Linux情報・技術・セキュリティ
Linux情報・技術・セキュリティ:記事リスト
Linux情報・技術・セキュリティのカテゴリーには以下の記事がリストされています。
MySQL 9.6で外部キーのカスケードがバイナリログに記録|現役Linux管理者が押さえるFK挙動変更と移行
その長年の弱点に、MySQL 9.6が手を入れました。外部キーの検証とカスケード処理を、InnoDBストレージエンジンの内部からSQLレイヤーへ引き上げる変更です。地味に見えて、レプリケーションやバイナリログを使う現場には影響が小さくない話です。
この記事では、MySQL 9.6で外部キー制約とカスケード処理の何がどう変わったのか、そしてそれが既存スキーマや日々の運用にどう効いてくるのかを、現役のLinuxサーバー管理者の視点で整理します。
この記事のポイント
・MySQL 9.6で外部キーの検証・カスケードがInnoDBからSQLレイヤーへ移行
・これまでバイナリログに残らなかったカスケード変更が記録されるようになった
・レプリケーション・CDC(Debezium等)・監査ログの整合性が改善
・性能はほぼ同等、innodb_native_foreign_keysで一時的に旧挙動へ退避も可能
続きを読む "MySQL 9.6で外部キーのカスケードがバイナリログに記録|現役Linux管理者が押さえるFK挙動変更と移行"
Btrfs Direct I/Oがカーネル修正で約59%高速化|SB_NOSEC抜けによる直列化を読み解く
そう要約できる修正が、Btrfs に入ろうとしています。Direct I/O の書き込みスループットが、ベンチマーク条件によっては約59%、数値で言えば826 MB/s から1311 MB/s へ跳ね上がる。原因は新機能でもチューニングでもなく、2023年のmount API移行のときに設定が抜け落ちていた1つのフラグでした。
派手な新機能ではありませんが、現役のサーバー管理者にとっては「自分の環境のI/O性能が、ある日アップデートで素直に速くなる」話です。なぜ遅かったのか、どんなワークロードが恩恵を受けるのか、自分のサーバーは関係するのかを、落ち着いて整理します。
続きを読む "Btrfs Direct I/Oがカーネル修正で約59%高速化|SB_NOSEC抜けによる直列化を読み解く"
CIFSwitch(19年物のcifs.spnego特権昇格)でrootを取られる|影響ディストロと緩和手順
そのサーバーで、一般ユーザーのアカウントを1つ取られたら、root を取られる。19年前から仕込まれていた、と聞かされて、自分の管理してきたファイルサーバー群を頭の中で点検し始めました。
2026年5月下旬、Linux カーネルの CIFS サブシステムに潜む特権昇格の脆弱性「CIFSwitch」が、発見者 Asim Manizada 氏のブログと oss-security メーリングリストで公開されました。PoC(実証コード)も同時に出ています。非特権の一般ユーザーが、条件のそろった環境で root を取れる。しかも CentOS Stream 9、Rocky Linux 9、AlmaLinux 9、Kali、SLES など、既定構成のまま踏める環境が複数報告されています。
本稿では、現役のサーバー管理者の視点で「自分の環境は脆弱なのか」を切り分け、root を取られる前に今週中に何を確認・実行すべきかを書きます。CVE番号はまだ採番されていない(申請中)ため、本文ではCVE番号を断定しません。
続きを読む "CIFSwitch(19年物のcifs.spnego特権昇格)でrootを取られる|影響ディストロと緩和手順"
Fedora 45がPURL導入を検討|ソフトウェアサプライチェーン対策とSBOMをLinux管理者目線で整理
2026年5月末、FedoraプロジェクトがFedora 45でパッケージのメタデータに「PURL(Package URL)」を付与する変更提案を検討している、というニュースが流れました。一見地味な話ですが、これはソフトウェアサプライチェーンの脆弱性管理に直結する、現役Linux管理者にとって見逃せない動きです。
この記事では、PURLとは何か、Fedora 45で何が変わろうとしているのか、そしてサーバーを運用する側がこの流れをどう捉えればいいかを、実務観点で整理します。
この記事のポイント
・Fedora 45でパッケージにPURL(Package URL)メタデータを付与する変更提案が検討段階にある
・現時点では提案であり、FESCo(技術運営委員会)の投票を経て確定する。Fedora 45のGAは2026年後半(10月目安)
・PURLは「pkg:type/name@version」形式で、上流プロジェクトとパッケージを一意に対応づける識別子
・狙いは「どのパッケージにどの脆弱性が影響するか」を正確に突き合わせること、SBOM生成にも有用
・管理者は「いま使える脆弱性管理(dnf updateinfo・CVE突合)」を固めつつ、SBOMの流れを押さえておけばよい
続きを読む "Fedora 45がPURL導入を検討|ソフトウェアサプライチェーン対策とSBOMをLinux管理者目線で整理"
MariaDB 12.3.2 LTSリリース|既存系列からの移行判断とsnapshot isolation変更の注意点
