Amazon のクラウドは穴だらけ ? 29
ストーリー by reo
ポム爺 部門より
ポム爺 部門より
ある Anonymous Coward 曰く、
本家 /. にて "Amazon's Cloud Is Full of Holes" (Amazon のクラウドは穴だらけ) というストーリーが掲載されている (ITworld の記事) 。
Amazon のセキュリティガイドラインに従わない利用者が多く、また簡単にセキュアでない仮想マシンを作れてしまうため、気を付けないと危険、という話だ。Amazonのクラウドではテンプレートを元に仮想マシンを作成できるのだが、テンプレートを使って作成された仮想マシンの API 鍵はデフォルトでは共通のものとなる。本来はこれを各ユーザーのものに置き換えなければならないのだが、その作業を行わないユーザーが多いという話しのようだ。
なお、この話は Amazon 側でもすでに問題として認知しているとのこと。
レンタルサーバで言うと (スコア:3, 参考になる)
クラウドは使ったことがないのでわかりませんが、sshが使えるレン鯖で言うと
最初に送られてくる一般ユーザーのidとパスがみんな同じと言う感じですか?
たいてい最初にhosts.*を書き換えて自分以外入れなくした後、アップデートやら鍵認証やら
を設定して、安全を確保してから実際の開発に入るという感じだと思うのですが
皆さんノウハウがないので、マニュアル化されていないせい?といった感じでしょうか
Re: (スコア:0)
無防備な状態は1msecもあってはならんのです。
タレコミがちがくね? (スコア:3, 参考になる)
タレコミが認識違いをしているので、ちょっとピントが外れたコメントが多いようです。
公開されているAMI(仮想マシンのテンプレート)を調べたら、その中の多くからパスワードやら鍵やら公開前のプログラムやらがざくざく出てきてビクリ!
というお話。
公開した本人からしたら、見られては困る秘密情報が公開されちゃった てヘッ、ということになります。
何でそうなるかというと、当事者の知識不足というのが多いのだろうけど、注意していてもミスを誘いやすいというEC2の仕様面の問題もあります(これは自分の意見)。
またそういう不注意な公開AMIを、不注意に使用するユーザーもアブナイ。
どういうバックドアが入っているか分からないマシンテンプレートを拾ってきて使うのは怖いことなのに、便利そうな名前のAMIが並んでいたりする。
現状では野良AMIの認定や署名などの機能がないので、これも改善してもらいたい点の一つ(これも自分の意見)。
Re:タレコミがちがくね? (スコア:1)
「テンプレート」って何のことかと思ったらAMIのことでしたか.
故意にせよ事故にせよバックドアが仕掛けられている可能性は否定できないので,AMIは0から自作するのが一番かと思います.
タイトルは釣りっぽい感じもしますが、指摘事項は一般的な事で (スコア:3, 参考になる)
一般的な事として、AWS のガイドライン [amazonwebservices.com]は参考になりそうです。
AMI 公開前の確認事項として、以下の点が指摘されています。
逆に野良 AMI の場合、こういった危険性があるかもしれないので、利用時には注意しないとセキュリティホールになりかねないという事ですよね。
とか思うんだよ、おじさんは。
Re:タイトルは釣りっぽい感じもしますが、指摘事項は一般的な事で (スコア:1)
>VMware など、仮想化のイメージを使ったものは要注意ということですよね。
Javaでいえば「シリアライズする時は秘密情報に注意しろ」みたいなものかな?
