現在の pkgsrc (NetBSD portable package system)は、 NetBSD のライブラリを優先しています (昔は pkgsrc が優先でした)。 たとえば openssl は、何も指定しないと /usr/lib/ (== /lib/) の方を使っ てしまいます。
この仕組みの問題点は security update を見逃すことです。
pkgsrc であれば、audit-packages による全自動のセキュリティ監査システム が使えるので見逃すことはないのですが、ベースシステムについては NetBSD Security Advisory を人間が読み損なったら終りです。 せっかくの仕組みが意味をなしません。 [1]
というわけで 「OS より pkgsrc を優先するように構築するべきだ」 という運用方針になります。 とくに remote exploit がありえそうなものは、 すべて pkgsrc へ切替えるべきです。
必要なすべてのものを pkgsrc の中だけで調達して作るには PREFER_PKGSRC=yes を /etc/mk.conf で指定します。 デフォルトは no です。 これにより( libc といった基本的過ぎるものについては無理ですが) それ以外のものについては audit-packages により 自動的にセキュリティアラートをあげるようなシステムが作れます。
月に一度 remote-exploit で祭りをするようなソフトウエアは、確実に libc などの基礎的な問題じゃない部分のバグなので pkgsrc 内での追跡で十分自動監査が出来ます。
また、リモートからのアクセスを受けるソフトウエアはベースシステム側のを 使わずに、pkgsrc へ切替えると、この監査の仕組みが使えるので便利です。 sshd や ntpd がその例です。
| [1] | いや、本来は OS をちゃんと三カ月おきに 4.0.1 4.0.2 とかリリースし、ユー ザもOS のアップデートをしないといけない。 でも、リリースされないしな。 そっち(NetBSD stable)のリリースエンジニアリング 担当の人がいないので、あいかわらずの放置プレーなのですね;-(じゃ、おま えがやれよって言われるような話だなぁ、う〜む、まぁ旗降るだけならやって もいいんだけど、そんな簡単じゃないんだろな)。 |
my homepage is www.fml.org/home/fukachan/.
my free softwares are found at www.fml.org/software/.
fml 4.0 project homepage is www.fml.org/fml/menu.ja.html.
fml 8.0 (fml-devel) project homepage is www.fml.org/software/fml8/.
about one floppy bsd routers, see www.bsdrouter.org/.
USB bootable OS is www.fml.org/software/mkliveusb/.
my laboratory is www.nsrg.fml.org.
Also, visit nuinui's world :) at www.nuinui.net.
For questions about me, e-mail <fukachan@fml.org>.
Copyright (C) 1993-2011 Ken'ichi Fukamachi
Powered by IIJ (1996-2008) and Chitose Institute of Science _and_ Technology (2008-).
Powered by NetBSD (1993-).