あなたの人生に効く作品がみつかる手書きのカード♪>>

CentOSのセキュリティパッチ適用状況はどのファイルに書かれているのでしょうか。
また、どのようなコマンドを使えばそれを解析できるでしょうか。

各サーバの構成情報を把握するために、定期的にコマンドを実施、セキュリティパッチ適用状況を確認することが目的です。

このQ&Aに関連する最新のQ&A

A 回答 (3件)

rpm -qa


で、とりあえずバージョン番号の一覧は出てくる。

どういったパッチが当てられているのかを見るには、ソースのrpm(src.rpm)の中にあるspecファイルを見るのが一番詳しく見れると思います。

でも、サーバにインストールされたパッケージ全てのパッチを確認するのは、かなり骨の折れる作業だと思いますが…

確か、Redhatのサイトで、ある程度パッチの状況とかは情報として掲載されていたりしますが…

一体、どの程度のことをされたいのでしょうか?
どういった情報さえあれば良いのでしょうか?
セキュリティーパッチであれば、CVE番号とかがわかればOKっていうレベル?
それとも、どういったセキュリティーホールを、どのように埋めたかとか?
    • good
    • 0
この回答へのお礼

ありがとうございます。この方法でやってみます。
バージョン番号の一覧が見られればそれでよいのです。

お礼日時:2012/10/05 12:05

アップデートの状況把握ではダメですか?


(たぶんそれ以上の情報があっても、コンパイルとかできないのではないですか?)

yum check-update

上記コマンドを打てば、アップデートが出ているかどうかを確認できます。
    • good
    • 3
この回答へのお礼

ありがとうございます。

お礼日時:2012/10/05 12:05

Redhatのサイトから同じバージョンのrpmパッケージのリリースノートとかでしょうかねぇ…。



rpmパッケージのChangeLogにも記録されている…とも言えるでしょうか……。
[user@localhost ~]$ LANG=C rpm -q --changelog httpd
* Thu Jun 07 2012 Johnny Hughes <johnny@centos.org> 2.2.3-65.el5.centos
- Roll in CentOS Branding

* Sat May 26 2012 Joe Orton <jorton@redhat.com> - 2.2.3-65
- mod_cache: fix handling of 304 responses (#825210)

* Thu Feb 09 2012 Joe Orton <jorton@redhat.com> - 2.2.3-63.1
- add security fixes for CVE-2012-0053, CVE-2012-0031, CVE-2011-3607 (#787596)
- remove patch for CVE-2011-3638, obviated by fix for CVE-2011-3639

* Thu Jan 05 2012 Joe Orton <jorton@redhat.com> - 2.2.3-63
- revert addition of LDAP nested group support (#546443)

ってな感じで。
CVE-2012-0053とかCVE-2012-0031とかが報告のあったセキュリティホールなどになるでしょう。
# 検索すると出てくると思いますが。

yumで定期的にアップデートかけていれば、最新にはなると思われますが。
# アップデートした結果、設定を修正する必要が出てくるかも知れない…ので気軽にアップデートかけるかどうかは運用方針次第でしょう。
    • good
    • 0
この回答へのお礼

ありがとうございます。

お礼日時:2012/10/05 12:06

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Q起動しているサービスを確認するコマンド

初歩的な質問で恐縮ですが、ご教示いただけますと幸いです。

起動しているサービスを確認するために以下の2つのコマンドを打ってみるのですが、結果(出て来るサービス名)が違います。
このコマンドの違いについてご教示いただけますでしょうか。

(1)service --status-all
(2)chkconfig --list

Aベストアンサー

(1)service --status-all

サービスの現在のステータスを調べるコマンド

(2)chkconfig --list

OSのブート時に自動起動するサービスを調べるコマンド

違いが出るのは、
・ブート後に手動あるいは他のコマンドから起動したサービス
・ブート後に手動あるいは他のコマンドから、あるいはエラーで停止したサービス
・ブート後に実行はされるがすぐに停止して常駐しないサービス (ntpdate とか)

あるいは、(1)ではサービス名が表示されない物もあるので、どのサービスがどんなステータス出力をするのか知っておく必要もありますね。(service network statusとか)

Qレッドハットのバージョン確認方法

自分のサーバで使用しているREDHATのバージョン確認はどうすればいいのでしょうか?

more /etc/issue
とやっても英文しか出てきませんでした。

uname -all
でもカーネルのバージョンは出るのですが、REDHATのバージョンは出ませんでした。

Aベストアンサー

> more /etc/issue
> とやっても英文しか出てきませんでした。

その英文にはRedHatのバージョンは書いてなかったのですか?
書いていなかったとしたら、管理者により編集されている可能性
がありますね。

cat /etc/redhat-release

ではいかがでしょう?
やっぱり英文ですけど。

rpm -q redhat-release

でもいいかも

QCentOSのセキュリティ対策はyumだけでよい?

