第1回、第2回とWebサーバ“Apache”のセキュリティ設定について紹介したが、引き続きApacheのセキュリティ設定について、新たな視点を提供したい。今回は「ユーザーディレクトリが有効」「デフォルトのコンテンツの存在」をキーワードとして、ここに潜む問題を解説させていただく。 ユーザーディレクトリ機能が教える「ヒント」 ユーザーディレクトリ機能とは、Apacheのモジュールの1つである「mod_userdir」を利用した機能である。 皆さんは、Webサイトを巡回しているときに、http://●●.jp/~tsuji/のようなURLを何度も見たことがあるだろう。 このURLをリクエストすると、指定したユーザー(上記の場合はtsujiユーザー)のホームディレクトリにアクセスできるのである。ユーザーディレクトリは、このようにシステム内のユーザーごとのホームディレクトリを、Webで公開・管理する
ストーリー by yoosee 2007年09月03日 11時38分 いっそApache100.0とか表示しとけばいいじゃない 部門より 技術系ブログ「ウノウラボ」に「5分でできるウェブサーバのセキュリティ向上施策」という記事が掲載されて話題になっています。ApacheやOSのバージョンを表示しないようにする方法や、PHPでX-Powered-Byを応答しなくする方法が紹介された記事ですが、コメント欄や260件以上の登録を集めたはてなブックマークでは賛否両論になっています。「セキュリティがみじんも上がっていない」という意見や「セキュリティの甘さが見え見え」という意見がある一方で、隠さないでいると「こんな基本的なこともやっていないサイトと思われるよ」という意見も。そういえば、7月の@ITの記事「たった2行でできるWebサーバ防御の「心理戦」」にも同様のことが書かれていました。セキュリティ会社
横浜で巨大グモを見た (04/18) アルファブロガー・アワード2008について二言いっとくか (12/25) いまさら気づいた (12/21) 931SHのPCメール機能はOP25B (12/03) こっ、この馬鹿者がっ! (11/29) ア・マ・ゾーン! (11/27) monitってさ… (11/20) ウザいアイブラスター広告ふたたび (11/20) 拝啓、古森オサマ義久さま:マケインは「ジョン・シドニー・マケイン3世」と書いてください (11/19) テケノレソバ一丁! (11/14) 「非正規雇用者の父」の二つ名をもつ奥田碩 (11/13) yahotter (11/12) The Economistがライバルか… (11/08) 擁護どころか惚れるだろ (10/28) USBメモリ>SSD (10/28) Windows Home Server評価版を注文するのと「日経Lin
(Last Updated On: )私も何年も前からセミナーではサーバ、モジュールバージョンは隠すようにと言っています。何故こんな事で賛否両論になるのか全く理解できません。犯罪者がどのように攻撃するか?を考えればなぜ隠す必要があるのか理由は明白です。サーバのバージョン情報が詳しく公開されていれば、その情報を使うに決まっています。攻撃に使える情報は全て使わない訳がありません。 最新版を使っているから安全ではない事も明白です。サーバに0day攻撃の脆弱性が発見された場合どの情報を使います?公開または推測できるバージョン情報に決まっています。 フィンガープリンティングでかなりの確率で推測可能、という議論もあるとは思います。しかし、適切に運用/設定されているシステムなら細かいバージョン番号までは推測できない場合が多いと考えられます。 犯罪者が攻撃に利用している、利用する可能性が高いと分かっている
@ITより、バナー情報隠蔽に関する記事。記事の中ではいわゆる根本的対策*1をした上で、保険的対策*2としてバナー隠蔽をした方がよいとしている。 今や常識的な話だと思えるのだが、バージョン隠蔽に関しては昔から議論が分かれることがある。この記事に関してはTarikiさんが反論している。 実際、以前*3あるMLでバナー隠蔽の議論になった。私は記事の筆者と同じ考えで、ある方がバナー隠蔽なんか意味がないとおっしゃっているので、何通か議論をしたことがある。そのときは、バナーをみて攻撃する人やバナー情報を判断して適切なexploitを打ち込んでくるワームの例をあげて説明したが、結局は議論は収束せず平行線のままだった。 そもそも攻撃者やサーバ運用者側の想定が違うのでMLで議論するには、大変だとあきらめたんだが、今になってblogでセキュリティ技術者同士で似たような状態になっているので、ビックリ。 Tari
