きんねこ@金沢です。
# 書いている原稿とも少しかぶるのですが...
> 宮脇です。
>
> KNOPPIXのセキュリティは相当に高いという根拠は以下のようなものです。
何に対するセキュリティか、何をセキュアと考えるか
という点にもよると思いますが、CD ということもあり、
パッケージのアップデート手段が簡単ではない以上、な
んらかの穴から root をとられる事はありうるでしょう。
デフォルトで起動されていないとはいえ、各種のサー
ビスは入っていてユーザーにより起動できます。それら
が穴になる可能性は高いものです。
セルフビルドした環境では、apt-get により、デーモ
ン類は標準で自動起動されるようになります。debconf
時に明示で自動起動を拒否している方は少ないのではな
いでしょうか?
knoppix は、侵入ができてしまえば、メモリ上だけの
操作でも、十分な踏台になる環境です。
一度穴が見つかると、環境の統一性は他に類を見ない
程ですので、自動的に knoppix を探して侵入するクラッ
クツールの構成も簡単ではないかと思われます。
また、knoppix はコンソールからはとても無防備です
し、設備への侵入者が内部からのクラックを実施するた
めの環境としては、こんなに便利なものもありません。
なにせ、ハードはそこにあるものを使えばいいのですか
ら(^^;。
サービスの port 80 化がセキュリティのフレームワ
ークを考え直す状況を生む可能性があるように、knoppix
も規模は小さいもののクラックに対する対処方法を変え
なくてはいけない痛みを伴う変化であると思っています。
# 世界のどこかで Crackppix がきっともう配布されていると思っています。
> しかし、CDROMには感染できませんし、RAM上のファイルなら感染しても、
> 再起動すれば、元に戻っています。
再起動しても、容易に再侵入される環境である事は変
わりません。
また、実際問題として、なんらかの書き込み可能な媒
体なしで knoppix を運用することはないのではないか
と思います。
CD-ROM だからといって安心ということではないです
し、通常より強固であるということでもないと思います。
管理者の油断をさそうような環境こそが最も危険であ
る事は、すでに MS 社が実証してくれています。
クラックに対抗するには、適切な管理と、事後対応基
準の明確化が不可欠であると思います。
# 今はとりあえずハード屋さんですが、元はそっちが本職ですので、
# ややうるさい感じになってしまいますが、knoppix だからといっ
# て安心という考えは捨てた方がいいと思います。
| 