「こんな記事が……」に書いた話だけど,続いているね。IT系のニュースには随分いろいろ出ているけど,一般紙にさえこんなのがあった。誤認逮捕という話が出たもんだから,日ごろこういうことに興味のない人たちも気にしてるようで,今日も知人にいろいろ聞かれた。一般の人は逮捕された人たちのことが気になっているようだ。
しかし,まあ,わがブログの場合はそれはおいておいて,PCのセキュリティの話に終始する。
昨日も,2012 年 10 月のセキュリティ情報で予告されたアップデートが出たし,マイクロソフト セキュリティ アドバイザリ (2749655)なんてのもあった。
前にも書いたけど,快適なWebライフのために頑張りまっしょい。
今朝,各新聞のヘッドラインを見ていたら,「2人のPC乗っ取り犯罪予告か…類似ウイルス」という読売の記事が目に入った。
「警察庁によると、サイバー攻撃などでは発信元を特定されないよう、セキュリティーの甘いパソコンをウイルス感染させて中継点にする手口はあるが、パソコンを完全に乗っ取って他人になりすます事例は珍しいという。」という文が入っているのだが,乗っ取られてリモートで弄られる(都合の悪い写真を流された程度だと,実際に仲の悪い知人が本体からやったってこともありうるけど,今回は犯罪予告って話だから,それはないだろう)ってことだよね。リモートオーケーかつパスワード・ファイアーウォール・ウイルス対策などガチャガチャだと,まぁ,そのあたりがいい加減というPCはほかの点でもセキュリティ甘々だろうから,ありうる話だ。
こういう記事を一般紙の紙上で見ると,こういう時代なんだなぁと思う。これだけPCに依存した生活を送っていても,パスワードを設定していないとか,すごーくわかりやすいパスワードのままで使っているとか,いまだにありがちな話だよね。パスワードクラックなんかは悪いことする人たちにはありふれた手法だけど,それでも,パスワードのレベルでクラッキングに要する時間はずいぶん変わる。だから,パスワードを設定することが役に立つし,他人に推測されにくいものにすれば,もっといいわけ。
OSとして,Win Vista以降を使っているなら,うっとうしくてもUACは生かしておいた方がいいと思う。自分がうっとうしさになれてしまえばいいわけだから。
リモートでコードが実行されるなどという脆弱性が発見されてパッチが出たときなどは急いで当てよう。もっとも頻度が高すぎてベンダーの対応が悪く,ゼロディ放置ということもある昨今だけど,一般人はこのあたりの対応で自衛するしかないもの。快適なWebライフのために頑張りまっしょい。
今年も,中秋の名月(9月30日)は見えませんでした。台風17号の余波か厚い雲に隠れていまして。明夜(10月1日)は晴れそうなので,今年も十六夜の月見をしようかなと思っているところです。七夕は,昔の暦通りに行なえば,結構2人の逢瀬を叶えてやれそうな風習ですが,八月十五夜は厳しいですね。なかなか,晴れ上がってくれません。もっとも,晴れると本当に素晴らしい月夜になりますが……
さて,本題の中間報告です。
CentOS6の練習-#8を書く前の時点で,実は手を焼いていたことがあった。その件について「clamdscan,User rootでもPermission deniedが出る。」という表題で,「はじめての自宅サーバ構築」さんのところに質問を書いたが,どなたからも,お返事がなかった。しばらく思案投げ首ののち,SELinuxが足を引っ張っているという可能性に思い至り,
$ sudo setenforce 0
をやって,Permissive かつ User root でclamdscanを走らせてみた。走らせる前に
$ sudo /etc/rc.d/init.d/clamd restart
もやった。ところがこれでも,lstat() failed: Permission denied. ERROR がでる。いい加減お手上げで,あきらめて,Apacheのrpmのビルドに走った。しかし,サーバを走らせるとなれば,ClamAVを避けては通れない。それに,clamscanだけでなくclamdscanも使ってみたい。しかし,ググってみても,Permissive かつ User root でもエラーが出るなどという情報はどうしても探し出せなかった。もう少し分かっているシステムならいざ知らず,これだけ分からないことばかりでは,自力解決を望む方が無理である。
さて,どうするか。
ビルド環境もやっとできたところなのに癪だが,CentOS6.3 Mimimalを再インストールしてみる道を選んだ。何故って,Windowsだって,95を初めて自分用に手に入れたとき,どんだけソフト的に壊して,リカバリを繰り返したもんか。それを思い出して,今回も同じじゃないかと思ったわけ。
で,結果,これがよかった。といっても,この時点でクリアできたのは,「Permissive かつ User root で clamdscan を走らせること」だけだ。
