2005/01/05

Gentoo Linux のセキュリティアップデート

セキュリティアップデートをチェックするためのツールとして、Gentoo Linux　では glsa-check と言うものがあります。
このツールは、まだ開発途中ではありますが、Gentoo Linuxをサーバー用途で使う方には、期待のツールです。

Gentoo Linux ではセキュリティホールの情報をGLSA(Gentoo Linux Security Advisories)として、発信しています。 glsa-check はこのGLSAを基に、システムに影響のあるセキュリティホールをチェックします。

glsa-checkのインストール

glsa-checkはgentoolkitパッケージに含まれます。

root $ emerge gentoolkit

インストールされたgentoolkitのバージョンは0.2.0でした。

glsa-checkの使い方

glsa-checkには主に以下のような使用方法があります。

オプション	使用例	説明
-l 又は --list	glsa-check -l	GLSA(Gentoo Linux Security Advisories)の内容をリストアップします。 GLSAはGentoo Linuxに影響するセキュリティ上の不具合をパッケージごとにまとめたものです。
-t 又は --test	glsa-check -t new	影響のあるGLSAを表示する。
-d 又は --dump	glsa-check -d 200411-35	指定されたGLSAの詳細情報を表示します。

GLSAのリストアップ

glsa-checkを用いてGLSAの内容をリストアップします。

root $ glsa-check -l
[A] means this GLSA was already applied,
[U] means the system is not affected and
[N] indicates that the system might be affected.
200408-24 [N] Linux Kernel: Multiple information leaks ( sys-kernel/rsbac-dev-sources sys-kernel/alpha-sources sys-kernel/ck-sources ... )
200408-25 [U] MoinMoin: Group ACL bypass ( net-www/moinmoin )
200408-26 [U] zlib: Denial of service vulnerability ( sys-libs/zlib )
200408-27 [U] Gaim: New vulnerabilities ( net-im/gaim )
200409-01 [U] vpopmail: Multiple vulnerabilities ( net-mail/vpopmail )
200409-02 [U] MySQL: Insecure temporary file creation in mysqlhotcopy ( dev-db/mysql )
(以下省略)

上記のようにGLSAがリストアップされます。
また、システムに影響のないものには[U]が、影響があるものには[N]がマークされます。

システムに影響あるGLSAのリストアップ

システムに影響のあるGLSAをリストアップするには -t オプションを指定します。

root $ glsa-check -t new
This system is affected by the following GLSA:
200408-24
200411-25

GLSAの詳細表示

GLSAの詳細を表示するには -d オプションの後に日付番号を指定します。

root $ glsa-check -d 200408-24
　　　　　GLSA 200408-24:
Linux Kernel: Multiple information leaks
============================================================================
Synopsis:　　　　　Multiple information leaks have been found in the Linux
　　　　　　　　　kernel, allowing an attacker to obtain sensitive data
　　　　　　　　　which may be used for further exploitation of the system.
Announced on:　　　August 25, 2004
Last revised on:　August 25, 2004: 01
(以下省略)

glsa-checkの運用

glsa-checkを毎晩cronで実行して、影響のあるGLSAをメールで通知する様に cronを設定します。
/etc/cron.daily/ の下にファイルを作成します。
ファイル名は自由ですが、ここでは glsa.cron というファイルとします。

#!/bin/sh

# Portageツリーを更新します。
/usr/bin/emerge sync > /dev/null

# システムに影響のあるGLSAを調べます。
/usr/bin/glsa-check -l | grep "\[N\]"

このファイルに実行権限を与えます。

root $ chmod +x /etc/cron.daily/glsa.cron

Index

Gentoo Linuxのインストール
Hardened Gentoo のインストール
Gentoo Linux のセキュリティアップデート

ホーム

mailto:webmaster@gside.org