title
わたしの日記は日々の出来事の鬱憤晴らしの毒だし日記がメインです。 相当病んでいます。くだを巻いています。許容出来る方のみのアクセスをお願いします。 また、この日記へのリンクは原則自由にして頂いても結構ですが、 写真への直リンクを張るのはご遠慮下さい。内容に関しては、一切保証致しません。
カテゴリ一覧 Network, Internet, IPv6, DC, NTT, Comp, Linux, Debian, FreeBSD, Windows, Server, Security, IRC, 大学, Neta, spam, , 生活, 遊び, Drive, TV, 仕事,
過去日記:





2010年09月07日(火) [晴れ]

[Security][Server] VPSのセキュリティーってどうなってるの?

これは、いつも私が疑問に思うこと。
VPS等の仮想化を行っているシステムは、一般的にハイパーバイザ(Hyper-Visor)という仮想化を行うOSが有り、HVの層から見れば、ディスクイメージ(巨大なファイルの固まり)、若しくはファイル群として見える。
この層は非常にセキュアになっている筈だが、システムのセキュアという意味ではなく、仮想化システムのインフラ管理者達の事だ。勿論ゲストOS側のインシデントが発生した場合、調査はしやすくなる可能性も有るが、HVの層で触ってしまうと、ゲストOS環境からは触られたことを確認する事が出来ない。
物理的なHWの上にインストールされている場合、ディスクイメージという概念はなく、直接ハードディスクに記録されている。持ち出す場合はいくらかあるが RAID-1/mirror になっている場合、片側のディスクを取り外しダンプする等の方法があるが、物理的にその場所にいき、作業を行わないといけない。また、HBAの種類によっては、OSにディスクの障害として検知されることも多いだろう。その為、簡単にデータを取り出す、見ることは難しい。(環境によってはiSCSI HBAを使うことも有るだろうけどね。)

しかし、仮想化システムの場合はどうだろう。専用ソフト(クライアントユーティリティ)を使用したり、SSHで接続することでリモートで簡単にイメージをとり出すことができる。また、スナップショットを使えば、動いているメモリの状態まで複製することが出来てしまう。ファイル群であれば、ゲストOSより下の層でファイルを抽出することも出来るし、イメージ丸々を持ち出してしまいダンプすることは容易だ。また同じシステムを別環境で動かすことも簡単だ(仮想化システムのメリットでもある)。そのようになってしまえば、ゲストOSから見ればログインなしに環境の複製若しくはファイルの持ち出しが可能となってしまう。また、管理用ネットワークが汚染されてしまったりするとリスクは大きい。
こういったセキュリティー的なリスクについて、述べているサイトは少ないのではないかと思う。安全だという話を書いているVPS事業者も少ないような気がした。
このあたりを担保していますといっている事業者はどれぐらいあるのか気になるところだ。

もう一つある。ユーザによる脆弱性だ。
正直ここまで低価格化しちゃうと、レンタルサーバより安かったり、自由度が高いVPSを勘違いしてレンタルサーバとして借りるユーザが多いのではないかと思う。
見よう見まねにインストールをおこない、サーバの運用をしたこともないひとが、rootになり、使う。
そういうユーザに限ってsshの鍵認証やiptables といったFireWallの設定の知識はなく行われない。
サーバのアップデートも行われないでしょう。動き始めたら。
こういったサーバが増え、クラックされたり、乗っ取られたり、OpenProxyとして設定されていたり等で、周りに迷惑を掛ける。こういったケースも非常に増えるのではないかと危惧される。この辺に対する罰則規定も設けられることもなく、DNSRBLなどに登録され、訳ありアドレスとなってしまう。また、格安VPS等であれば、ユーザの入れ替わりも激しく訳ありIPアドレスを割当されハズレのIPが割当されたハズレVPSを引くことが多いだろう。

VPSとは違うが、過去に静岡でInterlinkの固定IPを契約した。地方なので、他の選択肢があまりなく、即時発行ということで利用したのだが、この時割当されたInterlinkの固定IPは訳ありで、RBL登録されており、解除されないまま新しいユーザへ割り振りされるという事件が起こり、気分が良くなかったので即解約(純粋に遅く2Mbpsも出なかったというのもあるのだが)。激安ISPの固定IPも入れ替わりが激しく、また、OP25Bなども入っていないため悪用され、解約(契約解除?)されることが多い。利用規約により強制解除されるだろうがそのあとの後処理がされないことも多いと考えられる。同様に安価なVPSだと同じことが発生し、訳ありIPアドレスが割り振られるといったこともある。
ちなみに、このInterlinkを契約したときに割当されたIPアドレスからWikiPediaにIPv6の記事を編集しようとしたら、ブラックリストに入っていた。ブラックリストの理由は荒らし、コメントスパムだった。
なぜ、利用者が第三者が悪事の働いたIPのために、解除してもらわないといけないのか、非常に不条理だと思ったこともある。

さて、VPSに戻ろう。先日私の BBS(半分ハニーポット的な掲示板になりつつあるが)にコメントスパムが届いた。
調べてみるとDTIのVPSだ。ワンコインVPSということで人気があるが即やられていた。
そのネタについては [Security][Neta][IPv6] 出た!国内で<del>クラック</del>OpenProxy?になっている思われるIPv6サーバという日記を7/5に書いている。同じようなことが今後もたくさん発生しそうだ。


 2010/9/9 追記:

更に疑問に思ったことを追記。
そのVPS上で犯罪が行われた場合、押収される可能性があるが、仮想化されていると、収容ホストという概念はあっても、仮想サーバという実態を持たない。場合によってはインフラのセットを押収される可能性が無いだろうか。また、ディスクレスの環境で、iSCSIやFC等使っている場合は、実態となるデータを持たないため、ストレージが対象物とならないだろうか。例えば、物理機の場合だと、ディスクが搭載されているケースが多く、そのまま押収したあと、電源を入れたら起動するだろうが、イメージとなり、逆にそのままだと起動してもバラバラなため中身がないなどそう言った状態に鳴りうる可能性もある。さてはて、仮想化した場合の押収されるケースはどうなるのだろう。疑問である。

[ コメントを読む(0) | コメントする ]

[Diary] WikiPedia

微妙にデザインが変わっている…。

うらゝ  『RSSでタイトルみて、ついにともちゃの記事が書かれたのかと思った』
[ コメントを読む(1) | コメントする ]

Diary for 1 day(s)
Powered by hns HyperNikkiSystem Project




(c) Copyright 1998-2014 tomocha. All rights reserved.