Linuxの頻繁なバージョンアップとセキュリティ

Linuxの頻繁なバージョンアップとセキュリティについて教えてください。

Linuxは3か月ごとに新たなバージョンがリリースされると聞きました。
このような場合、セキュリティ対策はどのように
並行してアップデートされるのでしょうか。


ありがとうございます。

No.6 ベストアンサー 回答者： vaidurya 回答日時： 2014/11/02 20:19

Linuxに代表されるオープンソースライセンスのソフトウェア(OSS)は

その特徴に、誰でも再配布ができるというものがあります。

もちろん、OSSにもいくつものライセンスがあり、それに従う必要はありますが
契約書を交わしたりする必要はありませんから、一口にLinuxと言っても
Linuxカーネル自体と、それを内包したいくつものLinux系OSが配布されています。


OSSの本質的な配布は、開発メーリングリストなどに投稿される修正や
開発者による大小のソースコードの変更が、連続的に配布されています。

これは、数種類ある、ソースコード管理システムを介して
インターネット上で、誰でも自由にソースコードを取得できるというものです。


ですから、bashやwgetのようなセキュリティホール発見の報があれば
すみやかに、ソースコードツリーに修正が施されたり
あるいは、有志の開発者が、開発メーリングリストに暫定的の修正パッチを投稿し
これを、メーリングリストに参加している人が、自分で適用してシステムを再構成することもできます。


ただ、実際にそうやっている人は少数派で、多くはLinuxカーネルとしての
三ヶ月ごとの公式リリースを、更新のきっかけとするか

あるいは、Linux系OSの配布元が、再構成して配布する
アップデート版のカーネルパッケージのダウンロードを利用します。

この場合は、配布元が緊急のセキュリティパッチなどを適用して
随時、安全なカーネルを提供できるように心がけられています。

bashやwgetの事例でも、2,3日の間に報道が広まるころには
自動アップデートでパッケージが更新されていたりするものです。
企業のセキュリティ担当者でもなければ、更新の不安に悩まされることは少ないはずです。


Linuxカーネルの全貌を理解することは簡単ではありません。
私も、ほとんどを理解していません。

ただ、Linuxカーネルの運用は
公式のLinuxカーネルのリリースと
それを受けたディストリビューションごとの変更
その流れを超越して、緊急的に行われるセキュリティパッチ適用という
三種類の要素から成立していると考えられます。


たとえばUbuntuのようなディストリビューションでは
Linux系OSとしてのリリース時に、採用するカーネルバージョンを定めます。
そして、そのサポート期間の間に行われる更新において
同バージョンのカーネルが使い続けられます。

ですから、特定バージョンのカーネルでなければ
動作に問題があるようなハードウェアでは
自動アップデートで動かなくなるようなことは通常ありません。

反面、それだけではセキュリティの問題が生じるので
新しく発見されたセキュリティホールに対しては
個別に修正を施して、安全なカーネルとして自動アップデートで提供します。

こういった面倒な仕事を配布元が行なっているおかげで
Linux系OSは運用しやすくなってもいますし
DebianからUbuntuが派生し、UbuntuからMintが派生した場合のように
上流の修正を、下流でとりいれて省力化したり
逆に、下流で行われた作業成果を、上流に戻して協力することもあります。


また、カーネルツリーに含まれるデバイスドライバー群の都合がありますから
Ubuntuのように、通常サポート版と長期サポート版を提供している場合には
長期サポート版が、時代遅れになることを避けるために
たとえば、Ubuntu12.04LTSに、Ubuntu14.04LTS用のカーネルを流用できる制度もあります。

たとえば、2012年には存在しなかったハードウェアのドライバーは
12.04LTSには無い可能性が高いのですが
14.04LTSのカーネルを流用できれば、ドライバーが含まれているような場合があります。


MicrosoftがVista,7,8.1のセキュリティアップデートを
同時進行で継続しているように

Linux系OSでも、カーネルなどのバージョンアップと
それに対してのセキュリティアップデートは
複数系統、同時進行で継続されているわけです。

ただ、WindowsならMicrosoft
OSXならAppleが自社内ですべてまかなう必要があって
やたらと古いOSをサポートし続けることは困難です。

対して、Linux系OSでは、それを複数系統を
いくつもの組織が「自分たちが必要なところだけやれば良い」
「それで、よそでも必要なら自由に流用してくれ」
というOSS特有の文化の元、古いハードウェアを活かしやすい性質をも生み出しているわけです。


