見た目を変える
シスアド:セキュリティ
シスアドの皆さんには、学生が安全に利用できるように、いくつかのセキュリティ関連の注意事項をお願いします。
OSの定期的な更新
LinuxカーネルなどのOSも、定期的にパッチを適用することが重要です。
最近では、CVE-2024-47076他4件がやばいのではと言われたり言われなかったりで界隈がざわざわしてました(結局のところ大丈夫説が濃厚です)。
基本的には、以下のコマンドで更新を行います。
bash
sudo apt update
sudo apt upgradeパッケージ類の更新
インストールされているパッケージ類の更新も大事です。
直近では、OpenSSHのregreSSHionCVE-2024-6387が記憶に新しいところです。
基本的には、以下のコマンドで更新を行います。(上と同じですが、一応)
bash
sudo apt update
sudo apt upgradeライブラリ類の更新
本システムでは、バックエンドではPython(FastAPI)、フロントエンドではVue.jsやそのほか諸々、星の数ほどのライブラリを利用しています。
これらのライブラリも、定期的に更新を行ってください。
少し前ではありますが、Java界隈を騒がせたLog4j(CVE-2021-44228)など、ライブラリのぜい弱性が問題になることもあります。
動向をつかむ方法
自身から情報をつかみに行くこともできますが、自動ツールを使えば楽でしょう。
Githubには、ライブラリ類の依存関係から自動でアラートを出してくれる機能があります。
アラートが出たら、必要に応じて対応を行えばよいでしょう。
とはいうものの毎日チェックしなくてもやられるものではないでしょう。適宜確認し、重要なライブラリに関しては、アラートを無視しないようにしてください。
log4shellのやばさを簡単に...
- 約30文字の文字がログ書き出しのライブラリを通った時点で負け。(例:検索クエリなどをログに書き出す処理があれば詰み)
- ログを出すという基本機能のライブラリのため、別のライブラリがこのライブラリに依存している。どこに問題のlog4jがあるかわからない。
- 約3日間くらいの間、情報が錯綜し
JNDI起因であることぐらいしかまともな情報がなく、対策がわからなかった。
基本的に、PoCをインターネット上に乗せるのは倫理的に御法度とされるのですが、このときは倫理的というよりどこでそのコードが動いてしまうのかわからないから乗せるなと言われていましたね。