当面の目標は,「Enforcing かつ User clamav で clamdscan を走らせること」なのだが……。[セキュアOS SELinux入門]第6回 最も簡単な設定方法を見つけたので,/var/log/messages を覗いてみたが,ここには,記事に記述されているようなメッセージが全く出ていない。記事の日付が2004/07/13と古いので,これからいろいろ変わっている可能性がある。ググって他のところも読んでみたのだが,この時点では,うまいページが見つからない。自分がよくわからないまま探しているときはよくある話だ。わかるようになると,「なんであのときは見つからなかったの?」というくらい適切なページが見つかるようになるのだが。
しばらくあちこちウロウロしていたが,腹をくくって,SELinux Project に行き,NewUsersのところを見ていたら,The SELinux Notebook – The Foundations (3rd Edition)というのがあるようなので,これを落としてきた。これ,なんと日付が9月2日になっていて,出たばかりみたいだ。14ページに表があって,そこに書いていることを調べてみたら,CentOS6.3では,Old Locationと書かれている方の場所に関係ファイルがある。そこで,The SELinux Notebook – The Foundations(2nd Edition)も落としてきた。落としてからこっち,大分読み齧ってみたんだが,何しろ知らないことばかりを書いてあるものだから,よくわからない。しかし,/var/log/audit/audit.log にまでは,たどり着いた。audit(監査)デーモンがロードされたのちは,こちらにログが吐き出されるらしい。起動直後でも,$ chkconfig –list|grep auditd をやって確認してみるとonになっているから,/var/log/messagesに何もなかったわけだ。
そこで,(1) Enforcing+User clamav,(2) Permissive+User clamav,(3) Enforcing+User root,(4) Permissive+User root の場合について,audit.log を調べてみた。/home/centos で $ clamdscan をやった場合,(1)~(3)においては, lstat() failed: Permission denied. ERROR が出る。(4)の場合のみ,OKになる。ただし,avc: denied が出ているので,Permissiveモードだから通っているだけだと分かる。これについて,新しくポリシーを作ってやればいいらしい。
この辺はまだよく理解できていないので,中間報告としては,ここまでにしておこうと思う(汗)。
投稿アップデート情報 追記(2013/2/2)
9月に入ってから,真面目に泳ぎに行っている。やはり,運動の中では泳ぐのが一番好きだ。帰りは結構山道なのだが,今日は,タヌキを見かけた。真っ暗な中に飛び出してくるとひき殺しそうでドキッとする。向こうも,気を付けてくれなくちゃなぁ。タヌキは割と見るが,キツネはいないのか見たことがない。
ところでだいぶ前に,歩数計(HJ-720IT)の管理ソフトの話(#1,#2)を書いた。うちのブログではよく参照されている方の記事である。で,今度は,血圧計(HEM-1040)の話。
前に,使っていたテルモの血圧計に寿命が来て,買わなくてはねぇと話していたときに,うまい具合に血圧計をもらえることになった。これが,HEM-1040。で,取扱説明書によると,PCで管理ができるようなっている。とすれば,Omron Health Management Software BI-Link(魚拓です)が使えればいいなと思うのは,人情というもの。
早速,試してみようとしたら,今回は手もちのUSBケーブルではコネクタが合わなかった,orz。最終的にBI-Linkが使えなかったら無駄な出費になるなあと思いながらも,純正のHHX-CABLE-USB1を購入。¥2,980。高ッとは思うが,同じ形状のコネクタのケーブルも持っていないし,近くの店にその種のコネクタのケーブルもないしで,形状が同じでもいろいろと独特な技が隠されているといけないので,安全のため純正を取り寄せてもらった。結論から言えば,BI-Linkは使えたので,まあ許すことにしよう。
あとは,インストールして使うだけだが,注意点としては,blood pressure monitorの種類。HEM-1040の場合は,i-Q142。それと,本体には2人分の血圧が記録できるから,どちらの記録を読み込むかの指定を忘れずに行うこと。右図,参照。
ほかには,自分の数値に合わせて,最高血圧の目安(Systolic target),最低血圧の目安(Diastolic target),朝晩の最高血圧の差の制限値なんかを設定すること。