Linuxの勉強の為、自宅サーバをCentOS4.2で構築し、http:80を公開(後にsshも)したいと思っています。その際のパッケージ管理ですが、基本的にyumをやっておけば良いものなのでしょうか?
それとも、個別のパッケージ毎にアップデートされた時点で、インストールしなおす運用の方が良いのでしょうか?

yumを使ってみて、Windows updateの様にお手軽にパッケージ管理が出来るので、出来ればこれを使いたいと思っています。
でも、Apacheを見るとyum updateしても2.0.52のままで、Apacheサイトを見ると、2.0.55が最新のようです。
しかも、2.0.55ではセキュリティの問題が修正されている様です。

一般的に、自宅サーバ等を構築する場合、どの様に管理されているのでしょうか?是非、教えていただけませんか?よろしくお願いします。

一応、使っているブロードバンドルーター(光電話対応のWBC 110M)で、WANからLANへのアクセスは80番のみとして、NAPT機能で、ローカルアドレスのCentOSの80に飛ばしています。
CentOS4.2では、rikenのサーバに変えて、
# yum -y update
を定期的にするようにしています。
また、CentOSのインストール時に、ファイアウォールを有効にし、httpとsshのみチェックをし、SELinuxをアクティブにしてあります。

Linuxの勉強の為、自宅サーバをCentOS4.2で構築し、http:80を公開(後にsshも)したいと思っています。その際のパッケージ管理ですが、基本的にyumをやっておけば良いものなのでしょうか?
それとも、個別のパッケージ毎にアップデートされた時点で、インストールしなおす運用の方が良いのでしょうか?

yumを使ってみて、Windows updateの様にお手軽にパッケージ管理が出来るので、出来ればこれを使いたいと思っています。
でも、Apacheを見るとyum updateしても2.0.52のままで、Apacheサイトを見ると、2.0.5...続きを読む

Aベストアンサー

一応、昨年までそういう業務の責任者をしてました。

> # yum -y update
> を定期的にするようにしています。
> また、CentOSのインストール時に、ファイアウォールを
> 有効にし、httpとsshのみチェックをし、SELinuxをアク
> ティブにしてあります。

良いと思いますよ。SELinux がアクティブになっているのなら、下手にいじらないで yum を使う方に注力しましょう。yum で提供されるパッケージは CentOS 環境用に調整がなされていますので、他のものと混在させるのは慣れるまでオススメしません。

yum で提供されているソフトは CentOS 独自(というか Red Hat 独自、かな...)のパッチが適応されているケースがあります。これらのパッチが後日本家に取り込まれて... という場合もありますので、本家が常にベストではないのです。

Qpingでポートの指定

pingでIPアドレスを指定して、通信できるかどうかというのは
よく使いますが、pingでポートを指定して応答するかどうかは調べられるのでしょうか?

よろしくお願いします

Aベストアンサー

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含むICMP)ではできません。

FTPの疎通確認であれば、クライアントからサーバに対するTCP/21通信(FTP-CMD)が可能であること(サーバからクライアントへのTCP/21からの応答を含む)+サーバからクライアントに対するTCP/20通信(FTP-DATA)が可能であること(クライアントからサーバへのTCP/21からの応答を含む)が必要でしょう。

監視ソフトによるものであれば、
・クライアントからサーバへのログイン(TCP/21)
・クライアントからサーバへのlsの結果(TCP/20)
で確認すればよいでしょう。

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含む...続きを読む

QRHELのErrataの適用

よろしくお願いします。

先日Redhat Enterprise Linux 6をインストールし、
インターネット経由で、Redhat Networkに登録しました。

現在Redhat Networkのカスタマーポータルの
サブスクリプション(Classic Subscription Management)に
対象のサーバが登録されています。

