[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[orca-users:00422] Re: 日医の後方支援策
- To: orca-users@xxxxxxxxxxxxxx
- Subject: [orca-users:00422] Re: 日医の後方支援策
- From: rmc51275_NTserver <rmc51275@xxxxxxxxxxxxxxxxxxxx>
- Date: Tue, 30 Apr 2002 01:15:29 +0900
黒川@Kitakyuushu です。
生越先生は、仰る。です
At 02/04/29 +0900 午後 11:00, you wrote:
「インターネットのサーバ」は、「ユーザからブラックボックス」でした。
でも、完全に市場が破壊されるほど、価格破壊されました。オープンの恐しさ
とはそーゆーものです。
確かに、マクドナルド、吉野屋の牛丼とか、ユニクロ並の効果は、あった。
実際は、こうです。釈迦に説法ですけど。
Windows のクローズドソースに対抗して、Unix のオープンソース化が、
Linux, free BSD, Oracl VMA Unix, SUN Solaris 8 で、次々に起こった。
Sun は、間に合わなくて、大変で、おまけに Windows が、オープン・
ソース化するとか云って牽制してきている。
> 「インターネットのサーバ」は、「ユーザからブラックボックス」でした。
やはり、Sun Sparc 商用 Unix の Solaris 2.5,2.6 (OpenSoucer
化された、8以前の)が、
あまりに高すぎて、難しすぎて、一般ユーザーは、手が届かなかったわけです。
まずは、こんな物は、X (Windows
みたいなもの)を使っても、素養のない物が勉強しても、
巧く使いこなせないわけです。
全ての操作が、文字ですから。MSDOS の化けもん。
( S 社のレセコンも、中身は、Unix ですから、メンテナンスする方は、Unix
Code で、
やっている。F 社の昔の Hope も。)
つまり、「インターネットのサーバ」は、業者に完全に任せる以外に方法がないけど、
もの凄く
高かったのです。
ですから、ブラックボックスです。
安くて、ちょっと勉強すると扱える Windows NT server,2000 は、Security Hole
が、多すぎて、
IIS
を使うと大変危険であった。とても、じゃないけど、インターネットに繋いで、大量
の Ping
をやたらに受けると、Blue Screen がでて、ダウンするわけです。
有名な、Ping of death ですよねー。
そのうち、Code Red, Nimda とかで、相当くたばったわけです。
某国とかの Windows 潰しなんでしょうけど。
Windows は、やたらに危ないぞと言うことになりました。IE も大変に危ない。
それで、商用 Unix じゃなくて、安い PC で動くならば、安いOpen Source Unix の
Linux をと言う選択肢を、やり始めると、旨く行ったわけです。Sun Sparc Solaris
を脇で
使っていた方たちが、Linux を、使えば、全く同じ事が出来るからです。
ところが、俄、 Unix Guru(魔法使い) が、一杯出てきました。Sun Sparc
とか、商用
の Unix
を全く知らない連中が小遣い稼ぎをし始めて、悪貨が良貨を駆逐するわけです。
こうやって、Linux が、普及し始めたんです。
Linux は、source code が、99%は、公開されています。そのコードに誤りが、
結構ある。1% は、絶対にソースコードすら見せない、門外不出品。
そして、 Scurity Hole の見つかり出した、Linux は、どんどん修正版が出てきて、
偉いことになって、どんどん(最初の頃は、毎日)修正版に対応しないと、クラッカー
の踏み台になって、NT server、2000 用のウイルスCode Red, Nimdaを発射する
基地になっていったわけです。攻撃を受けた、Windows NT, 2000 の Web machine
が、ダウンすると、攻撃を仕掛けた、Linux server が、訴えられる訳です。
『貴方の飼っている、犬が、私をかんだので、治療費を請求する。』ようなもんです
よ。
それで、Linux は、今でも、Debian でも、
http://www.debian.org/security/
等で、security hole の報告する。
と、その対応した、コード Module のソースの修正版と、
修正を再コンパイルした物やら、リンカーで、対応した物を次々に修正しないと、