2026年5月29日、MariaDB Foundationが新しい長期サポート版「MariaDB 12.3.2」をリリースしました。同時に既存LTS系列のメンテナンス版(11.8.8 / 11.4.12 / 10.11.18 / 10.6.27)もまとめて公開されています。
この記事では、Linuxサーバー上でMariaDBを運用してきた管理者に向けて、12.3 LTSへ移行すべきかどうかの判断軸と、既存LTS系列との差分を実務観点で整理します。
この記事のポイント
・MariaDB 12.3.2は2026年5月29日リリースの新LTS系列、メンテナンスは2029年6月まで
・MariaDBのLTSは「年1回・3年サポート」が基本ポリシー(12.3 / 11.8 / 11.4 / 10.11 / 10.6が現役LTS)
・12.3の最大の注意点はinnodb_snapshot_isolationがデフォルトでONに変わったこと(REPEATABLE READの挙動が変化)
・10.6は2026年7月にコミュニティEOL、10.11は2028年2月EOL。延命中の旧LTSは移行計画が必要
・移行は「いきなり12.3」より、検証環境で挙動確認→フルバックアップ→段階投入が鉄則
続きを読む "MariaDB 12.3.2 LTSリリース|既存系列からの移行判断とsnapshot isolation変更の注意点"
米「年齢確認法」がLinuxディストロを除外|OSSを救った「改変・再配布の自由」という一行
米国で、年齢確認の義務をWebサイトやアプリではなくOSレベルに課そうとする法案が動いています。当初の条文のままなら、Linuxディストリビューションも対象になりかねませんでした。
この記事では、カリフォルニア州とコロラド州の「年齢確認法」がLinux等のオープンソースOSを除外する方向に修正された経緯と、その決め手になった一行の定義について、OSS運用者の視点で整理します。技術の話ではなく、私たちが使うOSの「自由」が政策の場でどう扱われたかという話です。
この記事のポイント
・米2州がOSレベルの年齢確認を義務化、当初はLinuxも対象になり得た
・除外の決め手は「コピー・再配布・改変の自由」という定義
・コロラドSB26-051は除外を明記、カリフォルニアAB1856は審議中
・純粋なLinuxは除外、SteamOSのような独自部品入りは対象の可能性
Linuxカーネルが「x32 ABI」廃止へ|2027年めど、32bit運用への影響と確認方法
ニュースで「Linuxカーネルがx32 ABIを廃止へ」と聞いて、ふと不安になった現役管理者の方も多いと思います。
この記事では、Linuxカーネルが2027年をめどに廃止を検討している「x32 ABI」について、それが何だったのか、なぜ消えるのか、そして自分の運用環境に影響があるのかを、コマンドで確認する方法まで含めて解説します。結論から言うと、ほとんどの本番Linuxサーバーは無関係ですが、組み込みや一部の特殊ビルドでは確認しておく価値があります。
この記事のポイント
・x32 ABIは2027年めどにカーネルから削除される提案が進行中
・普及しなかった「64bitレジスタ+32bitポインタ」のハイブリッドABI
・確認は grep X32 /boot/config-$(uname -r) で一発
・大半の本番サーバーは無関係、影響は組み込み・特殊ビルドに限定
Ubuntu 24.04でLet's Encrypt自動更新を確実に動かす|Certbot snap/systemd-timer/cron 3パターン徹底比較
2026年5月時点で、Ubuntu 24.04 LTS上でCertbotを動かす方法は大きく3つ(snap版、aptパッケージ+systemd-timer、apt+手動cron)に分かれます。それぞれに利点と落とし穴があり、迷うのも当然です。
この記事では、Ubuntu 24.04でLet's Encryptの自動更新を確実に動かすための3パターンを、設置手順とログ確認、トラブル時の切り分けまで含めて徹底比較します。なお、汎用的な「SSL証明書更新エラー対処」の概論はすでに別記事で扱っているため、本稿はUbuntu 24.04特化の最新パターンに絞ります。
この記事のポイント
・Ubuntu 24.04のCertbot導入は「snap版」「apt+systemd-timer」「apt+手動cron」の3パターン
・EFFが公式推奨するのはsnap版(自動更新タイマー同梱、Certbot最新版に追従)
・apt版は安定だが、Certbot本体のバージョンがディストロのリリース時点で固定される
・snap版と他方式の混在は事故の温床。導入前に既存certbotを必ず確認・削除する
・更新失敗の切り分けはjournalctl -u snap.certbot.renew.serviceとdeploy-hookログから
続きを読む "Ubuntu 24.04でLet's Encrypt自動更新を確実に動かす|Certbot snap/systemd-timer/cron 3パターン徹底比較"
MySQL 8.0 EOL到来|Linux管理者のためのMySQL 8.4 LTS移行判断フレーム
2026年4月、MySQL 8.0は公式サポートを終了し、Oracleの「Sustaining Support」のみに移行しました。新規セキュリティパッチもバグ修正も提供されない状態です。さらに同月、新しいLTS(長期サポート版)であるMySQL 9.7がリリースされ、選択肢が一気に複雑になりました。
