古い Linux イメージに関する問題の修正 - - Alibaba Cloud ドキュメントセンター

説明

このドキュメントには、サードパーティ製品に関する情報が含まれている場合があります。この情報は参照用です。 Alibaba Cloud は、サードパーティ製品のパフォーマンスと信頼性、またはそれらの使用から生じる潜在的な影響について、明示または黙示を問わず、いかなる保証も行いません。

問題の説明

古い Linux イメージから作成された Elastic Compute Service (ECS) インスタンスでは、Network Time Protocol (NTP) および Yellowdog Updater, Modified (YUM) サービスが設定されていない場合があります。これらのインスタンスには、最近公開された高リスクのセキュリティ脆弱性が存在する可能性もあります。このトピックでは、ご利用の ECS インスタンスのセキュリティを向上させるために、これらの問題を修正する方法について説明します。 Alibaba Cloud が無料で提供する NTP サービスを時刻同期に、Alibaba Cloud YUM サービスをソフトウェアのインストールに利用できます。

ソリューション

説明

インスタンスの構成やデータの変更などのリスクの高い操作を実行する前に、データのセキュリティを確保するためのディザスタリカバリおよびフォールトトレランス計画を準備していることを確認してください。
ECS インスタンスや ApsaraDB RDS インスタンスなどの構成やデータを変更する前に、スナップショットを作成するか、ログバックアップなどの機能を有効にしてください。
Alibaba Cloud プラットフォームで権限を付与したり、ログイン認証情報などの機密情報を送信したりした場合は、すぐに情報を変更してください。

NTP の設定

説明

この手順は、すべての Linux ディストリビューションに適用されます。

/etc/ntp.conf ファイルをバックアップし、その内容を次の構成に置き換えます。

# ntp.conf
#
# ntpd config for aliyun ecs.
#
# 6LAN+6LAN+3WAN
#               shijun.***@alibaba-inc.com
#               2014.8.11
#
driftfile  /var/lib/ntp/drift
pidfile   /var/run/ntpd.pid
logfile /var/log/ntp.log
# Access Control Support
restrict    default ignore
restrict -6 default ignore
restrict 127.0.0.1
restrict 192.168.0.0 mask 255.255.0.0 nomodify notrap nopeer noquery
restrict 172.16.0.0 mask 255.240.0.0 nomodify notrap nopeer noquery
restrict 100.64.0.0 mask 255.192.0.0 nomodify notrap nopeer noquery
restrict 10.0.0.0 mask 255.0.0.0 nomodify notrap nopeer noquery
restrict ntp1.aliyun.com nomodify notrap nopeer noquery
restrict ntp2.aliyun.com nomodify notrap nopeer noquery
restrict ntp3.aliyun.com nomodify notrap nopeer noquery
restrict ntp4.aliyun.com nomodify notrap nopeer noquery
restrict ntp5.aliyun.com nomodify notrap nopeer noquery
restrict ntp6.aliyun.com nomodify notrap nopeer noquery
# local clock
server 127.127.1.0
fudge  127.127.1.0 stratum 10
#public ntp server
server ntp1.aliyun.com iburst minpoll 4 maxpoll 10
server ntp2.aliyun.com iburst minpoll 4 maxpoll 10
server ntp3.aliyun.com iburst minpoll 4 maxpoll 10
server ntp4.aliyun.com iburst minpoll 4 maxpoll 10
server ntp5.aliyun.com iburst minpoll 4 maxpoll 10
server ntp6.aliyun.com iburst minpoll 4 maxpoll 10
#Private ntp server
server ntp1.cloud.aliyuncs.com iburst minpoll 4 maxpoll 10
server ntp2.cloud.aliyuncs.com iburst minpoll 4 maxpoll 10
server ntp3.cloud.aliyuncs.com iburst minpoll 4 maxpoll 10
server ntp4.cloud.aliyuncs.com iburst minpoll 4 maxpoll 10
server ntp5.cloud.aliyuncs.com iburst minpoll 4 maxpoll 10
server ntp6.cloud.aliyuncs.com iburst minpoll 4 maxpoll 10
#New private ntp server
server ntp7.cloud.aliyuncs.com iburst minpoll 4 maxpoll 10
server ntp8.cloud.aliyuncs.com iburst minpoll 4 maxpoll 10
server ntp9.cloud.aliyuncs.com iburst minpoll 4 maxpoll 10
server ntp10.cloud.aliyuncs.com iburst minpoll 4 maxpoll 10
server ntp11.cloud.aliyuncs.com iburst minpoll 4 maxpoll 10
server ntp12.cloud.aliyuncs.com iburst minpoll 4 maxpoll 10

