、正直申しましてWindowsの方が好きです(爆

最近もRHELシリーズでゴリゴリ構築をしていて、予想通り大ハマリいたしまして、なんでうまく動かないのかと、半分キレながら作業をしていて、「やっぱりWindowsは偉大だ!」なんて事をつぶやきながらも、思うとおりに動くようになると、「やっぱりLinuxは奥が深い!」なんて事を思ってしまう、私にとってあまのじゃくなOSとも言えましょう。

昔のLinuxサーバだと、セキュリティの設定と言ってもhostでしばるとか、パーミッションでファイル制御するとか、TCP wrapperなどで通信の監視をするなどが多かったのですが、最近のLinuxってどれもこれもセキュリティを強化したセキュアなOSと化しており、ファイアウォール+SELinuxという、やっかいなものと付き合っていかなければなりません・・・

SELinux
by Wikipedia

第一人者がやさしく教える新SELinux入門
by ITpro

SELinuxについて語ったら、分厚い1冊の本になってしまうくらい奥が深すぎるので、ここで詳しく述べるのは避けますけど、何と言ったらいいでしょうかね、何をしても言う事をきかないワンパク坊主的な機能という印象がぴったりでして、融通の利かないジャイアンみたいな奴なんです(笑

普段LinuxやUNIXのOSをガリガリ触っているコアな方々にしてみれば、「何を言ってるのだお前?」という感じかもしれませんが、世の中SELinuxに挫折して機能を無理矢理止めている方も多いはずです(私も経験あり)

そもそもセキュリティを強化した製品って、とっつきにくいのが当たり前でして、自分の思うとおりに動かないのは当然くらいの心構えでないとやってられませんが、このSELinuxの「思想」は、最悪侵入者にサーバの権限をのっとられても、その影響を最小のものとする、という事を考えて作られているため、OSの中にいくつも高い壁がそびえたっているイメージが強いです。

chrootなどだと監獄=jailのような表現を使いますけども、侵入されても閉じ込めてしまうような機構を備えているのだから、そんな気難しいOSを設定するのは大変なんですよね・・・

ところが、その高い壁を乗り越え、幾多の困難を越えて設定し終わったその先には、RHELのアプリケーションが問題なく動くという、ばら色の世界(言いすぎ)が待ち受けているのです。

そんな苦難を乗り越えると、確かな「成長」したという実感がわくので、またLinuxをいじくりたくなるのでしょうね。
※それは詳しくなったという勘違いな場合が多いのですが・・・

そんな気難しいRHELとは今後も付き合っていかねばならなく、10月以降Linuxの資格であるLPIC-level2にも挑戦するので、今年の暮れくらいまでLinux祭りになるかもしれませんが、もう少し技術的に詳しくなった方がいいと自分でも思っていますので、なるべく日々さわるようにしています。

もっと個別の設定が簡単になればいいのですがね?

やっぱりWindowsの方が・・・というのはなるべく言わないようにします(笑
Twitterでつぶやく

| Linux・Fedora・Ubuntu | 21:37 | comments:6 | trackbacks:0 | TOP↑

COMMENT

>なあびんさん

確かにそれは思いますね。
1台1台サーバごとガチガチの設定にして、さらにゲートウェイにもファイアウォール、
置いてですからね(笑
そんだけ守れば気が済むのだ?という気にも
なりますよね(笑
でもアプリやプロトコルの脆弱性を突くツール
などが出回ると、SELinuxの監獄機能が最後の
砦になると思うと、必要な気もします・・・

やっぱりセキュリティは性に合わないです(苦笑

| fuminchu | 2009/09/10 21:20 | URL |

ですよね~、、。あとは使い方によるんでしょうけど、
OS自体にファイアーウォールを持たせて、OS自体で
アタックのコントロールをするのはどうなんだろうという気がします。
そこまでサービスするサーバーに仕事させないといけないのかなと。
それだったら、別の専用アプライアンスにまかせて
サーバーOSはサービスの提供をがんばってもらったほうが
いいかなって思ったりもスル・・・(^_^;

SELinuxさわってると、なんか "最後の砦" 的に感覚に襲われて
ちょっと気持ち悪いです(笑

| なあびん | 2009/09/10 17:45 | URL |

>なあびんさん

SELinuxハマりますよね~
アメリカの軍隊で採用されるだけありますよ…
今はGUIでもいじれますので、比較的楽に
設定できそうですが、本当に細かい
カスタマイズが入ると、相当数の設定項目
があるはずなので、気が遠のきます(笑

httpdとかそんな厳しくなくてもいいだろ!
なんて思いますが、SELinuxの設計思想が
アレですからね~

そう、SELinuxはOS全般に関わる事なのでいじると
最悪カーネルまでいってしまいそうな
そんな感じですので、もう少し柔軟に楽に設定
出来るとありがたいですね。

私もついていくのがやっとというか、
既に乗り遅れています((+_+))

| fuminchu | 2009/09/07 20:16 | URL |

私も最初、大ハマリしましたSELinux(爆
サーバー、蹴り飛ばしてやろうかと思いました(^_^;
Enterpriseでも、version 4あたりから見られるようになったでしょうか。
サーバーの都合上、バーチャルドメインを使えないと厳しいので
いつものようにhttpd.confいじってあげてみても、ウンともスンとも
いわず、『はっ!? なんでやねん(汗;』 と思っていろいろ
資料をあさってみたら、SELinuxのセキュリティ制御にふりまわされて
いることが判明。設定したら、ナンのこともなしに動きました(^_^;
セキュリティ強化も理解できますが、SELinuxの設定って、やろうと思えば
かなり自由に詳細に制御ポリシーをかけることができるみたいで
その設定の記述もかなり大変だったのを覚えてます。

いままでは、root権限を与えて一般からexecさせないとか、
FTPなどもchrootさせて・・とかの設定が、個別にできたのですが
SELinuxはシステム全体に影響がでますし、SELinuxのポリシーが
優先適用になるので、できればアプリケーション(もしくはデーモン)ごとに
設定できるようになると、大変ありがたいとインストールするたびに思います(笑

それにしてもOSの業界もどんどんすすんでいて、
正直ついていけてません(沈;

| なあびん | 2009/09/07 14:20 | URL |

>KumaCrowさん

こんちはです(^o^)丿

SELinuxは文字通りセキュリティ面を
強化したLinuxでして、今はこれが
当たり前となります。
WindowsVISTAもそうですが、rootやadmin
の権限が全てではなくなっています。
このために決め細かく設計をしておかないと
後でわけがわからなくなります…((+_+))

ファイアウォール自体はOS付属なので
他の製品はあまり使わないと思います。
実はこのファイアウォールも曲者だったり
するので、わけわからなくなる事もしばしば

なかなかシビレます(苦笑)

| fuminchu | 2009/09/04 12:32 | URL |

fuminchuさん、こんにちは!(・∀・)/ぐもに

いまはSELinuxなんてのが、デフォなんすねー、
へーへー。(´▽`)♪勉強になった

サーバプロセスごとに権限が発生するイメージなのかしら。
root権限が、神権限ではなくなった・・・みたいな。


ファイアウォールは、
どんなソフトのシェアが高いものなのでしょうか?

| KumaCrow | 2009/09/04 06:42 | URL | ≫ EDIT















非公開コメント

TRACKBACK URL

http://kininarukedo.blog84.fc2.com/tb.php/682-a84d5c5c

TRACKBACK

PREV | PAGE-SELECT | NEXT

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。