ssh にキヲツケロ


セキュリティ 一般

あるメーリングリストに転送されて来た, わりかし面白い メッセージがあったので, 和訳してみた. Behlendorf さん (知らぬ人は居ないとは思うが, apache のリーダーだ. 2000年春の LC にも来た.) からのものらしい.

文中の「リポジトリ」及び 「commit」 は CVS 用語. リポジトリはCVS サーバ側のデータで, グループで開発中のプロジェクトの生産物 (ソース) 及びその履歴を蓄えている. commit は, 開発者が自分の行った作業の結果を, リポジトリに登録する操作. commit が行われたら その結果を, 他の開発者が リポジトリにアクセスして, 最新版として取り出すなり, 差分を取るなどして参照することができる.

文中のメールアドレスは, 原文では そのままだったので, スパマに拾われないようにテキトーに壊しました. 各自 heuristic に復元して読んで下さい.


今月の初めごろのことだ, Apache Software Foundation (以下 ASF) の公開サーバが 身元不明のクラッカーによって不正アクセスを受けた. このサーバは公開メーリングリスト, web サービス, ASF の各プロジェクトのソースコードリポジトリなどの用途に 使われているものだ. 不正アクセスはすぐに発覚し, 直ちにこのサーバのネットワーク接続が 切断された. セキュリティの専門家と管理者は, 不正アクセスの程度を調査し, 損害を修復し, サーバの公開運用を再開した.

当該サーバはソースコードのリポジトリとしてだけでなく, ASF のソフトウェアのバイナリ配布のためのメインサーバとしても 運用されているものだ. 今回の不正アクセスによって, 配布物 (ソース, バイナリに関わらず) がかいざんされたという形跡は一切見られず, ASF ソフトウェアのバイナリ配布物の「汚染」は無かったことが 確認されている. これには, 最大のシェアを誇る Apache web サーバも含まれる.

詳細: 5/17 のことだ. sourceforge.net のアカウントを持つ Apache 開発者が SourceForge のシェルアカウントにログインし, そこから apache.org にログインした. ところが, SourceForge の ssh クライアントが, 送信するユーザ名とパスワードを記録するようにカイザンされていたため, apache.org のシェルアカウントが侵入者に詐取されてしまったのである. 侵入者は Bugzilla の古いバージョンを悪用した, 権限増大を試みたが失敗し, それに代わって ssh デーモン (OpenSSH 2.2) を使って root 権限を 取得してしまった. 一旦 root 権限を取得した彼(彼女)は, apache.org の ssh クライアントもカイザンされたものに置き換えて, ユーザ名とパスワードを記録できるようにした. しかし, このカイザンが行われたとき, 毎日自動的に実行される セキュリティ監査がこのカイザンと, その他に侵入者が仕込んだトロイの木馬式 実行ファイルを突き止めた. この侵入を発見した我々は直ちに ssh を完全に停止し シリアルコンソールからシステムの徹底的な調査を行った. OS を新しくインストールし, 裏口が閉じられ, パスワードも変更されたあと, ssh と commit サービスも再開された. それから, 全ての Apache ソースコード及びバイナリ配布物の 検証も行われた.

ASF では今回の件に関して他の組織と緊密に連係して 調査を行っている. 特に, SourceForge や php.net などで起こった他の不正アクセスとの 関連に注目している. ASF では, より完全な配布物の検証を行っており, 開発者達によって全てのソースコードリポジトリが個別にチェックされている ところだ. これが可能なのは, ASF のソースコードはオープンソースなライセンスの 下に配布されており, 誰にでも自由に利用可能だからである. したがって, ASF リポジトリは世界中に頒布されたものと比較することが できるのである. ASF サーバのリポジトリに侵入者の足跡が無いことがすぐに確認されはしたが, こうした予備的な検証によって, 全く損害が無かったことが 2重に確認されたのである.

5/29 (火曜) にはほとんどのリポジトリのチェックも終わり, 予期された通り一切問題は発見されなかった. 検証済みのモジュールのリストは現状に合わせて更新されており, 以下の URI で参照可能である.

http://www.apache.org/info/hack-20010519.html

ASF サーバの侵入は他の不正アクセスと関連している可能性があるため, 調査は続行中である. 完了次第 ASF では完全な報告を公開することにしている.

Apache Software Foundation はこのような不正アクセス行為を 強く非難する. また, 徹底的な法的告発を含めあらゆる選択肢を吟味中である. この件に関して, また, 他の関連したケースについての情報を お持ちの方は, どうぞ root at apache dot org に御連絡下さい. 報道関係者でさらに詳しい情報をお求めの方は, press at apache dot org までどうぞ.

Thanks.

Brian Behlendorf
President, Apache Software Foundation


ssh は最後の砦だから, 侵入者側は, 当然, こいつを狙い撃ちしてくるわけですよ. 今回は OpenSSH のバグが一般ユーザ権限から root 権限を取るのに使われたわけです. で, ssh client が trojan horse に置き換えられて, 他の認証情報を取られると.

大抵のインストールではどっかにそういう穴があって, あるいは, そのうち見つかって, シェルアカウントを持ったユーザ権限を取られたら, 遅かれ早かれ root にアップグレードされてしまう のです.

この不正アクセスの手口は全く古典的なのですが, ssh を見事に狙い撃ちしているという点で, 私にはけっこう新鮮でした. しかし, どうやって ssh client のカイザンを知ったのだ? まさか cron とかで実行されるチェックに引っかかったのか? だとしたら, 侵入者はヘボ? それとも, 判らないようにうまく隠してあったのかな? ま, 詳細は不明なのですが.

zshrc

去年の 10月以来イジってなかった zshrc を変更. ヒストリのサイズを縮めて, _history_complete_word が マトモに動くようにした. 以前は 4000 とかのばかげた値だったんだけど, そこまで遡るのは不要なので.

Esc-/ で emacs の dabbrev みたいなのが動くようになっているわけだが, これに似た関数が上記 _history_complete_word なのだ.

ところで, 小松さめがここらへんで emacs の dabbrev と zsh の連係を 企んでいる模様. だから, 上記設定もそのうちステるかも.


記事リストへ