« 私のプログラムの作り方 | メイン | rm * »
2005年2月 9日
AWStats6.2以前にセキュリティホール
カテゴリー: [Linux]私は,自分が管理していてWebサーバが動作しているサーバでは,AWStatsで,ログを解析しています.
最近,このAWStatsのセキュリティホールで,侵入,改竄が頻繁に起きているようです.
自分はアップデートしたから,大丈夫だと思ってとりあえず安心していたんですが,よく確かめたら,1つ漏れが(^^;
それも,バージョンが6.0.さらに認証とかかけてないから,publicになっているし(^^;
AWStatsのURLは,だいたい習慣的に決まっているので,スキャンしようと考える奴が出てきてもおかしくありませんから,気をつけないと.
そのサーバは,Vine Linux なので,AWStats は distribution に入っていませんから,apt-get などの対象になりません.自分で後からいれたソフトウェアは,特に気をつけてないと.
ついでなので,検索キーワードが文字化けする対策をしました.「ESC - awstats日本語化。」 を見て手を加えました.
そうしたら,今まで見えなかった変なキーワードがいろいろ出てきましたが^^;
こういうことが多くて,まったく気が抜けないですね.
そういえば,今日はWindows の更新もやたらたくさん出ていましたね.
投稿者 shingo : 2005年2月 9日 14:27
トラックバック
このエントリーのトラックバックURL:
http://isolinear.info/cgi-bin/mt/mt-tb.cgi/42
コメント
相談室の新しいサーバーにVineを採用するのを若干
躊躇しているのはそこなんですよね。
>自分でいれたソフトウェアは,特に気をつけてないと.
人が入れ替わるんでパッケージ管理システム外のソフトは
入れたくないのですが、そうするとVineでサーバーを
構築するのは結構に難儀なのです。
(この方針から行けばextraパッケージはやっぱり避ける
べきだけどそうすると必要なソフトが揃わない…)
投稿者 石 : 2005年2月 9日 18:29
Gentoo Linux だから emerge で全部OKとはやっぱりならないですよ.Gentoo 以外でも同じでしょう.
まあ,Vineよりずいぶんましなのは事実ですが.あんまり,いろいろとやらないのなら,Vineでも,まあ何とかなるんでしょうけどね.サーバにはちょっと向かないのかも.
私がVineからGentoo Linux に乗り換えたのは,柔軟性というか選択肢の多さがあるからですが.
投稿者 shingo : 2005年2月 9日 20:15
VineLinuxは「選択肢をなるべく少なくする」というのがポリシーですから、選択肢が少ないのはまー良いのですが、或る目的に対して選択肢が無い(Extraに入ってしまっている)と言うことが多いのでどうした物かという感じです。
(開発リソースが不足気味な事を考えればメンテナンスのメインをクライアントに絞り込むのも妥当と言えますからもはやサーバーとして利用すべきでは無いのかも。)
ただ後の人に引き継ぐことを考えるとGentooも微妙なのでなおも悩み中ですが。(自分用としては大変気に入りましたが。)
どんなディストリビューションでもマイナーな物はパッケージ管理システムに無いんですよねー。
ただ、サーバーとして考えたときにGentooレベルのパッケージ数なら存在しないアプリケーションは採用しないと言うポリシーも適用可能だと思います。今のVineはWebmin等もextraに入っていてちょっと辛い。
Gentooのパッケージ管理システムはSUNのJDK等ライセンス上再頒布できないパッケージに関しても対応していますから、バージョンチェックの手間はかなり省力化されるように思います。
あとVineに比べてコミュニティがオープンなのも個人的には気に入っています。Vineだと正直バグレポートだすのも面倒に成りますから。
投稿者 石 : 2005年2月 9日 22:35
まあ,Vineのパッケージ選択の方針は,私もあれはあれでいいんだと思いますよ.私の目的には合致しないだけで.
引継を考えたら,Gentoo が微妙というのも分かります.正直,研究室のサーバはどうしようかと思います.
でも,結局,私がこれ以上他のディストリビューションを試している余裕がないですし,動き始めればそんなに手間でもないので,Gentoo でもいいかと思います.
> Gentooレベルのパッケージ数なら存在しないアプリケーションは採用しないと言うポリシーも適用可能だと思います
ありだと思いますよ.あれだけ選択肢があれば,十分だと思います.
> Gentooのパッケージ管理システムはSUNのJDK等ライセンス上再頒布できないパッケージに関しても対応していますから
自分でファイルを落としてきて,置くんですよね.なるほど,こうなるのかと思いました.
投稿者 shingo : 2005年2月 9日 23:00