パスワードを忘れた? アカウント作成
339456 story
クラウド

Amazon のクラウドは穴だらけ ? 29

ストーリー by reo
ポム爺 部門より

ある Anonymous Coward 曰く、

本家 /. にて "Amazon's Cloud Is Full of Holes" (Amazon のクラウドは穴だらけ) というストーリーが掲載されている (ITworld の記事) 。

Amazon のセキュリティガイドラインに従わない利用者が多く、また簡単にセキュアでない仮想マシンを作れてしまうため、気を付けないと危険、という話だ。Amazonのクラウドではテンプレートを元に仮想マシンを作成できるのだが、テンプレートを使って作成された仮想マシンの API 鍵はデフォルトでは共通のものとなる。本来はこれを各ユーザーのものに置き換えなければならないのだが、その作業を行わないユーザーが多いという話しのようだ。

なお、この話は Amazon 側でもすでに問題として認知しているとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by asanagi (22217) on 2011年06月27日 12時32分 (#1977196) 日記

    クラウドは使ったことがないのでわかりませんが、sshが使えるレン鯖で言うと
    最初に送られてくる一般ユーザーのidとパスがみんな同じと言う感じですか?

    たいてい最初にhosts.*を書き換えて自分以外入れなくした後、アップデートやら鍵認証やら
    を設定して、安全を確保してから実際の開発に入るという感じだと思うのですが
    皆さんノウハウがないので、マニュアル化されていないせい?といった感じでしょうか

    • by Anonymous Coward
      hostsを変更する前に侵入されてrootkit仕込まれて手のひらの上で踊らされますよ?
      無防備な状態は1msecもあってはならんのです。
  • by Anonymous Coward on 2011年06月27日 16時32分 (#1977409)

    タレコミが認識違いをしているので、ちょっとピントが外れたコメントが多いようです。

    公開されているAMI(仮想マシンのテンプレート)を調べたら、その中の多くからパスワードやら鍵やら公開前のプログラムやらがざくざく出てきてビクリ!
    というお話。
    公開した本人からしたら、見られては困る秘密情報が公開されちゃった てヘッ、ということになります。

    何でそうなるかというと、当事者の知識不足というのが多いのだろうけど、注意していてもミスを誘いやすいというEC2の仕様面の問題もあります(これは自分の意見)。

    またそういう不注意な公開AMIを、不注意に使用するユーザーもアブナイ。
    どういうバックドアが入っているか分からないマシンテンプレートを拾ってきて使うのは怖いことなのに、便利そうな名前のAMIが並んでいたりする。

    現状では野良AMIの認定や署名などの機能がないので、これも改善してもらいたい点の一つ(これも自分の意見)。

    • > 公開されているAMI(仮想マシンのテンプレート)を調べたら、その中の多くからパスワードやら鍵やら公開前のプログラムやらがざくざく出てきてビクリ!

      「テンプレート」って何のことかと思ったらAMIのことでしたか.

      故意にせよ事故にせよバックドアが仕掛けられている可能性は否定できないので,AMIは0から自作するのが一番かと思います.
      親コメント
  • Amazon EC2 だからという事ではなく、VMware など、仮想化のイメージを使ったものは要注意ということですよね。元記事 [itworld.com]によると、「1,100 AMIを調べたら、3分の1にSSHホスト鍵かユーザ鍵が残ったままだった」という所が興味深いところです。

    一般的な事として、AWS のガイドライン [amazonwebservices.com]は参考になりそうです。

    AMI 公開前の確認事項として、以下の点が指摘されています。
    1. ssh 認証鍵の確認。AMI 起動に必要なものにしぼっているか
    2. 開いているポート、稼働しているサービスの確認
    3. ランダムでない root パスワードの変更や、初回ログイン時に初期化する設定
    4. root で SSH のパスワード認証を無効にしているか
    5. ユーザアカウントがバックドアになりかねないか確認(super user 権限は特に)
    6. 全ての cron ジョブが適切なものか

    逆に野良 AMI の場合、こういった危険性があるかもしれないので、利用時には注意しないとセキュリティホールになりかねないという事ですよね。

    --
    とか思うんだよ、おじさんは。
  • +○○円でセキュリティオプションがそろそろ登場する頃ですかね

    • by Anonymous Coward
      +無限円。。。
      たしかに月額制は契約終了まで
      終わりはないですなw
    • by Anonymous Coward

      アイテム課金のネトゲみたいですね。
      そのうちクラウドサービスも無料と言って客を集めて、オプションサービスを購入しないとまったく使いものにならないのが一般的になるんですかね。

      • by Anonymous Coward
        しかし「一円でも安さ」を求めるユーザが低価格競争を促し、 その線上にあるのが無料化であるのだから仕方が無い話のような気がする。 誰だって、やらなくてもいいなら無料でなんて売りたくは無い。
  • by shesee (27226) on 2011年06月27日 12時41分 (#1977208) 日記
    クラウドストレージの認証がID/PWベースなのは片手落ちな気もするよ
    • by Anonymous Coward on 2011年06月27日 15時47分 (#1977392)