また,HEM-1040本体の表示部分には,朝平均と夜平均のボタンがあるだけだが,ソフトの方は,3つに分かれていて,朝:午前4:00-午前9:59,昼:午前10:00-午後6:59,夜:午後7:00-午前3:59ということらしい。
あっ,そうそう,書き忘れるところだった。BI-Linkのインストールのときに,.NET Framework1.1のインストールを促すダイアログが出るが,これ入れなくていい。入れなかったせいでエラーでも出れば,その時点でインストールしてください。多分1.1はインストールしなくても,大丈夫なはず。
いろいろと問題のある我が健康状態なのだが,不思議と血圧は問題ないのだ(爆)。
追記(2013/2/2):
上にも書いたが,いまどきのWindowsには,大概,.NET Framework1.1より後の互換バージョンが入っているので,BI-Linkのインストールのときに,.NET Framework1.1のインストールを促されても,インストールはしなくてよい。まぁ,.NET Framework関係が一切入っていなければ,ソフトがつかえない旨のメッセージが出るだろうから,その時点で改めて対処すればいいわけだ。
また,現在私は,Omron Health Management Software BI-Link V.1.6をWin7 HP 64bit上で使用しているが,問題なく使えている。
出ましたね。ここ2・3日忙しくて,Zero-Day Season Is Really Not Over Yetを見た後も記事を書き損ねて「ウーム」とか思ってたら,早速出ましたね。
関連するMSの記事としては,以下のようなところですね。
マイクロソフト セキュリティ アドバイザリ (2757760)
マイクロソフト セキュリティ情報 MS12-063 – 緊急
CVE-2012-4969 <<— ここはMSのサイトではない。
「Zero-Day Season Is Really Not Over Yet」を読んでもよくわからなかったのが,正直なところだけど―特に後半は。「リモートでコードが実行される」というのは大変な問題なので,速やかにパッチを当てましょうネ。更新プログラムの履歴に KB2744842 (成功)があれば,既に,システムはパッチされてまーす。
投稿アップデート情報 追記(2013/2/14)
Win用のPHP5.4.7が出たので,アップデート。iniの設定は,「本家のお世話-#28。」と同じ。
PHPのおニューはいつも通り,VC9のTS版を落としてくる。PHP5.4.7(Sep-13 01:18:16UTC),Apache Loungeから5.4.7用のphp handler(php5apache2_4.dll-php-5.4-win32.zipに入っている。)を落として,PHPのフォルダ内にコピーして使う。今回,php.ini-productionは5.4.6からの変更点なし。
追記(2013/2/14):
php5apache2_4.dll でググって来られる方がおられるようなので,追記。 PHP5.4.10 から php5apache2_4.dll も PHP のオフィシャルバイナリに同梱されるようになりました。
何の理由がいろいろかって。それは,リンク切れ。WordPressのプラグインにBroken Link Checkerというのがあって,これがリンク切れを教えてくれる。完全なリンク切ればかりでなく,少し繋がりがおかしいときも教えてくれる。まあ,相手のサーバの負荷が高くてその時だけ繋がらなかったとかいうこともあるのだが。
なかなか優れもののプラグインで,@pagesやToyParkのデータベース不良のときもこれで知った。
今回,juneさん紹介のHDD-SCANについてのリンク切れアラートが,今月初めから一週間ばかり出ていた。結構,お世話になるソフトのサイトだし,どうなってるのかな。引っ越しかなとか思いながら(相手は,秋葉原の会社だ),ちょこちょこ点検していた。
で,やっと表示されるようになったと思ったら,お家騒動のようですな。
相手のお家の事情はさておいて,役に立つソフトを見つけたと思ったときは,そのときすぐに使わない場合でも落としておかないといけないなあと,再認識したのであった(爆)。
ウイルス対策ソフトとして,ウイルスバスタークラウドを使ってきた。使い始めがいつだったかは忘れたが,マカフィーなどを使ったごく初めは除いて,ネットではずっとそれで来たので,10年以上の利用だったと思う。7月31日に契約期限が来たのだが,使用自体は5月初めにやめた。今回は契約を更新する気がなかったし,4月ごろから,更新通知が増えてうざかったからだ。