この記事では、Linuxサーバー上でMySQLを運用してきた管理者に向けて、MySQL 8.0からのバージョン移行判断フレームを実務観点で整理します。
この記事のポイント
・MySQL 8.0は2026年4月にEOL到達、Sustaining Support(新パッチなし)に移行した
・移行先はMySQL 8.4 LTS(~2029年4月Premier)か9.7 LTS(~2034年4月Premier)の2択
・8.0→8.4は直接アップグレード可、8.0→9.7は途中で8.4を経由する必要がある
・mysql_native_password廃止、innodb_log_file_size廃止、slave_*→replica_*改名など破壊的変更を確認
・MySQL Shell Upgrade Checkerでの事前互換確認とフルバックアップが投入前の必須手順
Ubuntu Core 26で2041年まで使える"不変Linux"|EU CRA対応とTPM/LUKS2鍵管理を読み解く
2026年5月19日、CanonicalはIoT・組込み向けの最小・不変型ディストリビューション「Ubuntu Core 26」をリリースしました。15年の長期セキュリティ提供、EU Cyber Resilience Act(CRA)への対応強化、そしてTPMで封印したLUKS2鍵管理という、Linux管理者にとって看過できない変更が並びます。
この記事では、Ubuntu Core 26の発表内容を「現役Linuxサーバー管理者の実務」に引きつけて整理します。組込みやIoTを直接担当していない管理者にとっても、EU CRAとTPM/LUKS2の話は、いずれ自分のサーバーOSにも降りてくるテーマです。
この記事のポイント
・Ubuntu Core 26は2026年5月19日リリース、Ubuntu 26.04 LTSベースで15年(2041年まで)の長期サポート
・EU CRAでCanonicalが「Manufacturer責任」を負い、IEC 62443-4-1準拠とCVE継続監視を提供する
・全ディスク暗号化はTPMで封印したLUKS2鍵をヘッダー内に直接格納する方式に刷新された
・OTA更新サイズが最大90%削減、ARM64でLivepatch(再起動不要のカーネルパッチ)が初対応
・通常のUbuntu Server運用者にとっても、TPM+LUKS2と不変OSの考え方は数年内に主流化する
続きを読む "Ubuntu Core 26で2041年まで使える"不変Linux"|EU CRA対応とTPM/LUKS2鍵管理を読み解く"
Linuxサーバー性能ベンチを30秒で取る方法|Yet-Another-Bench-ScriptでCPU/IO測定
2026年5月、GIGAZINEで紹介されたことで再注目されている「Yet-Another-Bench-Script(YABS)」は、まさにそのための定番ツールです。fio・iperf3・Geekbenchを1コマンドで走らせ、CPU・ディスクI/O・ネットワーク帯域を一気に可視化できます。
この記事では、YABSの基本的な使い方、結果の読み方、VPS選定・サーバー比較への活用、注意点を、20年以上のLinuxサーバー運用経験から整理します。
この記事のポイント
・YABSはfio・iperf3・Geekbenchを1コマンドで実行できるベンチマークスクリプト
・依存パッケージ・root権限不要、curl一発で実行可能
・ディスク4ブロックサイズ(4k/64k/512k/1MB)の読み書き性能を計測
・iperf3で世界各地へのネットワーク帯域を測定
・VPS選定、構成変更前後の比較、移行候補の評価で実務に直結する
続きを読む "Linuxサーバー性能ベンチを30秒で取る方法|Yet-Another-Bench-ScriptでCPU/IO測定"
Pwn2Own Berlin 2026で陥落したRHEL Workstations|ローカル権限昇格の含意と対策
2026年5月14日から16日にかけてベルリンで開催された「Pwn2Own Berlin 2026」で、Red Hat Enterprise Linux for Workstationsのローカル権限昇格が2件成功しました。攻撃者はuse-after-freeとレースコンディションという、Linuxカーネル系で定番の脆弱性タイプを突きました。
この記事では、Pwn2Own Berlin 2026のRHEL関連結果、ローカル権限昇格(LPE)の脅威モデル、そして実務での対策を、20年以上のLinux運用経験から整理します。
この記事のポイント
・Pwn2Own Berlin 2026でRHEL for Workstationsのローカル権限昇格が2件成功した
・Day 1にChompie(IBM XOR)がレースコンディションで$20,000を獲得
・Day 2にBen Koo(Team DDOS)がuse-after-freeで$10,000を獲得
・LPE脆弱性は「ローカルアクセスありき」の前提だが、横展開攻撃で致命傷になる
・対策はカーネル更新の徹底、SELinux/AppArmor有効化、最小権限運用の3層
続きを読む "Pwn2Own Berlin 2026で陥落したRHEL Workstations|ローカル権限昇格の含意と対策"
