スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
総合案内当ブログについて
Windowsの目次Linuxの目次Linuxの目次2・ ・自作PC関連の目次Web技術関連の目次
全記事一覧情報サイト新着RSS一覧

Sponsored Link

64ビットLinuxカーネル脆弱性がみつかったらしく。Ksplice Uptrackでチェック。

Linux Daily Topics
2010年9月21日 64ビットLinuxカーネル脆弱性への対処 ─Ksplice CEOからのメッセージ

9月中旬現在,64ビットLinuxカーネルのユーザであれば,等しく攻撃を受ける可能性がある脆弱性「CVE-2010-3081」の存在が明らかになっている。これは,関数compat_alloc_user_space()のサニティチェックが誤っていることに起因するもので,カーネルバージョン2.6.26-rc1から2.6.36-rc4までに存在する。さらにユーザにとっては悪いことに,この脆弱性を攻撃するエクスプロイトコードの存在も確認されているという。


なんだかLinuxにしては珍しい?ちょっと物騒なことになってるみたい。しかも対象カーネルが幅広い。

で、対策はされてるみたいで、チェックツールも出てるみたい。
このチェックツールは導入がひと手間だったのでメモ。

とりあえずこの脆弱性を回避するための対処法を,チェックツールを開発しているKspliceのCEOであるJeff Arnold氏がブログで公開している。同社が公開している「Ksplice Uptrack」という30日トライアル版のツールをダウンロードし,アップデートしてほしいとのこと。


で、リンク先見てみると
CVE-2010-3081

Although it might seem self-serving, I do know of one sure way to fix this vulnerability right away on running production systems, and it doesn’t even require you to reboot: you can (for free) download Ksplice Uptrack and fully update any of the distributions that we support (We support RHEL, CentOS, Debian, Ubuntu, Parallels Virtuozzo Containers, OpenVZ, and CloudLinux. For high profile updates like this one, Ksplice optionally makes available an update for your distribution before your distribution officially releases a new kernel). We provide a free 30-day trial of Ksplice Uptrack on our website, and you can use this free trial to protect your systems, even if you cannot arrange to reboot anytime soon. It’s the best that we can do to help in this situation, and I hope that it’s useful to you.


Ksplice Uptrack ってのの30日試用版をDLしてUpdateをチェックしてやればいいらしい。
サポートもRHEL, CentOS, Debian, Ubuntu, Parallels Virtuozzo Containers, OpenVZ, and CloudLinuxと、メジャーどころは大体いけてるのか?

http://www.ksplice.com/signup
ここから。めんどいことにユーザーネーム、パスワード、メールの登録が必要だけど。
まぁ、実名なんか入れる必要はございませんでした。ただ、入力したメールアドレスにパスワードが送られてくるので、これが必要。AVGだかAvast!だかと同じような感じね。
で、まぁ、必要項目を入力していくと、メールが届くので、そこにアクセスキーとURLが付いてるので、そのURLへと。
そこの下の方にInstallation instructionsってのがあって、これがインストールガイド。Ksplice Uptrack status
Installation instructionsここでデストリビューションごとに。
Ubuntu10.04では

To enable the Ksplice software repository and install Ksplice
Uptrack, create /etc/apt/sources.list.d/ksplice.list with
the following contents:

↓のリポジトリを追加
deb http://www.ksplice.com/apt lucid ksplice
deb-src http://www.ksplice.com/apt lucid ksplice

Then run the following commands as root:
rootで下のコマンド実行。まぁ、sudoつければいいだけ。
aptitude install ca-certificates
wget -N https://www.ksplice.com/apt/ksplice-archive.asc
apt-key add ksplice-archive.asc
aptitude update
aptitude install uptrack

You will be prompted for your access key. Once you've entered it,
please run the following command as root to bring your kernel up to
date:
ここ、インストール途中でアクセスキーを聞かれるので、メールで送られてきたのを入力。
で、実行。これもsudoが必要。
uptrack-upgrade -y


ちなみにキー入力ミスると(というかミスったんだが)実行時にエラーメッセージが出る。

Could not connect to the Ksplice Uptrack server with your access key.
Please check that the key in /etc/uptrack/uptrack.conf is valid.