#基本だけど、意外と知らない人が多い気がする。
セキュリティの追加オプション (スコア:2)
+○○円でセキュリティオプションがそろそろ登場する頃ですかね
Re: (スコア:0)
たしかに月額制は契約終了まで
終わりはないですなw
Re: (スコア:0)
アイテム課金のネトゲみたいですね。
そのうちクラウドサービスも無料と言って客を集めて、オプションサービスを購入しないとまったく使いものにならないのが一般的になるんですかね。
Re: (スコア:0)
scott tiger ですね (スコア:1)
いやそうではなく、 Re:scott tiger ですね (スコア:1, 興味深い)
デフォルトの設定がダメダメなのではないのです。
サーバーに、自ら秘密情報(Amazonのアカウントとか、個人のSSHキーとか、ホストSSHキーとか)を残したまま、そのイメージを(自らの意思で)一般公開してるやつが多いよ。ってことです。
Re: (スコア:0)
確かに本家のタレコミには
> API 鍵はデフォルトでは共通のものとなる。
みたいなことは一言も書かれてないね。これを訂正できないあたりが安心と信頼のreoクォリティ。
説明書読まない人 (スコア:1)
この見出しってどうなの? (スコア:0)
Re:この見出しってどうなの? (スコア:4, すばらしい洞察)
でもより真実に近い見出しにしちゃうと
「Amazonのクラウドユーザーはアホだらけ?」
とさらに悪意っぽくなってしまったり。
Re:この見出しってどうなの? (スコア:2, 参考になる)
利用者側の不注意や無知という面はあるんだけど、EC2の仕様も問題だとおもう。
EC2で起動した仮想マシン(インスタンス)は、一度停止するとディスクの変更が揮発する仕様のため、利用者は変更を永続的にするため、カスタムマシンイメージ(AMI)を作らなければならないんだけど、そのAMIを作るのが面倒(注意が必要)なわけ。
AMI作成の作業はインスタンスの中にログインしてやることになるのだけれど、その作業の際に認証情報(キーコードや証明書)が必要となる。ので、どうしてもそういう情報をインスタンスに置きっぱなしにしたままAMIを作ってしまうことがある。
また、/root/.ssh/*とか/var/log/*とかの情報もイメージ化されてしまうので、AMI作るまえに注意深く痕跡を削除しないといけない。
公開範囲をPriateにして自分だけで使う分には問題はないけど、PublicとしてでAMIを一般公開してしまうとまずいのね。
Re:この見出しってどうなの? (スコア:1, おもしろおかしい)
Re: (スコア:0)
Re: (スコア:0)
いわゆる三つ穴空いてますし、人の事言えないです
Re: (スコア:0)
Re: (スコア:0)
僕が、僕がもっとうまくテンプレートを扱えていたら、クラウディアさんは……
ばかやろう! うぬぼれるんじゃない!
たかが一人、たかが一機の仮想PCをうまく設定したくらいであほユーザー連中がどうにかなったりなんてしないんだ!
Re: (スコア:0)
Re: (スコア:0)
いつの間にそんな法律が。
Re: (スコア:0)
本当なら、さすがに「初期設定が不適切」と取られても おかしくはないと思います。
バカを想定していないのは問題(?) (スコア:0)
バカ対策をしていないAmazonが悪いとも言えるので、一律にユーザー側の問題でAmazonに非は無いとは言えないのでは?
テンプレートを元に仮想マシンを作ったら、鍵をランダムな値で初期化するぐらいして上げてもいいんじゃないかなと。
(記事だけ見て書いてます。手順上、利用者が鍵を入れないと問題あるのならサーセン。)
EC2を使うような利用者は開発者だろうから、そんなこともできない開発者ってどうよ?という話はともかく。
Re: (スコア:0)
気づけ、気づくんだ、/.Jのトップページからクラウディアさんの姿が消えたとたんにこのタレコミだろ
そうさ陰謀に決まってるwww 正々堂々、クラウディアさんがトップページに見えてる状態で議論しようぜ
意外なこと? (スコア:0)
そんな受け渡し珍しくもない。
その是非に関する声は
鯖管として利用してんだから初期設定は義務、
設定内容知らせず勝手にガチガチで渡されるほうがサポート面倒、
とかとか、
素人が手を出していいシロモノじゃねぇってノリ。
踏み台の温床なわけだからそのままでいいということはないけど、
時流考えず玄人風吹かせたい厨も何とかせにゃならんかと。
# 資格制にするか、素人向け仕様にするかの二択かなぁ