掛け値なしに非常によい本だと思う。
出版は2005年だが、スタンスというか、活動としてのあり方が具体的な作業から見えてくる。いずれにせよこの手の話は日々updateなので。この本をスタート地点に自分なりの監査プロセスを作ってまわし、情報を収集してプロセスを改善し続けないと意味がない。ヤレヤレ。
まあ、個人レベルで運用しているサーバに求められるセキュリティと金銭のやりとりが行われているサーバでは求められるレベルが違いますが。
まずは安易な穴(global側からみてopen portが存在する、fileがupできる、open relay、SQL Injectionが可能)がないことですね。
外からはhttpかssh(22ではない)しか開いていないはずなのでhttpの設定さえただしければ大丈夫なはずだが・・・。vhostでいろいろやっているのでそこが怖いかな。
databaseをつかうwebアプリの投入前には確実にしておきたい。wikiといえどもdatabaseを使うので。databaseを攻略される→権限昇格で終了なので。databaseを攻略できて権限昇格ができる人にはchrootなんて屁みたいなものでしょう。それならこちらが攻撃を検出する能力を上げることに時間を割いたほうが効果的だろう。
所詮、攻撃予算 v.s. 防御予算なのだから。
5万円のものを守るのに50万円の金庫を使う人はいないし、5万円奪うのに50万円つかう馬鹿もいない(そういう観点からは巷の強盗殺人とかはとても理解できない)。
22portに力技攻撃とかならすでにはじいている。もっとも攻撃側のコストも小さい。完全に自動化されているから。凡人が思いつくレベルの自動攻撃は防げていることだね。
攻撃側の予算は、攻撃側が攻撃の結果得る経済利益で決まる。経済利益で動かないであろう、防御を破ることに血筋をあげる古典的ハッカーを防ぐ気はないし、うちのサーバを破ったところで彼の知的好奇心は満たされないだろう。
大体、攻撃予算が5000円もあったらホームセンターに行ってドライバを買ってきて私の住んでいる家の窓を破って物理的にサーバに進入したほうが楽だろう。10万円あったら自分でハード買ったほうが安いし。違法な踏み台がほしい以外はあまりメリットがない。その場合はうちは効率が悪いはずだ。ほかに穴だらけのマシンは一杯ネットにつながっている。
というわけで、結論としては予算5000円未満のアタック from world wideを防げればO.K.
こちらの、のこりの仕事は、いかに低予算で確実にまわすかということ。
定期的なbackupと同時にスキャンスクリプトを実行するのがよいかな。
nstalkとかniktoでスキャンした結果は、バージョン以外大丈夫だったが。バージョンはCentOSをつかっている以上、どうにもならないし、同じ状況のマシンは山盛りあるはずなので。
スキャン残したlogの抜粋。なるほどなぁ~~。
- - "GET /index.cgi?action=topics&viewcat=../../../../../../../../../../../../.
./etc/passwd HTTP/1.1" 302 125 "" "Mozilla/4.0 (compatible)"
- - "GET /WebAPP/index.cgi?action=topics&viewcat=../../../../../../../../../../
../../../etc/passwd HTTP/1.1" 302 125 "" "Mozilla/4.0 (compatible)"
- - "GET /webapp/index.cgi?action=topics&viewcat=../../../../../../../../../../
../../../etc/passwd HTTP/1.1" 302 125 "" "Mozilla/4.0 (compatible)"
- - "GET /breakcal/calendar.cgi HTTP/1.1" 302 125 "" "Mozilla/4.0 (co
投稿
0 件のコメント:
コメントを投稿