なんのこたーない、/etc/uptrack/uptrack.confに保存されてるだけなので、$ sudo gedit /etc/uptrack/uptrack.confでもして、ここを書き換えてやればおっけー。

で、実行結果

$ sudo uptrack-upgrade -y
Nothing to be done.
Your kernel is fully up to date.


これはおっけーということ?と、ちと意味が分からなかったんだけど、ココ見てやっと理解。
Using Ksplice Uptrack

uptrack-upgrade
Bring your system up to date by installing the latest available updates.
uptrack-remove id
Removes the update with ID id. If invoked with --all, removes all installed updates.
uptrack-install id
Installs the update with ID id.
uptrack-show
Show a list of the updates that are currently installed.


下の方にGUI起動のSSもあるんだけど、GUI起動の仕方はよくわからんかった。

$ sudo uptrack-show
Installed updates:
None


とまぁ、今あるUpdateをチェック、さらにインストールしてくれるというだけのこと。
つまり、俺の環境での実行結果は、「全てのアップデータが適用されてて、もう入れるものはないよ。」と言ってくれてるわけだ。たぶん。

ソースコードレベルのパッチはリリースされているが,Red Hatを含むほとんどのメジャーなLinuxベンダはアップデートカーネルの作業にかかっている最中で,いまだ危険性は高い。


というわけなので、このパッチがちゃんと入ってるかどうかをチェックしてくれてるってことね。
該当の脆弱性はCVE-2010-3081とのことなので、これが表示されなきゃひとまずは安心していいんじゃないかな?たぶん。

しかし、Linuxでエクスプロイトコードまで出回ってるのって結構珍しいような気が。
そしてまさかKsplice Uptrackの宣伝なんじゃないかと疑ってしまっているオレガイル・・・
まぁ、何事もなくてとりあえずは一安心、っと。

関連記事
rootkit検出ツールでセキュリティチェック ~chkrootkit・rkhunter~
FireStarterでUbuntuのFirewallを細かく設定してみる
AVG for Linux ってどーよ?
じゃあAvast!for Linuxはどうよ?
F-prot for Linuxはどう?
スポンサーサイト
総合案内当ブログについて
Windowsの目次Linuxの目次Linuxの目次2・ ・自作PC関連の目次Web技術関連の目次
全記事一覧情報サイト新着RSS一覧

Sponsored Link

F-prot for Linuxはどう?

Linux用のウイルス対策ソフトっていうと、まっさきにClamAVが上がるんだけど、これがどうも最近(いや、Lucidになった頃からか?)不調。
誤検出が多いのはまぁ、今までもそうだったんだけど、スキャン中にフリーズとかちょっとキツイのよね。
し・か・し。x64ではAVGもAvastも動かないのです。。。
まぁ、実際Ubuntu使っててウイルス感染ってことは非常に少なくて、今までそれらしきものには出くわしたことがないんだけど、一応x64でも動く選択肢として、F-prot。前にちらっと触れたけど、まともに記事にしてなかったし。

これ、今のところ結構快調。コマンドライン動作なので、操作が若干面倒ではあるんだけど、スキャン中も大して重くならないし、誤検出は割と少ないし、スキャン中にフリーズとかないしね。

どうやら6.0系になってからx64対応したみたい??
http://www.f-prot.com/download/ReleaseNotesLinux.txt

6.0.1:

- Now released for Solaris (sparc 32 bit, intel 32 and 64 bit) and Linux
64 bit in addition to the Linux 32 bit version.


