CloudLinuxは米国時間6月15日、Linux運用時のセキュリティ能力を向上させるためのツール「UChecker」をリリースしたと発表した。同社は、サーバー向けOS「Red Hat Enterprise Linux(RHEL)」や「CentOS」のクローンなどで知られている。
新たにオープンソース化されたこのツールは、同社の「TuxCare」セキュリティサービスの一部であり、Linuxサーバーのディスクとメモリーの双方を走査し、パッチが適用されていない古いバージョンのライブラリーを見つけ出す。また、同種のツールでは偽陰性となって見逃してしまう可能性のある、メモリー上で実行されている脆弱性を抱えたライブラリーを検出し、報告することもできる。UCheckerは、「GNU General Public License」ライセンスの下でリリースされており、ダウンロード可能になっている。RHELファミリーだけでなく、モダンなLinuxサーバーディストリビューションすべてで利用できる。
UCheckerは「userspace checker」(ユーザー空間チェッカー)の略だ。このツールは、どういったアプリケーションが、脆弱性を抱えているどのようなライブラリーを使用しているのかということについて、アクショナブルな詳細情報を提供する。また、適切なプロセスIDとプロセス名も提示する。こういった情報を用いることで、どのライブラリーに対してアップデートを適用するべきかが分かるようになる。
このツールは、使用しているサーバーのセキュリティ防御能力を引き上げるために、「Nagios Core」をはじめとする監視/ログ出力/管理ツールと連携することができる。
UCheckerは、KernelCare(kernelcare.com)を出自とするツールだ。KernelCareは、Linuxカーネルに対するライブパッチを提供するプログラムだ。
シェルからUCheckerを起動した後、ライブラリーにアップデートを適用するための方法は2つある。1つ目は従来の方法、つまりパッケージシステムを用いてライブラリーをアップデートし、サーバーを再起動するか、すべてのプロセスを立ち上げ直すというものだ。UCherkerであったとしても、どのプロセスが依然として古いライブラリーを使用しているのかを確実に判断できないためだ。
あるいは、TuxCareの「LibraryCare」サービスが提供するライブパッチ機能を使うことも可能だ。これにより、サーバーを再起動せずOpenSSLやGlibcといったライブラリーにセキュリティパッチを適用できる。CloudLinux傘下のTuxCareのサービスは、セキュリティとサポートの提供を目的としており、Linuxスタックにおけるカーネルから、広く利用されている共有ライブラリーに至るまでの重要コンポーネントに対するライブパッチを含んでいる。これによって時間とコストのかかるサービス停止や、最新のセキュリティパッチをサーバーやサービスにインストールするための再起動の必要性をなくすことで、運用を混乱させるメンテナンス期間の設定が不要になる。
またCloudLinuxは、「TuxCare Linux Support Services」によって、エンタープライズ向けLinuxシステムのすべてのコンポーネントに対する通常のパッチやアップデートが提供されるだけでなく、サポート期間が終了しているシステムであっても、24時間365日いつでもインシデントサポートを受けられるとしている。
CloudLinuxのプレジデントJim Jackson氏は、「一部のパッチはサーバーの再起動や再構成を必要とするが、長時間オフラインとすることは難しい。ハッカーは脆弱性を悪用しようとしているため時間は重要だ。そのため、ITチームがセキュリティパッチを適用するのは常に急を要する」とコメントしている。できるだけ早くセキュアではない可能性のあるライブラリーを見つけ、パッチを適用する上で役立つサービスは常に有用だ。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