その後ですが以下のメールが送信されてくるようになりました。

 RHN Errata Alert: Important: kernel security update

この「Errata」というのは、サーバから「yum update」で
ダウンロードし、適用されるものなのでしょうか?。

適用されない場合、一般的にはどのように入手するのでしょうか?。

画像を添付しますが、「エラータの適用」というボタンが何をするかなど、
どうも良くわかっておりません・・。

アドバイスをお願いします。

Aベストアンサー

>この「Errata」というのは、サーバから「yum update」で
>ダウンロードし、適用されるものなのでしょうか?。

適用することができるものです。
実際に適用するかどうかは管理者の判断で決められます。

「エラータの適用」ボタンをおしても単にスケジューリングされるだけなので、管理するホストが多くないのならシステム上からyumコマンドでアップデートした方がわかりやすいと思います。
詳しくは下記ページを参照ください。

https://access.redhat.com/knowledge/docs/ja-JP/Red_Hat_Network_Satellite/5.4/html/Reference_Guide/s1-sm-errata.html

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

Qlinuxのコマンド、yum check-updateについて

タイトルのコマンドを入力すると、画面にリストが表示されます。
その時、一番右の列で2種類の表示があります(baseかupdates)。
この「base」と「updates」の違いは何なのでしょうか。
お教えください。

Aベストアンサー

>ひとつ疑問なんですが、自分のシステムに存在しないパッケージが「base」として表示されていると言う事ですか?

yum check-updateでbaseが表示されるとしたら…
インストール済みのパッケージが「updates」に更新で入り、
その際に依存パッケージが追加されたが、追加された依存パッケージはインストールされていない場合。
ということになるかと思われます。
 baseにあるパッケージAはパッケージBとパッケージCに依存している。
 パッケージAのインストールでパッケージBとパッケージCもインストール済み。
 セキュリティアップデートなどでパッケージAが更新されupdatesに収録。
 その際、今回はアップデートされなかったパッケージDも依存関係に追加された。
 パッケージDはインストールされていない状態なのでbaseから取得してインストール。
と……。
yum updateで実際に適用する際に、依存関係の場合はその旨出力されるかも知れません。

yum installで表示される場合は、単純に元々入っていなかった…ということになる筈ですが。
# この時はbaseとupdatesが入り交じることもあるでしょう。

ちなみに、技術者向けPC -> Linux系OS カテゴリの方が詳しい人も多いかと思われます。

>ひとつ疑問なんですが、自分のシステムに存在しないパッケージが「base」として表示されていると言う事ですか?

yum check-updateでbaseが表示されるとしたら…
インストール済みのパッケージが「updates」に更新で入り、
その際に依存パッケージが追加されたが、追加された依存パッケージはインストールされていない場合。
ということになるかと思われます。
 baseにあるパッケージAはパッケージBとパッケージCに依存している。
 パッケージAのインストールでパッケージBとパッケージCもインストール済...続きを読む

QLinuxのAccessログはどこにあるんでしょうか?

お世話になります。

現在、WindowsとLinuxをイントラネットでつないでて、Sambaを利用してWIndowsからLinuxにアクセスしようとしています。
Windowsからサーバの存在が確認できるところまではいくのですが、それをクリックしてみると、"\\<サーバ名>にアクセスできません。 ~"と表示されてしまいます。
このとき、Linuxのアクセスログを確認したいのですが、/var/logのどのファイルを見ても更新日付が古いので、別の場所にあるのでは?と
思っているのですが、ご存知のかたいないでしょうか?

Aベストアンサー

設定によるので間違ってるかもしれませんが、パッケージでインストールしたsambaなら /var/log/samba/ に入ってませんか?

Qインストールされているプログラムの一覧を見たい。

Windowsでの、「プログラムの追加と削除」などのように、インストールされているプログラムの一覧を見る方法を教えていただきたいです。

Ubuntuを使っています。

よろしくお願いします。

Aベストアンサー

GNOMEメニューのアプリケーションから「追加と削除」
表示:インストール済みのアプリケーション

QLinuxの頻繁なバージョンアップとセキュリティ

Linuxの頻繁なバージョンアップとセキュリティについて教えてください。

Linuxは3か月ごとに新たなバージョンがリリースされると聞きました。
このような場合、セキュリティ対策はどのように
並行してアップデートされるのでしょうか。


ありがとうございます。

Aベストアンサー

Linuxに代表されるオープンソースライセンスのソフトウェア(OSS)は
その特徴に、誰でも再配布ができるというものがあります。

もちろん、OSSにもいくつものライセンスがあり、それに従う必要はありますが
契約書を交わしたりする必要はありませんから、一口にLinuxと言っても
Linuxカーネル自体と、それを内包したいくつものLinux系OSが配布されています。


