現在の pkgsrc (NetBSD portable package system)は、 NetBSD のライブラリを優先しています (昔は pkgsrc が優先でした)。 たとえば openssl は、何も指定しないと /usr/lib/ (== /lib/) の方を使っ てしまいます。
この仕組みの問題点は security update を見逃すことです。
pkgsrc であれば、audit-packages による全自動のセキュリティ監査システム が使えるので見逃すことはないのですが、ベースシステムについては NetBSD Security Advisory を人間が読み損なったら終りです。 せっかくの仕組みが意味をなしません。 [1]
というわけで 「OS より pkgsrc を優先するように構築するべきだ」 という運用方針になります。 とくに remote exploit がありえそうなものは、 すべて pkgsrc へ切替えるべきです。
必要なすべてのものを pkgsrc の中だけで調達して作るには PREFER_PKGSRC=yes を /etc/mk.conf で指定します。 デフォルトは no です。 これにより( libc といった基本的過ぎるものについては無理ですが) それ以外のものについては audit-packages により 自動的にセキュリティアラートをあげるようなシステムが作れます。
月に一度 remote-exploit で祭りをするようなソフトウエアは、確実に libc などの基礎的な問題じゃない部分のバグなので pkgsrc 内での追跡で十分自動監査が出来ます。
また、リモートからのアクセスを受けるソフトウエアはベースシステム側のを 使わずに、pkgsrc へ切替えると、この監査の仕組みが使えるので便利です。 sshd や ntpd がその例です。
| [1] | いや、本来は OS をちゃんと三カ月おきに 4.0.1 4.0.2 とかリリースし、ユー ザもOS のアップデートをしないといけない。 でも、リリースされないしな。 そっち(NetBSD stable)のリリースエンジニアリング 担当の人がいないので、あいかわらずの放置プレーなのですね;-(じゃ、おま えがやれよって言われるような話だなぁ、う〜む、まぁ旗降るだけならやって もいいんだけど、そんな簡単じゃないんだろな)。 |
Copyright (C) 1993-2022 Ken'ichi Fukamachi mail:< fukachan at fml.org >