HPLIP脆弱性まとめ|Linux環境のHPプリンター利用者がいま当てるべき更新
2026年5月20日、HP社がLinux向け印刷ソフトウェア「HPLIP(HP Linux Imaging and Printing)」の深刻な脆弱性2件を公表しました。CVSS 9.3の致命的な整数オーバーフローと、CVSS 8.5のコマンドインジェクションです。
この記事では、CVE-2026-8631/CVE-2026-8632の内容、影響範囲、修正方法、そしてLinuxサーバーで印刷機能を使う際の運用上の注意点を、20年以上のLinux運用経験から整理します。
この記事のポイント
・HPLIP 3.26.4未満のバージョンに権限昇格・任意コード実行の脆弱性が2件存在
・CVE-2026-8631(CVSS 9.3クリティカル)は整数オーバーフローによる権限昇格
・CVE-2026-8632(CVSS 8.5高)はコマンドインジェクションによる任意コード実行
・修正版はHPLIP 3.26.4以降。dnf/aptで早急に更新を実施する
・印刷機能が不要なサーバーはhplip・hplip-commonのパッケージごと無効化も検討
Red Hat Enterprise Linux 10.2/9.8新機能|AI支援とimage modeで何が変わるか
2026年5月21日、Red Hatが「Red Hat Enterprise Linux 10.2」と「9.8」を同時発表しました。AI支援の強化とimage modeの拡張が目玉ですが、それぞれが実務でどう効くのかは、リリースノートを読んだだけでは見えにくい部分です。
この記事では、RHEL 10.2/9.8の主な新機能を整理し、現場のサーバー運用・移行作業にどんな影響があるのかを、20年以上のLinux運用経験を踏まえて解説します。
この記事のポイント
・RHEL 10.2と9.8は2026年5月21日(米国時間)にRed Hat社が発表した最新マイナーリリース
・コマンドライン向けAI支援ツール「goose」がExtensions経由で提供される
・bootcベースのimage modeが拡張、更新の事前ダウンロードに対応
・Leappによる単一ステップでのメジャーバージョンアップグレード支援が強化
・Go 1.26、Rust 1.92、Python 3.14、PHP 8.4、PostgreSQL 18など開発ツールが最新版に
続きを読む "Red Hat Enterprise Linux 10.2/9.8新機能|AI支援とimage modeで何が変わるか"
Flipper One徹底解説|RK3576+RP2350のLinuxサイバーデッキは何ができるのか
2026年5月21日、Flipper Devicesが完全な8コアLinuxマシン「Flipper One」を発表しました。Flipper Zeroの正統進化系として注目されていますが、ハードもソフトもまったくの別物で、用途も価格帯も変わります。
この記事では、Flipper Oneの仕様、Flipper Zeroとの違い、Linuxを「ポケットに入れて持ち歩く」価値、現時点で買えるのかどうかを、Linuxエンジニアの目線で整理します。
この記事のポイント
・Flipper OneはRockchip RK3576(8コア)+ RP2350の2チップ構成でLinuxが動くポケットPC
・8GB RAM・NPU・デュアルGigabit Ethernet・Wi-Fi 6E・M.2スロットを搭載した本格仕様
・目標価格は350ドル未満、ただし2026年5月時点では未発売(EVT段階)
・「Flipper Zeroの上位機」ではなく「Linuxサイバーデッキ」という新カテゴリの製品
Azure Linux 4.0登場|Microsoftが本気で出した汎用LinuxとFedora系統
2026年5月、Microsoftが「Azure Linux 4.0」を発表しました。コンテナ向けに使ってきたAzure Linuxを汎用サーバーOSとして再設計し、しかも上流ベースをFedoraに切り替えるという、これまでとは様相の異なる発表です。
この記事では、Azure Linux 4.0が「Fedoraベース」になった意味、これまでのMariner系との関係、そしてRHELやUbuntuといった既存ディストロとどう棲み分けるのかを、Linuxサーバー運用の現場目線で整理します。
この記事のポイント
・Azure Linux 4.0はFedoraを上流ベースに据えたMicrosoft初の本格汎用Linuxである
・発表は2026年5月18日のOpen Source Summit、本格展開は6月2日のMicrosoft Buildを予定している
・Azure VM向けの汎用版と、コンテナ最適化のAzure Container Linuxの2系統に整理された
・RHEL・Ubuntu・Rocky Linuxとの棲み分けは「Azure依存度」と「サポート範囲」で判断する
Ubuntu 26.10「stonking」開発状況—Canonical監査AI「Redhound」の中身
