きよです On Tue, 15 Apr 2003 09:38:34 +0900 大河平 謙二 <okobira@xxxxxxxxxxxxxx> wrote: > 基本的に再インストールを前提にapt-getでUpdateします・・・ > (当場しのぎで。すぐにとめることの出来ないサーバですので・・・) > Vine 2.1のデータはVine 2.6r1に移行しても不具合ないんでしょうか?(投稿 > 内容が変わってしまいますが) > > 基本的に移すのは/etc以下、/home以下、/var/spool/mailです。 > (web、mail、ftpしか公開していないサーバですから、bind等はいりませんの > で)たぶんそのまま移行して問題ないのでしょうけど、一応お聞かせください > 。 Vine-2.1.5 -> Vine-2.6r1 だと、バージョンがおおきく 変わっているパッケージも多いと思います。 バージョンアップがあった場合、設定ファイルがそのままでは 使えないことや、設定ファイルの文法上問題はないし起動はするけど 特定の機能で不具合が出ることもあります。 私が rpm や apt でアップデートした時に経験したことだと ・proftpd で DefaultRoot ~ を設定していると上書きアップロードが できない(設定変更で回避できた) ・procmailのパーミッションが変わっていて、新しいメールボックスを 作れない(procmailを使うのをやめた) ・apache で vartualhost の設定がうまく行かなかった (とりあえず、設定ファイルを1から書き直した) など、そのままでは動かないケースがいくつかありましたが 修正するのは簡単です。 むしろ、以前の設定に穴があった、または設定ファイルを 改竄されている可能性(/etc/passwd にuid 0のアカウントを追加されてるとか /etc/ssh/ssd_config でrootでパスワードなしでログインできるように されてるなど)もありますので、以前の設定ファイルを参考に 設定を見直しつつ、新たに設定ファイルを作りなおす方が良いかなと 個人的には思います。 また、その場しのぎとしては、ipchains で運用に必要なポートを 明示的に許可して、その他は全て禁止するのが良いと思います。 カーネルモジュールタイプの rootkitなどで、カーネルからの 情報が信用できなくなっているならどうしようもありませんが ipchainsが正常に動作さえすれば、少なくとも、謎のポートで 起動しているバックドアがあったとしても接続は拒否できるはずです。 ただ、これも必要なサービスにバックドアをしかけられていたら アウトなので、本質的な意味では気休めにすぎません。 > #クラッキングされたのが初めてなので、セキュリティーホール対策の大事さ > が改めて実感です > #しかし、なんでクラッキングなんてするんでしょうね・・・ > "そこに穴があったから"ということなんだと思います。 # 失敗から学べることは多いです。 # 今後の糧にしましょう。 # 本当はクラックされていなかったとしても、この件で調査した # 内容や、とった対応は今後いくらでも活きてきます。