更新を止めようと思った理由はいろいろあるが,サーバにおけるファイアーウォールとして使いにくかったのも一つだ。これは,主として私の使い方が,トレンドマイクロの仕様を逸脱しているせいで,ウイルスバスターの責任ではない。いろいろと悪評もあるにはあるウイルスバスターだが,ほとんど何も設定しなくても使えるし,それなりにいいソフトではないかと思う。
9月になるとすぐに右図のような「更新のご案内」を受け取った。まぁ,商売熱心だ。企業なんだから,商売熱心なのは結構なことだが,私が,5月に出した「メールでのお問合せ」の返事はついに来ずじまいだった。「今回のライセンス期限後,契約を更新しないので,こちらの登録を取り消させていただきたいのですが,退会の方法の記載がないようです。どのようにすれば,よろしいでしょうか。」という,簡単明瞭なものだったのだが,「契約更新しない奴なんか知らないよ」ということだろうか。日本の企業もそういう時代なんだね。
母体は米企業だから,体質は本体と同じなのかもしれないが,日本生まれ日本育ちの人間としては,「どうして,取引をおやめになるのでしょうか。何か,落ち度がありましたでしょうか。」などという返信が来て,こちらが「そちらの落ち度ではありません」とか答えると,「これまでありがとうございました。また,機会がありましたらよろしくお願いいたします。」なんていうやりとりがあるのが普通だと思っていたのだが,自分が時代において行かれているなと感じた一幕であった。
いつもに比べてアナウンスが遅いなあと思っていたWordPress 3.4.2の日本語版が,本日リリースされた。メンテナンスとセキュリティの関係ということ早速アップデート。
本家はマルチサイトなので,アップデートすると上部に,
「更新していただきありがとうございます ! ネットワークの更新ページへ移動して、すべてのサイトをアップグレードしてください。」
が表示される。リンクをクリックして,
Update Network
に行き,
「You can update all the sites on your network through this page. It works by calling the update script of each site automatically. Hit the link below to update.」
の左下にあるボタンをポチッと。
ついでに,XREAと@pagesも3.4.2にした。XREAは自動でできたが,@pagesは無理。これはやはりアップロードファイルのサイズ制限のせいだと思う。
更新後の動作については,3つとも,特に問題無し。
投稿アップデート情報 追記(8/31) 追記2(9/5) 追記3(2013/6/2)
えっと,ご存知の方はご存じだと思うが,いつも読ませていただいている「セキュリティホール memo」さんとこで,「Zero-Day Season is Not Over Yet」というのが紹介されたのが,26日。「またかよ」とか思っていたら,結構大変になってきているようで,昨日追記が載っていて,一般ユーザもちょっと対処しておいたほうがよさそうなお話。
「猛威を振る Java ゼロデイ攻撃コード」(つまんないことだが,「振う」ではないのと突っ込んだりして ― 爆)とか,「Oracle Java 7の脆弱性を狙った攻撃について」を読んでいただけば,内容はわかると思うが,「Blackhole:パッチのスピードよりも高速」というのを読むと,こういう商売というのも盛んなんだなあと,素人は変に感心したりするのであった。
で,我々一般ユーザとしてはどうしたらよいかということですが,「【ゼロデイ攻撃】JREの未修整の脆弱性を悪用した攻撃発生」を参考にお手当ください。蛇足として書いておくと,JavaとJavaScriptは全く別物です。
追記(8/31):
JREの1.7.0_07が出ました。Update Release Notesによれば,上記のゼロデイ(CVE-2012-4681)に対応したようです。早速,アップデートしました。
プラグインは無効のままです。自分がよく訪ねるサイトで,今のところ特に有効にする必要も感じないので。
追記2(9/5):
追記に書いたように,Java 7 Update 7が出たんだが,「先週公開の「Java 7」パッチは不完全、脆弱性が残る--研究者が指摘」なんだってさ。
いたちごっこもいいところだ。Javaに関して頻度が高いのは認めるが,一ユーザとしては,セキュリティアップデートとリアルタイムプロテクトに努めるしかないのだろうか。ネットなしの生活なんて考えられないしなあ。しかし,「Microsoft Updateと最悪のシナリオ」なんていうのが,一般ユーザについて現実化したらいったいどうなるんだろ。
追記3(2013/6/2):
「computerworld.jp終了です」ということらしくて,「先週公開の「Java 7」パッチは不完全、脆弱性が残る--研究者が指摘」のリンク先がなくなってしまったので,参考のために保存してあった PDF に差し替えた。