もちろん、理論上は、とっくにサポートの切れた古いバージョンのLinux系OSを
独自にセキュリティホールの修正を施しながら、長く使い続けることもできるんですよ。

実際に、半年ごとリリースで長期サポート版も無いFedora8を採用して
それをサポート切れ後も3,4年使い続けた大手SNSの例が報じられたことがあります。

当然、セキュリティ対応は、独自で行なっていたとのことです。
http://it.slashdot.jp/story/12/12/27/0949241

この回答へのお礼

Microsoftのお話からつながりました！

丁寧なご回答どうもありがとうございました。

お礼日時：2014/11/03 14:10

No.5 回答者： don_go 回答日時： 2014/11/02 11:07

＞旧kernelを使用していれば、旧kernelも

＞それを使用しているdistributionも、Win
＞dowsのようにサポート期間が終了するまで
＞はアップグレードの影響を受けずに使用でき
＞ますか。
Linuxで使われている各プログラムは其々別の
開発グループ(Kernelもその内の一つ)の成果
が使われていて、バージョンアップのタイミ
ングも異なっています。
＃そもそも各ディストリビュータのバージョン
＃アップのタイミングも違います。
各ディストリビュータはそれらの中から、どの
時点のバージョンを使うかを取捨選択し、動作
確認した後にユーザーに提供します。
個別の開発グループでバージョンアップが行わ
れても、変更内容がディストリビューションの
互換性等に影響が有るようなら、ディストリビ
ュータでは、そのバージョンは採用せずに次回
以降でのLinuxバージョンでの採用候補とします。

この回答へのお礼

ご回答頂きどうもありがとうございました。

前回頂いたご回答を参考に実践してみます。

お礼日時：2014/11/03 14:13

No.4 回答者： wormhole 回答日時： 2014/11/02 10:43

>・・ということは、もし旧kernelを使用していれば、旧kernelもそれを使用しているdistributionも、Windowsのようにサポート期間が終了するまではアップグレードの影響を受けずに使用できますか。

「Windowsのようにサポート期間が終了するまでは」の「サポート期間」は何のサポート期間の話でしょう？
カーネル？ディストリビューション？
何らかのディストリビューションを使用している限りカーネルのサポート期間を気にする事はないと思いますが。
カーネルの約3ヶ月毎のバージョンアップはWindowsでいえばWindowsUpdateで更新される内容みたいなものですし。
またディストリビューションで使用されてるカーネルは、https://www.kernel.org/ で公開されている(約3ヶ月毎の更新はここで公開されてるものの話)そのままではなくディストリビューション独自の手が入ってる場合もあります。

この回答へのお礼

どうもありがとうございました。

そうですね。そんなに気にすることもないのかもしれませんね。
オープンソースということでちょっと複雑に考えていたのだと思います。

お礼日時：2014/11/03 14:04

No.3 回答者： don_go 回答日時： 2014/11/01 20:03

＞Linuxは3か月ごとに新たなバージョンがリリースされる

最新の技術を積極的に取り込み、その成果
を検証実験する事を目的としているFedora
Linuxでも概ね6ヶ月程度です。
3か月ごとというのは聞いた事がありません。
＃正式配布前のβテスト版ならありそうですが。

サーバー目的として長期の運用を目的とする
CentOSはメンテナンス更新期限が10年程度で
その間年2～4回のマイナーバージョンアップ
が行われます。
Debianの場合は2年程度でバージョンアップ
が行われます。

新バージョンがリリースされた時のインスト
ールは、Windowsと同様にハードディスクを
フォーマットしなおすか空き領域を確保して
新規インストールする場合と、既存システム
設定やデータを残した状態から追加・上書き
インストールする場合とが有ります。
＃バージョンアップで変更部分が多い時には
＃上書きインストールできない事も有ります。

＞セキュリティ対策はどのように並行して
＞アップデートされるのでしょうか。
ネットワークを利用したインストールの場合
には、ディストリビュータ(各Linuxの配布元)
上にある最新版がインストールされます。
CD/DVDを使用したインストールの場合はイン
ストール後にアップデートする事で最新版に
します。

No.2 回答者： wormhole 回答日時： 2014/11/01 19:38

その3ヶ月毎というのはlinuxのカーネルの話では？

この回答への補足

先ほど調べてみましたらそのようです。
・・ということは、もし旧kernelを使用していれば、旧kernelもそれを使用しているdistributionも、Windowsのようにサポート期間が終了するまではアップグレードの影響を受けずに使用できますか。

補足日時：2014/11/02 09:41

No.1 回答者： R2011T 回答日時： 2014/11/01 19:08

アップデートされる都度、セキュリティが強化されます。

カーネルやアプリケーションのバージョンアップ、バグの修正、などなどです。

＞Linuxは3か月ごとに新たなバージョンがリリースされると聞きました。
　アップデートを纏めて、サービスパックの様な形で提供してくれます、
　多分、この事だと思います。
　CentOS 6.0⇒CentOS 6.01⇒CentOS 6.02 の様に枝番が付加されます。

６ヶ月毎にアップグレード版がリリースされる、Linux OSが多いです。
Ubuntu14.04 が2014年４月リリース、Ubuntu14.10 が2014年10月にリリースされました。

サポート期間は９ヶ月、１８ヶ月、３年、５年、その他。

この回答へのお礼

ご回答どうもありがとうございました。

頂いたご回答をもとにディストリビューションについても調べてみました。
インストールして実践してみますね！

お礼日時：2014/11/03 14:09