さて、実際の導入。DLはここから。
http://www.f-prot.com/download/home_user/download_fplinux.html
tar.gzなのでこれを解凍。
端末からだと
$ wget http://files.f-prot.com/files/unix-trial/fp-Linux-i686-ws.tar.gz
$ tar -xvzf fp-Linux-i686-ws.tar.gz

で、f-protってフォルダができてるのでここに移動してinstall-f-prot.plを実行。
いくつか質問があるけど、とりあえずEnterでおk。

$ ./install-f-prot.pl


(c) FRISK Software International

http://www.f-prot.com/

You are about to install F-Prot Antivirus for Linux Workstations
on a Debian Linux 2.6.32 running on x86_64 into the '/home/tmin/f-prot'
directory

Be warned that the documentation and user manuals assume that
F-Prot is installed in the default directory '/opt/f-prot'.

F-Prot will run just fine from '/home/tmin/f-prot'
but you will of course have to adjust sample configuration and
such to match that change.

/home/tmin/f-prot/f-prot.conf already exists, not copying /home/tmin/f-prot/f-prot.conf.default to that location

Where do you want a symbolic link to 'F-Prot Antivirus command line scanner (fpscan)' to be created?
(Just press Enter to accept the default) [/usr/local/bin]:

Where do you want a symbolic link to 'section 8 manuals' to be created?
(Just press Enter to accept the default) [/usr/local/man/man8]:

Where do you want a symbolic link to 'section 1 manuals' to be created?
(Just press Enter to accept the default) [/usr/local/man/man1]:

Where do you want a symbolic link to 'section 5 manuals' to be created?
(Just press Enter to accept the default) [/usr/local/man/man5]:

Changing file access permissions on the installed files and directories ...ok
Checking if you have an existing license key...yes

Found an existing license key in /home/tmin/f-prot/license.key, updating antivir.def ...


Detected an existing fpupdate entry in /etc/crontab, a new one will not be generated



All done!



If you reconfigured your MTA you should restart it now to activate the changes.

Have a nice day

Frisk software (www.f-prot.com)



これで導入自体は完了。

実際の使い方だけど、これ、端末でしか動かないのよね。GUIが揃ってるClamAVと比べるとちと残念ではあるんだけど、普通に使ってる分には大して難しくはない。
$ fpscan が基本。
基本的には、fpscan [option] [file]でおっけー。
よく使うオプションは
--disinfect 検知した感染ファイル自動で削除 
--report 結果の表示、くらいかな?fpscan /homeとかやっちゃうと、ウイルス検知したときにスキャン中断されて、駆除方法をいちいいち聞かれます。まぁ、それでもいいけれども。
中断しないために上のオプションをつけるといい感じ。

Ex.
$ fpscan --disinfect /home
/homeのスキャン。検知した感染ファイルは削除。
$ fpscan --report /home -o /home/tmin/scan.log
/homeのスキャン。検索結果は表示するんだけど、-o オプションでファイルに出力するようにしてる。この場合は/home/tmin/scan.logというファイルに出力する。Parmission deniedでファイル作れなくてエラー、ってときはsudo -sしてからroot権限で実行すればおk。
$ fpscan -a
全てのファイルスキャン。
$ fpscan --maxdepth=0 /home
/homeのカレントディレクトリスキャン。--maxdepth=0ってのでディレクトリの階層を指定。0ならカレントディレクトリ、1なら1階層下のサブディレクトリまで。
Screenshot-tmin@tmin-desktop: ~スキャン中はこんな感じ。
一番下、棒みたいのがくるくる回ってるの。
んで。終わるとこんな感じに結果が見れる。端末出力ね。

Results:

Files: 156815
Skipped files: 16444
MBR/boot sectors checked: 0
Objects scanned: 387141
Infected objects: 0
Files with errors: 23
Disinfected: 0

Running time: 30:18



ちなみにUpdateはインストール時に自動でcron登録されるらしい。
確認は--version付ければおk。

$ fpscan --version

F-PROT Antivirus version 6.3.3.5015 (built: 2009-12-23T13-43-55)


FRISK Software International (C) Copyright 1989-2009
Engine version: 4.5.1.85
Arguments: --version
Virus signatures: 201008071722ee12e954fea3520541164fa9bedf085e
(/home/tmin/f-prot/antivir.def)