      デフォルトの設定がダメダメなのではないのです。

      サーバーに、自ら秘密情報(Amazonのアカウントとか、個人のSSHキーとか、ホストSSHキーとか)を残したまま、そのイメージを(自らの意思で)一般公開してるやつが多いよ。ってことです。

      親コメント
      • by Anonymous Coward

        確かに本家のタレコミには
        > API 鍵はデフォルトでは共通のものとなる。
        みたいなことは一言も書かれてないね。これを訂正できないあたりが安心と信頼のreoクォリティ。

  • T/O
  • by Anonymous Coward on 2011年06月27日 12時04分 (#1977172)
    これはAmazon側の問題じゃなくて利用しているユーザー側の問題じゃないんでしょうか? タレコミの見出しを見る限りAmazonのクラウドには問題がありますよと悪意を持ってミスリードしたいのかなと妄想してみる。
    • by ikotom (20155) on 2011年06月27日 12時30分 (#1977195)

      悪意を持ってミスリードしたいのかな

      でもより真実に近い見出しにしちゃうと

      「Amazonのクラウドユーザーはアホだらけ?」

      とさらに悪意っぽくなってしまったり。

      親コメント
    • by Anonymous Coward on 2011年06月27日 13時31分 (#1977258)

      利用者側の不注意や無知という面はあるんだけど、EC2の仕様も問題だとおもう。

      EC2で起動した仮想マシン(インスタンス)は、一度停止するとディスクの変更が揮発する仕様のため、利用者は変更を永続的にするため、カスタムマシンイメージ(AMI)を作らなければならないんだけど、そのAMIを作るのが面倒(注意が必要)なわけ。

      AMI作成の作業はインスタンスの中にログインしてやることになるのだけれど、その作業の際に認証情報(キーコードや証明書)が必要となる。ので、どうしてもそういう情報をインスタンスに置きっぱなしにしたままAMIを作ってしまうことがある。
      また、/root/.ssh/*とか/var/log/*とかの情報もイメージ化されてしまうので、AMI作るまえに注意深く痕跡を削除しないといけない。

      公開範囲をPriateにして自分だけで使う分には問題はないけど、PublicとしてでAMIを一般公開してしまうとまずいのね。

      親コメント
    • by Anonymous Coward on 2011年06月27日 12時39分 (#1977205)
      あれ?サイドに立ってたメガネのおねーさん、もういないの?
      親コメント
      • by Anonymous Coward
        見出しだけみて、クラウディアさんが遂に牙をむいたと思ったのに……。
        • by Anonymous Coward

          いわゆる三つ穴空いてますし、人の事言えないです

      • by Anonymous Coward
        オバチャンだよ。二十代だよ。
      • by Anonymous Coward

        僕が、僕がもっとうまくテンプレートを扱えていたら、クラウディアさんは……
        ばかやろう! うぬぼれるんじゃない!
        たかが一人、たかが一機の仮想PCをうまく設定したくらいであほユーザー連中がどうにかなったりなんてしないんだ!

    • by Anonymous Coward
      そのためのウイルス罪です。知らない人が勝手に自分の仮想マシンを使えないように保護するという、意図に沿うべき動作をしていないとamazonを告発すればすみやかに是正が期待できます。
      • by Anonymous Coward

        いつの間にそんな法律が。

    • by Anonymous Coward
      元記事を流し読みしてみましたが、調査母数の3分の1が該当しているとか。
      本当なら、さすがに「初期設定が不適切」と取られても おかしくはないと思います。
    • バカ対策をしていないAmazonが悪いとも言えるので、一律にユーザー側の問題でAmazonに非は無いとは言えないのでは?
      テンプレートを元に仮想マシンを作ったら、鍵をランダムな値で初期化するぐらいして上げてもいいんじゃないかなと。
      (記事だけ見て書いてます。手順上、利用者が鍵を入れないと問題あるのならサーセン。)

      EC2を使うような利用者は開発者だろうから、そんなこともできない開発者ってどうよ?という話はともかく。

    • by Anonymous Coward
      > 悪意を持ってミスリードしたいのかなと妄想

      気づけ、気づくんだ、/.Jのトップページからクラウディアさんの姿が消えたとたんにこのタレコミだろ

      そうさ陰謀に決まってるwww 正々堂々、クラウディアさんがトップページに見えてる状態で議論しようぜ
  • by Anonymous Coward on 2011年06月27日 15時17分 (#1977367)
    VPSじゃ同セグからTELNETし放題、PWは平文通知、
    そんな受け渡し珍しくもない。

    その是非に関する声は
    鯖管として利用してんだから初期設定は義務、
    設定内容知らせず勝手にガチガチで渡されるほうがサポート面倒、
    とかとか、
    素人が手を出していいシロモノじゃねぇってノリ。

    踏み台の温床なわけだからそのままでいいということはないけど、
    時流考えず玄人風吹かせたい厨も何とかせにゃならんかと。

    # 資格制にするか、素人向け仕様にするかの二択かなぁ
typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...