2026年10月にリリース予定のUbuntu 26.10「Stonking Stingray」へ向けた開発が動き出していますが、今回その裏で特に目を引いたのが、Canonical社内で稼働している監査AIエージェント「Redhound」の存在です。Ubuntu Discourseと技術評論社のUbuntuトピックスでまとまった形で言及があり、ディストリビューション開発側のセキュリティ作業そのものをAIが支えに来ているという、サーバー管理者として見過ごせない話になっています。
私はLinuxサーバーを20年以上触ってきた立場ですが、ディストリビューション提供者がコードレビューや脅威モデリングのループにAIエージェントを組み込み、しかもLXDで実際に脆弱性を見つけた、という具体例まで出してきたのは初めての感覚です。今回はUbuntu 26.10「Stonking Stingray」のリリース位置づけを押さえたうえで、Redhoundの5フェーズ設計と、運用者側からの読み解き方を1記事に整理します。
軸は3つです。1つ目、26.10「Stonking Stingray」が開発カレンダー上どこに位置するかを正確に押さえる。2つ目、Redhoundがどんな手順で監査を回す設計なのかを5フェーズで分解する。3つ目、サーバー運用側として、ディストリの監査AI動向をどう自分の現場運用に翻訳するかを言語化する。AI統合方針(snapによるオープンウェイトモデル配布)は別記事で扱っているので、ここでは触れません。
続きを読む "Ubuntu 26.10「stonking」開発状況—Canonical監査AI「Redhound」の中身"
nginx 1.30.1/1.31.0 公開とnjs CVE-2026-8711|js_fetch_proxyヒープオーバーフローのstable系影響範囲とアップグレード手順
js_fetch_proxy ディレクティブのヒープバッファオーバーフローで、F5 公式の CVSS v4.0 は 9.2 CRITICALです。混乱しやすいのは、nginx 本体側の修正(6件のCVEを含む)と njs モジュール側の修正が、ほぼ同時に走った点です。「nginx を 1.30.1 に上げれば安心」と早合点しがちですが、njs を使っている環境では njs パッケージ側も別途上げる必要がある。
この記事では、stable 系(1.30.x)を本番で動かしている管理者を主読者に、影響範囲の切り分け、grep での自家診断、AlmaLinux / RHEL / Ubuntu / NGINX 公式リポジトリ別のアップグレード手順を整理します。
この記事のポイント
- CVE-2026-8711 は njs の
js_fetch_proxyディレクティブのヒープバッファオーバーフロー。0.9.4 で導入され 0.9.9 で修正。CVSS v4.0=9.2 CRITICAL。 - 発火条件は「
js_fetch_proxyに$http_*/$arg_*/$cookie_*など クライアント由来の変数を含めている」かつ「ロケーションの JS ハンドラがngx.fetch()を呼ぶ」状態。njs 自体を使っていなければ影響ゼロ。 - nginx 本体側は 1.30.1 stable / 1.31.0 mainline で CVE-2026-42945(NGINX Rift)他 6件を同時修正。stable 利用者も今回はサボれない。
- 切り分けは
grep -rn "js_fetch_proxy\|load_module.*ngx_http_js_module" /etc/nginx/で2分で終わる。 - NGINX Open Source の stable 系は基本的に CVE バックポートのみが入る系統。今回の 「stable 系にもセキュリティリリースが出た」というシグナルそのものが運用上は重要。
続きを読む "nginx 1.30.1/1.31.0 公開とnjs CVE-2026-8711|js_fetch_proxyヒープオーバーフローのstable系影響範囲とアップグレード手順"
Torvalds激怒「AIバグ報告」氾濫がLinuxカーネルMLを止めた件|OSS開発者と現役管理者が今すべき対応
2026年5月17日(日曜日)、Linus Torvalds が Linux 7.1-rc4 のリリース告知を LKML(Linux Kernel Mailing List)に投稿した際、本来は新カーネル機能の解説で済むはずの一節に、強い苛立ちを込めた一文が混ざりました。「the continued flood of AI reports has basically made the security list almost entirely unmanageable(AI レポートの洪水のせいで、セキュリティリストはほぼ完全に管理不能になった)」。Torvalds のこの発言を機に、カーネルのセキュリティバグ報告ルールが事実上書き換えられました。
直接の引き金は、複数の研究者が同じ AI 監査ツールを同じカーネルツリーに走らせて、同じバグを別々にプライベートな security メーリングリストへ送り続けていることでした。HAProxy 作者であり Linux カーネル stable メンテナーでもある Willy Tarreau が LWN へ投稿したコメントによると、2年前は週2~3件だった security 報告が、直近1年では週10件程度、2026年初頭からは日5~10件まで膨れ上がっています。20年以上 Linux サーバーを触ってきた私の感覚でも、この件数推移は「もう人手の triage(仕分け)では捌けない」レベルです。
この記事では、(1)Torvalds 発言の中身、(2)何が運用変更されたのか、(3)curl や他 OSS の先行事例との比較、(4)現役 Linux サーバー管理者・転職志望者がこの動きから読み取るべき教訓、を整理します。AI 監査ツールがコードを掘り返す時代に、私たちは「報告する側」「受け取る側」「運用する側」のどこに立つかで、対応の仕方が全く変わるからです。
続きを読む "Torvalds激怒「AIバグ報告」氾濫がLinuxカーネルMLを止めた件|OSS開発者と現役管理者が今すべき対応"
MongoDB CVE-2026-8053(OOB Write)|time-series由来の任意コード実行と自己ホスト機のsystemdローリング更新
JPCERT/CCが2026年5月20日の週次レポートで取り上げたMongoDB境界外書き込み(OOB Write)脆弱性は、CVE-2026-8053として公表されました。MongoDB Server 5.0系から8.3系まで現役6系列すべてが影響を受け、CVSS 4.0は8.7(High)です。time-series collectionの内部マッピング不整合を踏ませるとmongodプロセス内でメモリ破壊が起き、条件次第で任意コード実行に発展します。Atlasは適用済みですが、自己ホストはユーザー側で対応が必要です。本記事は影響評価・公式リポジトリでの更新・ReplicaSet/Sharded別のsystemdローリング手順・retryWrites設定を実務目線でまとめます。
続きを読む "MongoDB CVE-2026-8053(OOB Write)|time-series由来の任意コード実行と自己ホスト機のsystemdローリング更新"
PostgreSQL 18.4/17.10/16.14で11件のCVEを塞ぐ|マイナー更新で済む再起動手順とPGDG運用
PostgreSQL 18.4 / 17.10 / 16.14 / 15.18 / 14.23の5系列同時セキュリティリリースが2026年5月14日に公開され、JPCERT/CCも5月20日の週次レポートで取り上げました。同梱CVEは11件、うちCVSS 8.8の高危険度が4件含まれ、libpqクライアントのスタックを上書きできるCVE-2026-6477やrefintモジュールのスタックバッファオーバーフロー CVE-2026-6637など、攻撃成立時のインパクトが大きい構造です。本記事ではLinuxサーバー管理者向けに、CVE群の整理、ディストリ別パッケージ提供タイミング、pg_upgrade不要のマイナー更新手順、systemdでのローリング再起動、PgBouncer/Patroni併用での接続停止最小化を実務目線でまとめます。
続きを読む "PostgreSQL 18.4/17.10/16.14で11件のCVEを塞ぐ|マイナー更新で済む再起動手順とPGDG運用"
GitLab 18.11.3で25件のCVEを塞ぐ|self-managed omnibus-gitlabのアップグレード実務
GitLabのセキュリティパッチリリース「18.11.3 / 18.10.6 / 18.9.7」が2026年5月13日に公開されました。同梱CVEは25件、CVSS 8.7のXSS 4件とCVSS 7.5の未認証DoS 3件を含みます。JPCERT/CCも5月20日の週次レポートで取り上げており、self-managed(オンプレ)GitLabを社内に抱えている組織は後回しにできない案件です。GitLab.com(SaaS版)はGitLab側で適用済み、対応すべきは「自社で動かしているGitLab」のみです。本記事ではomnibus-gitlab運用エンジニア向けに、CVE群整理・影響判定・アップグレード実務・ゼロダウンタイム化・PG/Redis注意点・CI/CD継続性をまとめます。
続きを読む "GitLab 18.11.3で25件のCVEを塞ぐ|self-managed omnibus-gitlabのアップグレード実務"
livepatchを当てた後の運用設計|2026年5月Linuxカーネル LPEラッシュで現場が学んだ累積管理と再起動移行
livepatch は便利ですが、 「当てたら終わり」と思って累積で何枚も乗せ続けると、ある日突然ロード失敗・副作用・再起動時に何が変わるか読めない状態に追い込まれます。私が20年以上Linuxサーバーを運用してきて、livepatch で起きた事故はほぼすべて 「累積管理を怠った」「再起動移行を後回しにした」の2パターンに集約されます。
この記事は、 CVE個別の解説ではなく、livepatchを当てた後に必ず通る道——累積パッチの可視化、ロード失敗時の切り戻し、計画再起動への合流——を実務手順として整理します。CVE-2026-46333 / CVE-2026-46300 の 仕様や攻撃手法については別記事で扱っていますので、必要なら本文中の関連リンクからどうぞ。
この記事のポイント
- livepatch / kpatch / KernelCare で稼働中にカーネルパッチを適用したサーバーは、 「何枚積んだか」「いつ再起動するか」を台帳化するのが大前提。
- 累積上限の目安: Canonical Livepatch / kpatch / KernelCare のいずれも明示上限はないが、 四半期ごとに棚卸し、半年で再起動到達が現場の運用ライン。
- ロード失敗時の切り戻しは livepatch disable → 再起動 → 通常カーネル適用の順。手順を運用書に固定しておくと事故率が下がる。
- 再起動移行は「いつ」より「どの順番で」を決める。 冗長構成 → 単独本番 → 踏み台の順が安全。
- 緊急パッチ後の振り返り定例(postmortem)を 3日以内に回すと、次回の判断が速くなる。
続きを読む "livepatchを当てた後の運用設計|2026年5月Linuxカーネル LPEラッシュで現場が学んだ累積管理と再起動移行"
バックエンドエンジニア年収923万円|Linuxスキル保有者が年収レンジで優位に立つ条件
2026年5月18日、フリーランスボードがバックエンドエンジニア案件の平均年収を「923万円」と発表しました。月額平均単価76.9万円を12ヶ月換算した数値で、対象は同サイトに掲載された133,542件の案件です。職種別シェアは26.09%で1位。しかし、この923万円は「フリーランスとして稼働する場合の単価相場」であり、誰でも届く水準ではありません。本記事では、923万円の中身を分解したうえで、年収レンジを押し上げるLinuxスキルの効き方を、募集要件の実データから読み解きます。
Ubuntu 26.04 LTSにAIは入らない|Snapd配布のオープンウェイトモデル運用とCanonicalの統合方針を読み解く
CanonicalがUbuntuにAIを載せていく方針を、Ubuntu Discourseで明確に打ち出しました。気をつけたいのは「Ubuntu 26.04 LTSにAI機能がいきなり入る」という話ではなく、26.04 LTSは従来どおりのLTSで、AI機能のopt-inプレビューは2026年10月の26.10「Stonking Stingray」から段階的に出てくるという点です。
私はLinuxサーバーを20年以上触ってきましたが、ディストリビューション本体がここまで踏み込んでローカルLLM実行環境を語るのは、正直なところ初めての感覚です。「snapパッケージとして配り、サンドボックスで囲い、不要なら外せる」というシンプルな設計思想に、Canonicalらしさが強く出ています。今回はこの方針発表をAI統合という1点に絞って整理しておきます。
この記事のポイントは3つです。1つ目、26.04 LTSと26.10のAI機能の関係を時系列で正確に押さえる。2つ目、Snapによるオープンウェイトモデル配布の技術的本質を理解する。3つ目、Linux管理者として何を準備しておくかを具体化する。汎用LTSの変更点・移行手順は別記事で扱っているので、ここでは触れません。
続きを読む "Ubuntu 26.04 LTSにAIは入らない|Snapd配布のオープンウェイトモデル運用とCanonicalの統合方針を読み解く"
Apache Flinkに認証ユーザーRCE CVE-2026-35194|SQL生成のエスケープ漏れでTaskManagerが取られる
Apache Flinkの脆弱性「CVE-2026-35194」が2026年5月15日に公開されました。重要度はApache公式評価で「クリティカル」、CVSS v3.1は8.1(CISA-ADP評価)です。SQL生成時の文字列エスケープ処理の不備で、クエリ送信権限を持つ認証済みユーザーが細工したSQL文を送ると、TaskManager上で任意コード実行(RCE)が成立します。
影響範囲は1.15.0~1.20.3、2.0.0~2.2.0(RC1・RC2含む)と広く、現役の運用クラスタはほぼ全部が射程に入ります。私の現場感覚で言うと、これは「クラスタ全停止して当ててから帰る」レベルの脆弱性です。
この記事では、Apache Flinkを動かしているLinux管理者の視点で、なぜこの脆弱性が深刻なのか、自分のクラスタが踏まれていないかをどう確認するか、復旧と恒久対応をどう設計するかをまとめます。
続きを読む "Apache Flinkに認証ユーザーRCE CVE-2026-35194|SQL生成のエスケープ漏れでTaskManagerが取られる"
RHELを期限なしで延命できる時代へ|Long-Life Add-On発表の中身を管理者目線で読み解く
2026年5月12日、Red Hat Summitの基調講演で「Red Hat Enterprise Linux Long-Life Add-On」というオプションが発表されました。要するに、特定バージョンのRHELを終了日なしで使い続けられる年次更新サブスクリプションです。
第一報を読んだとき、私は素直に「ついに来たか」と思いました。20年以上Linuxサーバーをやっていると、止められないシステムは本当に止められないという現実に何度もぶつかります。今回の発表は、そういう現場の声を公式の延長サポート体系として呑み込んだ大きな動きです。
この記事では、現役のLinuxサーバー管理者として一次情報を整理しながら、Long-Life Add-Onが何を意味するのか、Extended Life Cycle Premiumとの関係、Ubuntu ProやSUSE LTSSとの違い、そして「自分の現場でどう判断すべきか」までを書いていきます。
Fragnesia(CVE-2026-46300)をRHEL系で検知する|auditd・Falco・eBPFで非特権ユーザーの怪しいXFRM呼び出しを掴む