そのままで、常時接続のインターネットに繋ぐと、クラッカーにやられてしまう。
具体的には、不埒な輩であるクラッカーが、やると Linux サーバー内のファイルが、
丸見え。
具体的には、Spam 攻撃を受けると Buffer over flow で、ダウンするんですけど、
セマフォーが、動きまして、再起動すると、Root 権限で、Telnetで、クラッカー
乗っ取られるわけです。クラッカーが、自由自在に Linux Server を、動かすことが
出来る。そして、覗いたり、重要なファイルを、削除できる。
管理用の Sniffing soft である、Port Scan で、インターネットにつながった、
Linux
PC は簡単に見つけられます。 そして、ホテルの各階の部屋のドアをノックしないで、
いきなり開ける。Port 番号 20,21 に鍵の掛かっていないPCを探して、片っ端から開
けるのです。どういうわけだか、インターネットにつながった、Linux PC
は、ドアにカギ
を変え忘れている物が多い。
それで、簡単に入って、悪さをされる。
Windows NT 4.0,5.x(2000,Xp) を攻撃する、前線基地に悪用されるようになる。
そのために、日本では、大学とか、名だたる機関の Linux Web server は、
動かなくなって往生したわけですネー。
実際には、
http://www.debian.org/security/2002/dsa-123
で、Potato が、リモート攻撃を受ける、報告がある。
これは、バージョン 0.129a-2.potato1 では修正されています。
つまり、もう此は、すさまじいばかりに修正を連続する以外になくて、
こんな事は、素人には出来ないメンテナンスです。
今のところ、恐ろしくて、インターネット常時接続には、繋げない。でも継ぎたい。
Linux は、ORCA が、もしも最初から、インターネット常時接続を、きっちりポート
に鍵を掛けて、しかもソフト上で、接続を設定してなければ、
逆に相当のスキルのある方じゃないと、インターネット常時接続をする事は、
出来ない。
従って、Windows NT 4.0(Server),2000(server) よりは、相当安全である。
Red Hut Linux 7.1 (Kernel 2.4.x)以降のようにインストールの最初の段階で、
インターネットの接続設定と、ポートの閉鎖を遣っておけば、まー、安全であって、
間違って、intara net
が、インターネットに接続してしまっても、安全であろうという物です。
ところが、すでに、ORCA の遠隔メンテナンス用にインターネット常時接続をして
いる Cable TV 。此は、大変であることであると言うことです。
ルターとか、相当な Poxisy を、Linux PC 3台とかで、がっちりと、非武装地帯DMZ
を作っておかないと、とても安全ではないわけですネー。
具体的には、日経バイトの2001年6月号の
『予算を掛けないファイアーウオール(防火壁)の作り方。pp84−99』
を、ご覧下さい。
まー、5万円で、debian Linux を、1台作れるとすれば、3台分は、15万円余分に
掛かるわけです。
ですから、一時は、日経バイトは、なんて行っていたかと云えば、
『Linux は、確かに最初は、安いけど、version up を頻回にしないと危険だし、
それを遣って、さらに、防火壁とか、やたらにやって、プロキシーとか遣ると、
おそらくは、Sun Sparc OS Solaris 8.0 よりも高くつくよ。』
Sun Sparc は、Blade 100 が、15万円だから、Linux と、変わらないでしょうとか、
云っていたことがあります。
でも、今は、日経バイトは、Linux ばかりです。
でも、RedHut Linux 7.2 よりも、もっと安全な debian で、行くことにしたので、
もはや後戻りできないから、Internet に今の段階では、繋がない。
繋ぐとすれば、通常回線か、ISDN 回線の64k x 2 まで。
どうしても繋ぐ場合は、debian Linux PC 3台で、非武装地帯を作ってその中で遣る
。
おまけに、今は、物理的な制約を設けて、なんと、情報専用機は、特定の場所で
特定に人に、固定して使わせる。しかも、暗号化する。
と言う、スパイ映画か、米国国防省か、CIA,ホワイトハウスみたいな話になってい
る。
ノートPCは、駄目で、 どうしても使いたいときは、管理 Log
で、何時、誰が、どこで、
どの Ether Net のノードで、どこに対して、何を送発信したかを記録して、情報の漏洩
に完全を期することになっていると。
『別の意味でも、オープンソースは、大変の怖い。』でした。
みんな読んでくれたのであろうカー。