エントリにすると前後がよくわからんのだけどとりあえず。hiro-tさんとこのエントリのコメント欄に一度は投下したけど長すぎたのでこっちに移した内容。 ここから。 うーん。実際に中国方面でジェノサイド系のツールが配布されてるのとか見ちゃってるしなあ・・・ わかって運用してるぶんには(ちゃんとパッチメンテナンスのサイクルまわして、タイムラグを認識してリスクマネジメントしてるなら)いいんですが、誤魔化しに採用しちゃうのはどうかと。 IPSなどの場合、攻撃パケットのパターンを識別して能動的にブロックしますよね?ソレとバナー遮蔽で見逃してもらえることに期待するってのはちょっと違うような。 大きめのシステムならちゃんとIPS入れるなりリバースプロキシ置いてシステム本体に影響しない部分でブロックできるようにするなり、そっち方面で対処しとくべきなんじゃないかなあ。 そういうふうに考えると、やっぱりバナー遮
http://www.atmarkit.co.jp/fsecurity/rensai/view01/view01.html ちょっとこれはまずそうなので反論をうpっておこう。 サーバのバージョン情報を隠すことはプラスにはならない。むしろマイナスの効果を危惧すべきだ。 大多数の攻撃者はバナーなど見ていない。「思慮深い」攻撃者相手ならバナーを隠しても意味が無い。 むしろバナーを隠すことで「隠さなければならない事情」を想定させるだけ不利になる可能性すらある。 なにより、意味の無い「対策」があたかも「セキュリティ対策」であるかのように語ってしまうと、その意味の無い「対策」で安心してしまいかねない。バナーを隠したところで防げる攻撃など、ほとんどないことを知らなければならない。 攻撃者がサーバ等のデーモンのバージョン情報を見たとき問題になるのは、まず「脆弱なバージョンであることが示されている場合」にな
2006年10月2日(月) ■ 無題 _ 中途採用の新人さんがやってきた。中途組ではいちばん下っ端だったわしよりさらに下ができたぞ:-) _ と、人事部の説明から開放されて姿を見せたところを、すかさず着席もさせずに新規サーバの設置の手伝いにデータセンターに拉致していってみたり。 ■ 米Yahoo!、「Yahoo! Mail」のコード公開へ _ まぢで!? _ ……と思ってよく読んでみたら、なんだ、ソースコードではなく、API の公開だな。つまらん。 ■ 従量制にしたらP2Pは潰れる _ P2P を潰す意図のあるなしは別として、従量制でいいんじゃねーの? 前も書いたけどさ、常時接続の世の中だから今さら時間課金は難しいだろうけど、転送量課金ならケータイのパケット課金が定着してるからそれほど反発もないでしょ。つーか、電気だってガスだって水道だって従量制なわけだし、いくら使ってもお値段いっしょ、と
高い壁を作るだけがセキュリティ対策ではない。攻撃者の心理を考え、彼らに選ばれないシステム作りも大きな効果が望めるのではないだろうか。本連載では視点を変え、攻撃者に選ばれないためにできる、ほんのちょっとした対策を取り上げる。(編集部) 対策をもう一歩進めるための新たな視点を持とう システムは動くだけではなく、セキュリティ対策がなされていなければいけないといわれ始めて久しい。セキュリティという言葉を聞くと、物理的なものだけではなく、ネットワークセキュリティを連想するほどの認知度も得ているのではないだろうか。 個人宅のネットワーク環境にもファイアウォール機能を搭載したルータがあり、PC1台1台にアンチウイルスソフトがインストールされている。いまとなっては珍しくなく、むしろ当たり前とも思えるようになった。 一方、ネットワークに存在する脅威というと、ウイルス、ワーム、ボット、サイトの改ざん、個人情報
2007年7月22日(日) ■ 無題 _ あたまいたい。 _ 休んでるヒマなんかないほど仕事は詰まってるんだが明日までになおるだろうか。 2007年7月23日(月) ■ 無題 _ 3ゾロ。 ■ バージョンを隠してもねぇ _ 出遅れたが たった2行でできるWebサーバ防御の「心理戦」という記事。親切にも はてブから 前にも書いたことにリンクしてくれた人がいたようだけど、そういうわけなのでそっちも参照してくだされ。というか、以下は去年書いたことに対する長い長い蛇足。 _ なぜ多くのサーバソフトウェアはデフォルトで外からバージョン番号が見えるようになっているんだろうか。バージョン番号が見えることにセキュリティ的な問題があるいうのが広く認識された事実なのであれば、デフォルトでバージョンを外にさらすよういなことはしないはずだ。いちおう RFC2616 にはその可能性は言及されていて「設定で変更できる
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
