Geek-Side

このエントリーをはてなブックマークに追加  

2005/01/05

Gentoo Linux のセキュリティアップデート

セキュリティアップデートをチェックするためのツールとして、Gentoo Linux では glsa-check と言うものがあります。
このツールは、まだ開発途中ではありますが、Gentoo Linuxをサーバー用途で使う 方には、期待のツールです。

Gentoo Linux ではセキュリティホールの情報をGLSA(Gentoo Linux Security Advisories)として、 発信しています。 glsa-check はこのGLSAを基に、システムに影響のあるセキュリティホールを チェックします。

glsa-checkのインストール

glsa-checkはgentoolkitパッケージに含まれます。
root $ emerge gentoolkit
インストールされたgentoolkitのバージョンは0.2.0でした。

glsa-checkの使い方

glsa-checkには主に以下のような使用方法があります。
オプション 使用例 説明
-l 又は --list glsa-check -l GLSA(Gentoo Linux Security Advisories)の内容を
リストアップします。
GLSAはGentoo Linuxに影響するセキュリティ上の不具合
をパッケージごとにまとめたものです。
-t 又は --test glsa-check -t new 影響のあるGLSAを表示する。
-d 又は --dump glsa-check -d 200411-35 指定されたGLSAの詳細情報を表示します。

GLSAのリストアップ

glsa-checkを用いてGLSAの内容をリストアップします。

root $ glsa-check -l
[A] means this GLSA was already applied,
[U] means the system is not affected and
[N] indicates that the system might be affected.
200408-24 [N] Linux Kernel: Multiple information leaks ( sys-kernel/rsbac-dev-sources sys-kernel/alpha-sources sys-kernel/ck-sources ... )
200408-25 [U] MoinMoin: Group ACL bypass ( net-www/moinmoin )
200408-26 [U] zlib: Denial of service vulnerability ( sys-libs/zlib )
200408-27 [U] Gaim: New vulnerabilities ( net-im/gaim )
200409-01 [U] vpopmail: Multiple vulnerabilities ( net-mail/vpopmail )
200409-02 [U] MySQL: Insecure temporary file creation in mysqlhotcopy ( dev-db/mysql )
(以下省略)
上記のようにGLSAがリストアップされます。
また、システムに影響のないものには[U]が、影響があるものには[N]がマークされます。

システムに影響あるGLSAのリストアップ

システムに影響のあるGLSAをリストアップするには -t オプションを指定します。

root $ glsa-check -t new
This system is affected by the following GLSA:
200408-24
200411-25

GLSAの詳細表示

GLSAの詳細を表示するには -d オプションの後に日付番号を指定します。

root $ glsa-check -d 200408-24
     GLSA 200408-24:
Linux Kernel: Multiple information leaks
============================================================================
Synopsis:     Multiple information leaks have been found in the Linux
         kernel, allowing an attacker to obtain sensitive data
         which may be used for further exploitation of the system.
Announced on:   August 25, 2004
Last revised on: August 25, 2004: 01
(以下省略)

glsa-checkの運用

glsa-checkを毎晩cronで実行して、影響のあるGLSAをメールで通知する様に cronを設定します。
/etc/cron.daily/ の下にファイルを作成します。
ファイル名は自由ですが、ここでは glsa.cron というファイルとします。

#!/bin/sh

# Portageツリーを更新します。
/usr/bin/emerge sync > /dev/null

# システムに影響のあるGLSAを調べます。
/usr/bin/glsa-check -l | grep "\[N\]"

このファイルに実行権限を与えます。
root $ chmod +x /etc/cron.daily/glsa.cron

Index
Gentoo Linuxのインストール
Hardened Gentoo のインストール
Gentoo Linux のセキュリティアップデート

このエントリーをはてなブックマークに追加   ツイート