CentOSのセキュリティ対策はyumだけでよい？

Question

Linuxの勉強の為、自宅サーバをCentOS4.2で構築し、http:80を公開（後にsshも）したいと思っています。その際のパッケージ管理ですが、基本的にyumをやっておけば良いものなのでしょうか？
それとも、個別のパッケージ毎にアップデートされた時点で、インストールしなおす運用の方が良いのでしょうか？

yumを使ってみて、Windows updateの様にお手軽にパッケージ管理が出来るので、出来ればこれを使いたいと思っています。
でも、Apacheを見るとyum updateしても2.0.52のままで、Apacheサイトを見ると、2.0.55が最新のようです。
しかも、2.0.55ではセキュリティの問題が修正されている様です。

一般的に、自宅サーバ等を構築する場合、どの様に管理されているのでしょうか？是非、教えていただけませんか？よろしくお願いします。

一応、使っているブロードバンドルーター（光電話対応のWBC 110M)で、WANからLANへのアクセスは80番のみとして、NAPT機能で、ローカルアドレスのCentOSの80に飛ばしています。
CentOS4.2では、rikenのサーバに変えて、
# yum -y update
を定期的にするようにしています。
また、CentOSのインストール時に、ファイアウォールを有効にし、httpとsshのみチェックをし、SELinuxをアクティブにしてあります。

hetarepyon · Accepted Answer

一応、昨年までそういう業務の責任者をしてました。

> # yum -y update
> を定期的にするようにしています。
> また、CentOSのインストール時に、ファイアウォールを
> 有効にし、httpとsshのみチェックをし、SELinuxをアク
> ティブにしてあります。

良いと思いますよ。SELinux がアクティブになっているのなら、下手にいじらないで yum を使う方に注力しましょう。yum で提供されるパッケージは CentOS 環境用に調整がなされていますので、他のものと混在させるのは慣れるまでオススメしません。

yum で提供されているソフトは CentOS 独自(というか Red Hat 独自、かな...)のパッチが適応されているケースがあります。これらのパッチが後日本家に取り込まれて... という場合もありますので、本家が常にベストではないのです。

zero_sngw · Answer

いやはや、手厳しい回答される経験者の方もいらっしゃるようで。
私も、日本に internet がやってきた頃からそれまでの仕事からいわゆる net 業界に転職して来て現在に至っていますけど、学校や仕事もやめてなんていうのはどうかと思います。
確かに installer などの進化？もあって多数の Linux distribution（派生も含めて）が出回ってきて、その手の本や構築 guide site なんかも多く見ますし、よし！自分も挑戦してみるか的な方も多いですし、また、「なんちゃって管理者」が増えているのも実情でその弊害と言える事象も数多く遭遇すると言う現実もあります。
事実あなたその程度の skill や policy で外に出来の悪い子出さないでよって思ってしまう事もあります。（気も付かないで放置しているような場合）
かと言って、100点満点の子(server)なんていますか？って私は聞きたいですね。（例えその時に100点満点でもその数分後に90点や80点に下がってしまう事だってありえる世界ですから）夜も寝ないで24時間365日目を離さないなんてあり得ませんからね。
私は、外に出す子に対して、その責任と自覚を意識することができれば、そして常に追い求める姿勢があれば少なくとも「なんちゃって管理者」卒業だと思いますよ。
私のserverに対しての基本的な姿勢は「必要最低限」です。余分なコトさせない、余分なトコ開けない、かけもちは最低限させない。
ってかんじです。
私は、個人的には質問者さんの真摯な姿勢も含めてエールを送りたいと思います。
細かな事は他の回答者の方が具体的な事例くださっていますし、他にも多数の管理手法もありますので先人の知恵や知識に学ぶ姿勢を持ち続けてください。
形はどうあれ、open source community に少しでも貢献できる人に育っていただけたらと思います。
そして、常に最善の管理者を目指してがんばってください。

notnot · Answer

#2です。うーん。100%の正解は無いと思います。
賃貸アパートに住んでいるとして、鍵がピッキングに弱いものである場合、大家さんが変えてくれるのを気長に待つか、(大家さんにはことわるにせよ)早急に自分で鍵を交換するか。みたいなもんでしょうか。

例えばroot権限を乗っ取られる脆弱性を持ったソフトを使い続けることに抵抗が無いかどうかですよね。抵抗があるなら面倒でも対処しないといけない。乗っ取られると知らずとはいえ他サイトへの加害者に加担することになるのも考慮しないといけない。

抵抗無く公開サーバーを運営している人もきっと大勢いるんでしょう。ボットにやられているサーバーは全国で数十万台という話もあるし。

さっき書きましたけど、自分でアップデートする他に、そのソフトを一時的に使用をやめるという手もあります。

notnot · Answer

linuxの各ディストリビューションは各ソフトコンポーネントの整合性を確認した上でパッケージされています。yum でアップデートされるより新しいバージョンのソフトを入れるならその確認を自分でする必要があります。もちろん、サーバー公開するならセキュリティーに問題があるとされたソフトはすぐに使用停止ないしアップデートするべきですね。

最初にlinuxの勉強の為とお書きですが、linuxの勉強と自宅サーバー公開は全然リンクしません。一般に公開したいコンテンツがあるならレンタルサーバーが気楽です。

parapara777 · Answer

その程度の認識しかないなら公開サーバは
やめておくべきですね。
内部でとどめておくべきですよ。

公開するならそれなりの責任が発生します。
それこそ学校や仕事をやめて引きこもって
外に出てはいけません。
24時間体勢でサーバを監視するくらいのことを
しないとダメですよ。

>セキュリティ対策はyumだけでよい？
ログ管理くらいどうして思いつかない?
セキュリティーの基本でしょう。

CentOSのセキュリティ対策はyumだけでよい？

一応、昨年までそういう業務の責任者をしてました。

いやはや、手厳しい回答される経験者の方もいらっしゃるようで。

#2です。

linuxの各ディストリビューションは各ソフトコンポーネントの整合性を確認した上でパッケージされています。

その程度の認識しかないなら公開サーバは

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング