はじめに
最近になってから CentOS6 のサポート終了の記事が目立ってきたので、サポート終了による影響について調べてみました。既に社内で運用されている方のご参考になればと思います。
CentOSとは
正式名称は「Community ENTerprise Operating System」。Linuxの種類のひとつ。
業界で有力なのは、有料版Linuxである「Red Hat Enterprise Linux(以下RHEL)」となっている。CentOSはRHELを元に商標、ライセンスの関わるものを排除してフリーなものに置き換えたクローンOSになっている為、CentOSは無償で使用することが出来ます。
■CentOSバージョンによる主な違い
【CentOS 6 → 7】
・serviceコマンドがsystemctlコマンドへ移行
・nmcliコマンドの追加
・firewalldコマンドの追加
・デフォルトのDBがMySQLからMariaDBに変更
・ファイルシステムがext4からxfsに変更
【CentOS 7 → 8】
・yumコマンドがdnfコマンドへ移行
・iptablesコマンドがnftablesコマンドへ移行
・NTPコマンドがchronyコマンドへ移行
・TLS 1.1以下はサポート対象外
・デフォルトのPythonのバージョンがPython 3.6になる
・デフォルトのPHPのバージョンがPHP 7.2になる
・暗号化ボリュームのデフォルト形式がLUKSからLUKS2に変更
■OSのシェア(2020年7月30日検索結果)
・世界で4位を獲得しています
・国内の1位を獲得しています
CentOS の主な特徴
・無料で使用できる
・プロジェクトコミュニティがある
・YUMとRPMによるパッケージ管理
・長期間にわたるセキュリティーフィックスサポート
・安定性を重視している
・サーバー業務に向いている
■なぜRHEL同じ環境が無料で利用できるのか?
Linuxとそのユーティリティーを提供しているGNUのソフトウェアは原則GNU General Public License(以下GPL)であり、ライセンスフリーなソフトウェアとして利用できる様になっています。
GPLはコンピュータプログラムのソースコードの『公開を原則』としているため、GPLに違反しないかぎり、ソースコードはなにかしらの形で入手できるようになっています。またGPLはソースコードの利用を個人、集団、無償、有償を問いません。
その為、RHELも同様に公開されており、RHELのクローンとしてCentOSが誕生しました。
■プロジェクトコミュニティ
CentOSプロジェクトは、有識者によるコミュニティ主導のフリーソフトウェアの取り組みです。
堅牢なオープンソースのエコシステムを提供することに焦点を当てており、ビスネスや個人向け等、幅広い種類の展開に適した一貫性のある管理可能なプラットフォームを提供しています。
オープンソースコミュニティとして「コード構築」「テスト」「リリース」「維持管理」などの基盤が構築され、開発が続けられています。
■長期間にわたるサポート
CentOSは基本的には商用のRHELと同じような特徴になっていますが、
特に「長期間にわたるサポート」が最大の特徴となっており、10年間はセキュリティー更新(脆弱性の修正)を確実に受けることができます。
【CentOSサポート終了一覧】
| バージョン | リリース開始 | サポート終了 |
| 6 | 2011/07/10 | 2020/11/30 |
| 7 | 2014/07/07 | 2024/06/30 |
| 8 | 2019/09/24 | 2021/末 ※ |
※2020/12/8 CentOS8 2021年末でサポート終了を発表
【RHELサポート終了一覧】
| バージョン | リリース開始 | サポート終了 |
| 6 | 2011/07/10 | 2020/11/30 |
| 7 | 2014/07/07 | 2024/06/30 |
| 8 | 2019/09/24 | 2029/05/XX |
■非常に安定したOS
関係性を説明する為には前述のRHELの他にFedoraというLinuxディストリビューションが関連している。Fedoraで最新技術を導入し、検証した技術をRHELに導入。そしてその技術をCentOSに取り入れるフローが出来上がっている。
サポート終了に伴うリスク
サーバやPCに入っているOSには必ずサポート期間が存在しており、サポート期間切れのOSを使用することにはリスクが存在します。WindowsやiOSでは、セキュリティホールが見つかるといった脆弱性に対し、通常は修正パッチが提供されてアップデートの案内が来ますが、サポートが無くなったOSについてはその修正パッチが提供される事はなくなります。
つまり脆弱性を攻撃されてしまうと個人情報や中に入っている企業情報などを簡単に抜き取られてしまう可能性があります。
■CentOS5 のサポート終了後に発生した脆弱性の一例
CentoOS5のサポート終了後に脆弱性が発見され、重大なセキュリティリスクに発展しました。
【事象例】
・NSS(Network Security Services)ライブラリに対する重大な脆弱性(CVE-2017-5461)が発見されています。
| 脆弱性分類 | CVE-2017-5461 |
| 概要 | Mozilla Network Security Services (NSS) の Base64 デコーダに境界外の書き込みを許す可能性のある不具合 |
| 攻撃後の行動 | この脆弱性を利用し、NSS ライブラリをリンクしたプログラムをクラッシュさせたり、任意のコードを実行することが可能 |
【その他の事例】
・特権ユーザの奪取
・一部プロセスを第三者がリモートから不正に操作し、意図しないサービスダウンが発生
・CPU命令の投機的実行(CPUに本来不要な命令を発行させ、通常はアクセスできないメモリ空間にアクセスを行い、パスワードや暗号鍵など重要情報を窃取する攻撃)
サポート終了への対策
■サポートが切れる前にアップグレードを実施する
常にセキュリティアップデートを行う事はもちろん、サポートが切れる前に新しいOSにアップグレードする事が重要です。
サポートが切れてしまってセキュリティ事故を起こしてしまうと企業として対策を行うための直接的な費用だけでなく、賠償問題となったり、企業としての信頼も失う事になってしう可能性があります。そのため、サポート期間を確認して、サポートが終了するかなり前には、余裕を持って対策を完了させて置く事が重要です。OS移行が間に合わない場合は延長サポートを行っている企業に頼る選択肢もあります。
OSアップグレードによるリスク
■OSをアップグレードした際に、互換性の問題で正しく機能しない場合があります
CentOS6とCentOS7では、OSとしての仕組みに複数の違いがあります。
OS内で動作する個別パッケージの更新など、必須となる対応が複数存在します。
事前に入念な準備と計画をもって、移行作業に臨む必要があります。
CentOS6 から 7 へ移行する際の注意点
■ファイヤーウォールの機能追加に伴う設定見直し
CentOS7では、iptablesのみで管理していたフィルタリングではなく、NICごとに仮想FWを割り当てる方式へと変更されています。また、ゾーンという概念も追加されているため、セキュリティの設定をゼロから行うことが推奨されます。
■ソフトウェアパッケージのアップデート
ソフトウェアパッケージによってはCentOS7へのアップグレードツールにて導入されるバージョンより、新しいものが適用されている可能性があります。
この場合、他のソフトで共通して利用されているモジュールなどで相関関係に矛盾が生じ、一括アップデートが上手く動作しないこともあります。
■アップデートされないソフトウェアパッケージがある
アップグレードツールは、CentOSリポジトリのパッケージをアップデート対象とするため、EPELやRemiなど、サードパーティリポジトリのパッケージはアップデートしません。
おわりに
CentOSはRHELをベースで作られた無償で提供されているOSです。費用が掛からないことから、企業でも多く利用されています。しかしその反面「企業でも多く使われている」とうことは、サイバー犯罪で狙われる可能性も高くなります。2020年11月30日にCentOS6のサポートが切れるので、新しい脆弱性が見つかった場合標的になる恐れがあるので注意が必要です。また、バージョンアップの際に既存環境がうまく動作しなくなる可能性もあるので移行をサポートしている企業に頼ることを推奨します。
[blogcard url=” https://www.cyberfortress.jp/contact/ “]
参考文献
【3分でわかるシリーズ】CentOSとは?
https://eng-entrance.com/what-is-centos
ベンダーサポートが終了するRed Hat 6とCentOS 6のサーバを使い続けるリスクとは
https://resource-sharing.co.jp/redhat-centos-support-finish-20201130/
東京都産業労働局
https://cybersecurity-tokyo.jp/security/cyberthreat/259/index.html
各OSのリリース日とサポート終了日を表にまとめてみた
https://qiita.com/yunano/items/4757f86f9e92bb4f503f
CentOS 6~CentOS 8の違いをざっくりまとめてみた
https://dev.classmethod.jp/articles/centos6-centos8_matome/
CentOS 6を使い続けるリスクとCentOS 7移行時の注意点
https://baremetal.jp/blog/2020/06/26/932/
オープンソースのOS/CentOSとは
https://www.ossnews.jp/oss_info/CentOS
オープンソースのOS/Fedoraとは
https://www.ossnews.jp/oss_info/Fedora
2020の世界のOSのマーケットシェア
https://ja.hostadvice.com/marketshare/os/
FaceBook、Twitterで、サイバーセキュリティに関する情報、注意喚起、そのほかITお役立ち情報を配信しています。
是非、フォローいただき情報をご確認ください。
Written by CYBERFORTRESS, INC.
Tweet
関連記事
![[Python] Pythonとセキュリティ – ① Python とは](https://cyberfortress.jp/wp-content/uploads/2021/08/blog_img_000.jpg)
よく読まれている記事