ソフトウェアリポジトリの更新

CentOS 6 はサポート終了 (EOL) となりました。 Linux コミュニティのルールに従い、すべてのコンテンツが CentOS 6 のリポジトリアドレス http://mirror.centos.org/centos-6/ から削除されました。 Alibaba Cloud でデフォルトの CentOS 6 リポジトリを引き続き使用すると、エラーが報告されます。 CentOS 6 の特定のインストールパッケージを使用するには、CentOS 6 のリポジトリアドレスを変更する必要があります。詳細については、「CentOS 6 のリポジトリアドレスを変更する方法」をご参照ください。

次のいずれかのコマンドを実行して、インスタンスの Linux ディストリビューションを確認します。
- lsb_release -a コマンドを実行します。
- cat /etc/issue コマンドを実行します。
CentOS システムの場合、/etc/yum.repos.d/ ディレクトリにある CentOS-Base.repo ファイルと epel.repo ファイルをバックアップします。次に、CentOS のバージョンに基づいて対応するコマンドを実行して repo ファイルをダウンロードし、yum makecache コマンドを実行します。
1. CentOS 6
```
wget -qO /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo
wget -qO /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo
```
2. CentOS 7
```
wget -qO /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
wget -qO /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
```
Alibaba Cloud Linux 5.7 の場合、/etc/yum.repos.d/CentOS-Base.repo ファイルをバックアップします。次に、次のコマンドを実行して repo ファイルをダウンロードし、yum makecache コマンドを実行します。
```
wget -qO /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/aliyun-5.repo
```
Ubuntu システムの場合、/etc/apt/sources.list ファイルをバックアップします。次に、ディストリビューションのバージョンに基づいて対応するコマンドを実行して .list ファイルをダウンロードし、apt-get update コマンドを実行します。
1. Ubuntu 12.04
```
wget -qO /etc/apt/sources.list http://mirrors.aliyun.com/repo/ubuntu1204-lts.list
```
2. Ubuntu 14.04
```
wget -qO /etc/apt/sources.list http://mirrors.aliyun.com/repo/ubuntu1404-lts.list
```
Debian システムの場合、/etc/apt/sources.list ファイルをバックアップします。次に、ディストリビューションのバージョンに基づいて対応するコマンドを実行して .list ファイルをダウンロードし、apt-get update コマンドを実行します。
1. Debian 6
```
wget -qO /etc/apt/sources.list http://mirrors.aliyun.com/repo/debian6-lts.list
```
2. Debian 7
```
wget -qO /etc/apt/sources.list http://mirrors.aliyun.com/repo/debian7-lts.list
```

セキュリティ脆弱性の修正

既知の主要なセキュリティ脆弱性を修正するには、bash、glibc、openssl、wget、ntp などのソフトウェアパッケージをアップグレードします。

次のコマンドを実行する前に、システムのソフトウェアリポジトリが正しく設定されていることを確認してください。

CentOS および Alibaba Cloud Linux システムの場合は、次のコマンドを実行します。
```
yum update bash glibc openssl wget ntp
```
Ubuntu および Debian システムの場合は、次のコマンドを実行します。
```
apt-get install bash libc6 libc-bin openssl wget ntp
```

適用対象

Elastic Compute Service (ECS)