OSSの本質的な配布は、開発メーリングリストなどに投稿される修正や
開発者による大小のソースコードの変更が、連続的に配布されています。

これは、数種類ある、ソースコード管理システムを介して
インターネット上で、誰でも自由にソースコードを取得できるというものです。


ですから、bashやwgetのようなセキュリティホール発見の報があれば
すみやかに、ソースコードツリーに修正が施されたり
あるいは、有志の開発者が、開発メーリングリストに暫定的の修正パッチを投稿し
これを、メーリングリストに参加している人が、自分で適用してシステムを再構成することもできます。


ただ、実際にそうやっている人は少数派で、多くはLinuxカーネルとしての
三ヶ月ごとの公式リリースを、更新のきっかけとするか

あるいは、Linux系OSの配布元が、再構成して配布する
アップデート版のカーネルパッケージのダウンロードを利用します。

この場合は、配布元が緊急のセキュリティパッチなどを適用して
随時、安全なカーネルを提供できるように心がけられています。

bashやwgetの事例でも、2,3日の間に報道が広まるころには
自動アップデートでパッケージが更新されていたりするものです。
企業のセキュリティ担当者でもなければ、更新の不安に悩まされることは少ないはずです。


Linuxカーネルの全貌を理解することは簡単ではありません。
私も、ほとんどを理解していません。

ただ、Linuxカーネルの運用は
公式のLinuxカーネルのリリースと
それを受けたディストリビューションごとの変更
その流れを超越して、緊急的に行われるセキュリティパッチ適用という
三種類の要素から成立していると考えられます。


たとえばUbuntuのようなディストリビューションでは
Linux系OSとしてのリリース時に、採用するカーネルバージョンを定めます。
そして、そのサポート期間の間に行われる更新において
同バージョンのカーネルが使い続けられます。

ですから、特定バージョンのカーネルでなければ
動作に問題があるようなハードウェアでは
自動アップデートで動かなくなるようなことは通常ありません。

反面、それだけではセキュリティの問題が生じるので
新しく発見されたセキュリティホールに対しては
個別に修正を施して、安全なカーネルとして自動アップデートで提供します。

こういった面倒な仕事を配布元が行なっているおかげで
Linux系OSは運用しやすくなってもいますし
DebianからUbuntuが派生し、UbuntuからMintが派生した場合のように
上流の修正を、下流でとりいれて省力化したり
逆に、下流で行われた作業成果を、上流に戻して協力することもあります。


また、カーネルツリーに含まれるデバイスドライバー群の都合がありますから
Ubuntuのように、通常サポート版と長期サポート版を提供している場合には
長期サポート版が、時代遅れになることを避けるために
たとえば、Ubuntu12.04LTSに、Ubuntu14.04LTS用のカーネルを流用できる制度もあります。

たとえば、2012年には存在しなかったハードウェアのドライバーは
12.04LTSには無い可能性が高いのですが
14.04LTSのカーネルを流用できれば、ドライバーが含まれているような場合があります。


MicrosoftがVista,7,8.1のセキュリティアップデートを
同時進行で継続しているように

Linux系OSでも、カーネルなどのバージョンアップと
それに対してのセキュリティアップデートは
複数系統、同時進行で継続されているわけです。

ただ、WindowsならMicrosoft
OSXならAppleが自社内ですべてまかなう必要があって
やたらと古いOSをサポートし続けることは困難です。

対して、Linux系OSでは、それを複数系統を
いくつもの組織が「自分たちが必要なところだけやれば良い」
「それで、よそでも必要なら自由に流用してくれ」
というOSS特有の文化の元、古いハードウェアを活かしやすい性質をも生み出しているわけです。


もちろん、理論上は、とっくにサポートの切れた古いバージョンのLinux系OSを
独自にセキュリティホールの修正を施しながら、長く使い続けることもできるんですよ。

実際に、半年ごとリリースで長期サポート版も無いFedora8を採用して
それをサポート切れ後も3,4年使い続けた大手SNSの例が報じられたことがあります。

当然、セキュリティ対応は、独自で行なっていたとのことです。
http://it.slashdot.jp/story/12/12/27/0949241

Linuxに代表されるオープンソースライセンスのソフトウェア(OSS)は
その特徴に、誰でも再配布ができるというものがあります。

もちろん、OSSにもいくつものライセンスがあり、それに従う必要はありますが
契約書を交わしたりする必要はありませんから、一口にLinuxと言っても
Linuxカーネル自体と、それを内包したいくつものLinux系OSが配布されています。


OSSの本質的な配布は、開発メーリングリストなどに投稿される修正や
開発者による大小のソースコードの変更が、連続的に配布されています。

これは、数...続きを読む


このQ&Aを見た人がよく見るQ&A

人気Q&Aランキング