Post on 08-Jul-2015
description
Red Hat K.K. All rights reserved. 1
Red Hat Enterprise Linuxの修正
v0.7: 2014.12Red Hat K.K. Kazuo Moriwaka <kmoriwak@redhat.com>
Red Hat K.K. All rights reserved. 2
このスライドの位置づけ
Red Hat Enterprise Linuxは高い品質を誇りますが他のソフトウェアと同様にバグや脆弱性を含んでいます
そのためRed Hatは必要に応じて修正を出荷しており、Red Hat Enterprise Linuxを運用する際にはこの修正を確実に適用することが基本です
このスライドでは、Red Hat Enterprise Linuxの修正について以下のトピックを扱います● 修正が出荷・配布されるしくみ● 修正を出荷するポリシー● 修正が出荷されたことを知る方法● ある脆弱性が製品に影響するか、影響する場合は
どの修正で対応されているかを調べる方法
Red Hat K.K. All rights reserved. 3
agenda
Red Hat Enterprise Linuxでの「修正」とは● パッケージ● 「パッチでの配布」との違い● チャネル(またはリポジトリ)● インターネット接続できない場合の更新
セキュリティ修正の出荷ポリシー 修正の告知
● アドバイザリ● 影響度の概要● アドバイザリとOSアップデートリリースの関係
情報源● セキュリティ情報の入手● 通知を受けとる
Red Hat K.K. All rights reserved. 4
Red Hat Enterprise Linuxでの「修正」とは
Red Hat K.K. All rights reserved. 5
パッケージ
Red Hat Enterprise Linuxでは、RPMパッケージによりソフトウェアを配布しています● 1つのシステムは100〜数千のRPMパッ
ケージで構成されます パッケージにはバージョンや製品バージョン、
アーキテクチャを含む名前が付与されます● 例: glibc-2.17-55.el7.x86_64
全ての修正は新しいバージョンのパッケージを配布する形でおこないます● 「パッチ」の配布は行っていません
rpmパッケージを使うことでインストール・削除・更新などを統一的に行うことができます
Red Hat K.K. All rights reserved. 6
パッケージの更新
「パッケージの更新」は何をするのか?● バイナリやドキュメント等のファイルを更新● 設定ファイルを更新
● ユーザによる変更があった場合は 新版を別名で保存 or 旧版のバックアップを保存
● (サービスが起動していれば)サービスの再起動● パッケージに含まれるスクリプトを実行
● RPMパッケージは、インストールや更新の前後など各種のタイミングで実行するスクリプトを含んでいる
パッケージにより再起動などの必要有無が異なる● kernel, glibcなどいくつかのパッケージでは更新を反
映するためにはシステム再起動が必要● RHEL6以降では、needs-restarting コマンドにより更
新を反映するためのサービス再起動が必要か確認できる
Red Hat K.K. All rights reserved. 7
「パッチでの配布」との違い
パッケージ単位で配布するRed Hatの方式は、以下のような特徴があります
特定の修正だけを選択的に適用する方法は提供されません● 例:
バグ修正がおこなわれたのち、セキュリティ上の問題に対する修正がおこなわれた。 セキュリティ上の問題に「だけ」対応したパッケージを提供してほしい → 対応不可
ほとんどの場合、パッケージをダウングレードすることでアップデートのキャンセルが非常に簡単に実施できる● 設定ファイルの置き換えなどが発生していなければ、パッケー
ジをダウングレードするだけでアップデートする前の状態に戻る
Red Hat K.K. All rights reserved. 8
チャネル (またはリポジトリ)
Red Hat Customer Portal
Channel
Red Hat 製品はいくつかの「チャネル」として提供されています。
たとえばRHEL Server を購入した場合、以下のようなチャネルがつかえるようになります● RHEL5 x86_64● RHEL5 ppcのOptional● RHEL6 x86_64● RHEL6 x86_64のOptional● RHEL6 x86_64のSupplementary● (などなど)
チャネルはyumなどのコマンドにより導入するソフトウェアを探索する対象になります。
RHEL
Red Hat K.K. All rights reserved. 9
RHELセキュリティfixの「出荷」
セキュリティ上の問題に対応するパッケージは、以下のようにして出荷されます● アドバイザリ(後述)も同時に作成・登録されます
修正の適用は自動や強制ではなく、各サーバでyumコマンドなどを使って更新をおこないます
Red Hat Customer Portal
Channel RHEL
修正を含むパッケージを
チャネルへ登録(=出荷)
yumコマンドやRed Hat Satelliteで
更新を指示
Red Hat K.K. All rights reserved. 10
インターネット接続できない場合の更新
インターネット接続できない場合は?● Red Hat Satellite ServerをLAN内に構築して配布● Red Hat Customer Portalから必要パッケージをダウンロードして適用
Red Hat Customer Portal
Channel
Red Hat Satellite Server
Channel
必要製品の最新チャネルを同期
RHEL
Red Hat K.K. All rights reserved. 11
セキュリティ修正の出荷ポリシー
Red Hat K.K. All rights reserved. 12
セキュリティ上の修正が出荷される期間
セキュリティ上の修正が作成・出荷される期間はライフサイクルポリシーにより定められます
RHEL 3/4 では初期リリースから7年間 RHEL 5/6/7 では初期リリースから10年間
RHEL 3/4 については、Extended Lifecycle Support (ELS) が提供され、RHEL3については3年間、 RHEL4については5年間の延長サポートが提供されます● ELS期間中、重大なセキュリティ上の問題について修正が
出荷されます● ELS期間中に出荷される修正を入手するためにはELS
add-onとよばれるアドオン製品を別途購入する必要があります
● RHEL5以降についてELS提供予定はありません
https://access.redhat.com/support/policy/updates/errata/
Red Hat K.K. All rights reserved. 13
RHELの製品ライフサイクル