今うちではこうなってます。5月辺りに導入したんだけど、ちゃんとVersionはF-PROT Antivirus version 6.3.3.5015 。
Virus signatures: 201008071722ee12e954fea3520541164fa9bedf085eと、定義ファイルも8/7のもの?になってる。

まぁ、そもそも今まで約2年、感染したことないしな。
ほぼ使うのは
$ fpscan --disinfect /home もしくは $ fpscan --disinfect / ばっかですね。僕は。

一応英語ページだけど、ここにオプションの解説はありますのでご参考に。
http://www.f-prot.com/support/unix/unix_manpages/f-prot.1.html


関連記事
rootkit検出ツールでセキュリティチェック ~chkrootkit・rkhunter~
FireStarterでUbuntuのFirewallを細かく設定してみる
AVG for Linux ってどーよ?
じゃあAvast!for Linuxはどうよ?
64ビットLinuxカーネル脆弱性がみつかったらしく。Ksplice Uptrackでチェック。
総合案内当ブログについて
Windowsの目次Linuxの目次Linuxの目次2・ ・自作PC関連の目次Web技術関連の目次
全記事一覧情報サイト新着RSS一覧

Sponsored Link

じゃあAvast!for Linuxはどうよ?

こちらもAVGと同じくi386用しかないのよね・・・。でも、使ってみた感じは一番軽くてわかり易いかも。
DLはこちらから。http://www.avast.com/ja-jp/linux-home-edition#tab4
さて、試す環境はサーバー機(仮)Ubuntu 10.04 server x32ですね。GUIがないのでコマンド操作のみで。せっかくAvast!ってGUIあるのに、これ使えないのは意味半減、ではあるんだけれども。
デスクトップ版なら普通にdebパッケージDLしてインストールすればおk。で、GUI起動してライセンスキー登録して、GUIから操作ができるみたいだけど。すんません。デスクトップ機はx64なので使えないのですよ!!

ということで、今回はコマンド操作のみで行きますね。
まずはDL。
$ wget http://files.avast.com/files/linux/avast4workstation_1.3.0-2_i386.deb
でインストール。
$ ls
avast4workstation_1.3.0-2_i386.deb ←これね。 file.php?id=83 sharemedia
avg85flx-r812-a3371.i386.deb phc-k8_v0.4.2
$ sudo dpkg -i avast4workstation_1.3.0-2_i386.deb
でインストールはおっけー。
$ avast で検索、$ avast-update で定義ファイル更新。ちなみに$ avastgui でGUI起動なので、フツーにデスクトップ用途ならばこれが一番使うかと。
最初は Please enter the key here:って出るけど、ここはシカトでEnter押して抜けて、フツーに使えるみたい。
このまま $ avast-update で定義ファイル更新は問題なく通りました。
Screenshot-アバスト! 無料アンチウイルスの登録 - Mozilla Firefoxちなみにライセンスはここから登録するだけ。
# アバスト! 無料アンチウイルスはインストール後30日間は試用モードで稼働します (avast! Home 4.8 では60日間)
# その後も保護し続けるには無料のライセンスキーを取得するために登録する必要があります
とあるので、まぁ、30日はシカトで使えるってことでしょう。たぶん。
これ、申請して30分くらいでライセンスは届くので、届いたらさっきのPlease enter the key here:ってとこに入力すれば登録OK。

で、ここで問題発生。
avast: can not initialize avast! engine: invalid argument と出て動かない・・・OTL。
調べてみると・・・avast4をdebian lennyにインストール -> 動かないorz

sysctl -w kernel.shmmax=128000000

echo 128000000 >/proc/sys/kernel/shmmax
とすることで回避できるでしょう。


とのこと。
さらに調べてみたけど、カーネルの共有メモリサイズが32MBに制限されてて、なのにavast!の定義ファイルのサイズが37MBほどと、カーネルが標準で制限している共有メモリの最大値を上回ってるためにスキャン実行プログラムが定義ファイルを展開できないため、らしい。
なので、結局カーネルの共有メモリサイズの最大値を変更してやればいいってことみたい。
avast!の定義ファイルのサイズはls -lで確認。
$ ls -l /home/tmin/.avast/400.vps
-rw-r--r-- 1 tmin tmin 39766625 2010-06-11 00:14 /home/tmin/.avast/400.vps
あぁ、確かに39766625と、32MBは余裕で超えてますね。