RHEL5/6/7
RHEL3/4
https://access.redhat.com/support/policy/updates/errata/
Red Hat K.K. All rights reserved. 14
修正の告知
Red Hat K.K. All rights reserved. 15
アドバイザリ
製品の修正や拡張は全てアドバイザリ(勧告, Errataとも)とよばれる形で提供されます● 各アドバイザリには(通常)RPMパッケージが含まれる● 一つのアドバイザリによって1つ以上の問題の修正に対応
特定のアドバイザリのみ適用することはサポートの範囲内● 例: カーネルのみ古いバージョンを利用する● 全てを最新にしないとサポートしないわけではありません● 更新により修正された問題が疑われる場合、一時的なパッ
ケージ更新による切り分けをお願いすることがあります
Red Hat K.K. All rights reserved. 16
アドバイザリの例: https://rhn.redhat.com/errata/RHSA-2013-0245.html
影響をうける製品
種類・ID
深刻度
対応する脆弱性のCVE ID一覧
Red Hat K.K. All rights reserved. 17
アドバイザリの種別 と ID
セキュリティ修正:Red Hat Security Advisory (RHSA)● セキュリティに関する修正● 不定期に発行● 深刻でないものはOSアップデートリリースで発行
バグ修正:Red Hat Bug Advisory (RHBA)● 不具合に関する修正● 不定期に発行● 重要度が低いものはOSアップデートリリースで発行
機能拡張修正:Red Hat Enhancement Advisory (RHEA)● 機能拡張に関する修正● OSのアップデートリリースのタイミングでのみ発行
Red Hat K.K. All rights reserved. 18
RHSA の影響度概要
Critical
リモートの不正攻撃者が容易に悪用して、ユーザーの操作を必要とすることなくシステムのセキュリティを低下 (任意のコードを実行) させることができるものです。このタイプの脆弱性は、ワームによる悪用が可能です。
Important
リソースの機密性、整合性、または可用性を容易に低下させることができるものです。このタイプの脆弱性は、ローカルユーザーによる権限の取得、認証されていないリモートユーザーによる認証保護リソースの閲覧、認証されたリモートユーザーによる任意のコードの実行、ローカルまたはリモートユーザーによるサービス拒否を可能にします。
Moderate
悪用は比較的困難ですが、特定の条件ではリソースの機密性、整合性、または可用性を低下させることができるものです。あまり容易に悪用できないか、非現実的な設定に影響します。
Low
悪用のためにはあり得ない状況が必要と思われるものや、悪用が成功しても影響は最小であるものです。
https://access.redhat.com/security/updates/classification/ より抜き書き
Red Hat K.K. All rights reserved. 19
RHEL 6 Server x86_64
6.56.46.3
...........
...........
...........
.................................
...........
...........
...........
...........
...........
...........
...........
Errata
アップデートリリース: RHEL6.0 → 6.1 → 6.2...● およそ6ヶ月毎のリリースサイクル● ソフトウェアバージョンおよびAPI/ABIをできるだけ維持
アップデートリリースの実体● アドバイザリの集合● 以下の2つは基本的に全く同じものになります
● RHEL6.4 GA● RHEL6.3にRHEL6.4GA時点のアドバイザリを適用し
たもの
アドバイザリとOSアップデートリリースの関係
Red Hat K.K. All rights reserved. 20
Extended Update Support(EUS)
アップデートリリースのサポート期間を延長します 延長された期間について、重要なセキュリティ問題またはバ
グの修正が提供されます EUSを利用して「アップデート実施回数の削減」が可能にな
ります● 例: 完全にサポートされた状態でRHEL6.0を使いつづけ
6.1をスキップしたのち6.2をテスト&移行
6.0 6.1 6.2 6.3 6.4
6.2 EUS
6.0 EUS
6.1 EUS
Red Hat K.K. All rights reserved. 21
情報源
Red Hat K.K. All rights reserved. 22
セキュリティ情報の入手
製品からの一覧● https://access.redhat.com/security/updates/active/
CVE IDからの検索● CVE IDから問題の概要、Red Hat製品への影響有無の公式見解、対応errataの情報
● https://access.redhat.com/security/cve
Red Hat K.K. All rights reserved. 23
アドバイザリ一覧(Errata)の例: https://rhn.redhat.com/errata/rhel-server-6-errata.html
Red Hat K.K. All rights reserved. 24
セキュリティ情報の通知を受けとる
メーリングリスト● RHSA-announceメーリングリスト
● Red Hat全製品のセキュリティ勧告をメールで通知● その他、RHELのみ,JBossのみ,RHEVのみのメーリングリスト● https://access.redhat.com/ja/security/updates/advisory
RSSフィード● Red Hat製品の全errataをRSSフィード形式で提供● https://rhn.redhat.com/rpc/recent-errata.pxt
各システムに影響するもの● カスタマーポータルからのemail通知
● https://www.redhat.com/wapps/ugc/protected/notif.html● Satelliteからのemail通知
● 「個人設定」→「ユーザーの個人設定」→「電子メールの通知を受けとる」
Red Hat K.K. All rights reserved. 25
最新情報は……
カスタマーポータル内「セキュリティ・アップデート」で、最新の情報をお伝えしています● https://access.redhat.com/ja/security/updates
未知の脆弱性を見つけた(かもしれない)場合の連絡先● secalert@redhat.com またはサポート窓口へ● https://access.redhat.com/ja/security/team/contact