俺のとこでは
$ sudo sysctl -w kernel.shmmax=128000000
$ sudo sysctl -w kernel.shmmax=134217728 どちらでもおっけーでしたよっと。
で、起動時に自動的にこれやってくれるように、/etc/init.d/rcSに追記。

$ sudo nano /etc/init.d/rcS
#! /bin/sh
#
# rcS
#
# Call all S??* scripts in /etc/rcS.d/ in numerical/alphabetical order
#
sysctl -w kernel.shmmax=134217728 ←ここ一行。
exec /etc/init.d/rc S


再起動して確認。
$ cat /proc/sys/kernel/shmmax
134217728
おっけー。

さて、基本の扱い。定義ファイル更新。

~$ avast-update
Checking for virus signature updates...
An update for /home/tmin/.avast/400.vps is available. Fetching update...
Update done: /home/tmin/.avast/400.vps dated 2010-06-11 17:14 /home/tmin/.avast/400.vps.


スキャン
$ avast /home
この場合/homeをスキャン。全体スキャンするときは/にすればいいし、対象ディレクトリ絞ることもできる。
結果は




/home/tmin/.selected_editor [OK]
Archived /home/tmin/file.php?id=83/file/phc-k8_v0.4.2/dkms.conf [OK]
Archived /home/tmin/file.php?id=83/file/phc-k8_v0.4.2/phc-k8.c [OK]
Archived /home/tmin/file.php?id=83/file/phc-k8_v0.4.2/Makefile [OK]
Archived /home/tmin/file.php?id=83/file/phc-k8_v0.4.2/Changelog [OK]
Archived /home/tmin/file.php?id=83/file/phc-k8_v0.4.2/phc-k8.modprobe [OK]
Archived /home/tmin/file.php?id=83/file/phc-k8_v0.4.2/phc-k8.add [OK]
Archived /home/tmin/file.php?id=83/file/phc-k8_v0.4.2/phc-k8.h [OK]
Archived /home/tmin/file.php?id=83/file/phc-k8_v0.4.2/README [OK]
Archived /home/tmin/file.php?id=83/file [OK]
/home/tmin/file.php?id=83 [OK]
/home/tmin/.bash_logout [OK]
/home/tmin/phc-k8_v0.4.2/Makefile [OK]
/home/tmin/phc-k8_v0.4.2/Changelog [OK]
/home/tmin/phc-k8_v0.4.2/phc-k8.h [OK]
/home/tmin/phc-k8_v0.4.2/phc-k8.add [OK]
/home/tmin/phc-k8_v0.4.2/dkms.conf [OK]
/home/tmin/phc-k8_v0.4.2/README [OK]
/home/tmin/phc-k8_v0.4.2/phc-k8.modprobe [OK]
/home/tmin/phc-k8_v0.4.2/phc-k8.c [OK]
/home/tmin/avast4workstation_1.3.0-2_i386.deb [OK]
/home/tmin/.bashrc [OK]
/home/tmin/.bash_history [OK]
/home/tmin/sharemedia/avg85flx-r812-a3371.i386.deb [OK]
/home/tmin/.sudo_as_admin_successful [OK]
/home/tmin/avg85flx-r812-a3371.i386.deb [OK]
/home/tmin/.avast/400.vps [OK]
/home/tmin/.avast/avastrc [OK]
/home/tmin/.profile [OK]
/home/tmin/.cache/motd.legal-displayed [OK]
/home/lost+found [scan error: Permission denied]
#
# Statistics:
#
# scanned files: 156094
# scanned directories: 1115
# infected files: 0
# total file size: 265.8 GB
# virus database: 100610-0 10.06.2010
# test elapsed: 30m:19s 769ms
#


長いので省略してるけど。rkhunterとかみたいにOKとかでるし、最後にスキャンした結果のまとめも出るのでなかなかわかり易いですね。
処理方法を指定するには-pオプションを使う。
-p=4 で感染ファイル見つけたときに処理方法聞いてくるように。
-p=1 ですべての感染ファイル自動削除、-p=3 では修復を試みてくれるらしい。
まぁ、いちいち中断して聞いてこられるのもウザイと言えばウザイので(そんなに感染するのか?というのは置いといてw)個人的には-p=3が現実的かなぁ?とは思うけど。特にcronで定期実行とかしてるときにはね。
$ avast -p=3 /
これでシステム全体スキャン&感染ファイル見つけたら修復を試みるようになるはず。
あとはcronで定期実行の設定。
$ crontab -e

# m h dom mon dow command
*/30 * * * * /usr/bin/avast-update > /home/tmin/update.log 2>&1
* * */1 * * /usr/bin/avast -p=3 / > home/tmin/scan.log 2>&1


一応コレで30分おきに定義ファイル更新、一日おきにシステム全体のスキャン&感染ファイル見つけたら修復、の設定になってるはず(未確認w
で、Updateのログは/home/tmin/update.log に、スキャンのログはhome/tmin/scan.log に記録される・・・はず。(未確認w
この定期実行はまだ設定したばっかで確認してないけど、一応/homeのスキャンは結構早くてひっかかることもなく、で、スキャン中のリソースも、まぁ、それなりには食ってるけど、基本的に最低クロックのままでいけてたってのはいいとこでしたね。AVGは結構食ってたしね。
ClamAVは最悪フルロード状態になったりするし、F-protも早いけど結構リソース食うんだよね。
AVGはインストールまんまの状態でUpdateなんかも自動的にやってくれる設定なのは買いだけど、これは自動修復、自動削除はないから、ログみて自分で手動で削除しないといけないんだよね。その点でもAvast!の方が手がかからなくて好印象でした。

ま、所詮Linuxなので、そもそもWindowsほど気にしなくても大丈夫なんだけどね。
しっかし、どうしてx64版を作ってくれないのはなぜなんだぜ?この辺、x32の方が優位だよなぁ。

関連記事
rootkit検出ツールでセキュリティチェック ~chkrootkit・rkhunter~
FireStarterでUbuntuのFirewallを細かく設定してみる
AVG for Linux ってどーよ?
F-prot for Linuxはどう?
64ビットLinuxカーネル脆弱性がみつかったらしく。Ksplice Uptrackでチェック。
総合案内当ブログについて
Windowsの目次Linuxの目次Linuxの目次2・ ・自作PC関連の目次Web技術関連の目次
全記事一覧情報サイト新着RSS一覧

Sponsored Link

ブログ内検索

カスタム検索

フリーエリア

クリックで救える命がある。

レンタルサーバー

さくらのマネージドサーバ
さくらインターネットのVPS
ConoHaのVPS
WebARENA VPSクラウド
99円レンタルサーバー
【CloudCore VPS】
GMOクラウドのレンタルサーバー
転送量無制限 ABLENET
@WAPPYレンタルサーバー
SPPDレンタルサーバー

カテゴリー+月別アーカイブ

 

アクセスカウンター

現在の閲覧者数:

プロフィール

Author:tmin
PCヲタ。ライト2ちゃんねら。
スロット好きのギャンブラー。(元
むしろ人生がギャンブルだが目下のところ負けっぱなし。
座右の銘は「結果オーライ」。故に基本適当。
トラブルもまた楽しみのひとつ

コメント、トラバ、相互リンク歓迎。お気軽にどうぞ。
当ブログについて
Twitterでこっちとあっちの更新情報流すことにしてみます。
http://twitter.com/t_min
Project Mikunchu♪Wikiできました。
Mikunchu200x40.png


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。