2026年5月13日、Linuxカーネルに新しい権限昇格脆弱性 Fragnesia(CVE-2026-46300、CVSS 7.8) が公開されました。XFRM ESP-in-TCP の論理バグで、非特権ユーザーがレースコンディションなしで /usr/bin/su の page cache を書き換え、root を取れます。PoCはGitHubで公開済み。
Fragnesia(CVE-2026-46300)の脆弱性概要・Dirty Fragパッチとの関係・ディストロ別パッチ運用については別記事「Fragnesia(CVE-2026-46300)の全体像とパッチ運用」で網羅しました。本記事はその実装編として、RHEL/Rocky Linux/AlmaLinux/CentOS Stream 系運用環境で auditd・Falco・eBPF を使って「非特権ユーザーの怪しいXFRM/unshare/splice 呼び出し」を掴む検知シグネチャの具体実装に絞ります。
RHEL系を運用している立場で、いま気になっているのは「パッチ」より「検知」です。Fragnesia は決定論的で失敗イベントを残さないため、auditd の標準設定だけでは痕跡を拾えません。本記事のメインは auditd・Falco・eBPF で「非特権ユーザーの怪しいXFRM/unshare/splice 呼び出し」を掴むシグネチャ実装と、パッチ適用後の page cache 事後検証です。20年以上Linuxの現場で運用してきましたが、「パッチ後に挙動がおかしい」という相談はだいたい再起動とpage cacheに行き着きます。
続きを読む "Fragnesia(CVE-2026-46300)をRHEL系で検知する|auditd・Falco・eBPFで非特権ユーザーの怪しいXFRM呼び出しを掴む"
Webサーバー管理者向けNGINX Rift対応マニュアル|影響判定・apt/dnfパッチ・WAF緩和を30分で
そう言われて素直に「いや、さすがに最新版だよ」と返せた人は、たぶんそんなにいないと思います。私自身、最初に CVE-2026-42945 の概要を見たとき、頭の中に浮かんだのは検証機のことではなく、何年も前にお客さんに納品して、その後リプレースされずに動き続けている本番のリバースプロキシのことでした。
2026年5月13日、F5 とセキュリティ研究者集団 depthfirst が、nginx の ngx_http_rewrite_module に18年潜伏していた重大なヒープバッファオーバーフロー脆弱性を公開しました。CVE 番号は CVE-2026-42945、通称は「NGINX Rift」。CVSS v4.0 は 9.2、CRITICAL です。影響範囲は 0.6.27 から 1.30.0 までと、現役で動いている nginx のほぼ全世代を巻き込みます。
本稿は「設計思想の話」ではなく、今日・明日のうちに本番機で何を打つかという実務オペ寄りに振った内容です。影響有無の判定、apt と dnf の両系統でのパッチ適用、それからすぐに再起動できない事情を抱えているサーバーのための一時的緩和まで、コマンド付きで整理します。手元に検証機を1台立ち上げて、上から順に試しながら読んでください。
続きを読む "Webサーバー管理者向けNGINX Rift対応マニュアル|影響判定・apt/dnfパッチ・WAF緩和を30分で"
rootは取られていない、しかしSSHホスト鍵と/etc/shadowは漏れた|CVE-2026-46333(ssh-keysign-pwn)の正体と運用手順
そう聞かされた瞬間、頭の中で「うちのサーバーで誰か一般アカウントを取られていたら、もう ssh のホスト鍵も /etc/shadow も漏れている」という絵が浮かびました。
2026年5月14日、Qualys Threat Research Unit が Linux カーネルの脆弱性を security@kernel.org に報告し、同日中に Linus Torvalds が修正コミット 31e62c2ebbfd を mainline に push しました。翌5月15日に CVE-2026-46333 として採番、各 stable 系列でも修正版が公開されています。公開エクスプロイトの呼称は「ssh-keysign-pwn」。
やっかいなのは、これが「rootを取られる」タイプの脆弱性ではないことです。攻撃者は root にはなりません。ですが ssh のホスト秘密鍵を読まれ、/etc/shadow を読まれます。実害として「root を取られた」と何が違うのか、と問われると、答えに詰まる程度には深刻です。本稿では現役のサーバー管理者の視点で、今週中に本番機で何を確認・実行すべきかを書きます。
続きを読む "rootは取られていない、しかしSSHホスト鍵と/etc/shadowは漏れた|CVE-2026-46333(ssh-keysign-pwn)の正体と運用手順"
nginxに18年潜伏したCVE-2026-42945|Apache mod_rewrite世代のサーバー管理者が踏みやすい罠と設計レベルの回避策
2008年(v0.6.27)から混入していたものを、depthfirst の自動コード解析が 6時間で掘り当てた、というのが事件の本筋です。
ただニュースの多くは「世界Webサーバーの3割が危険」「未認証RCE」というショッキングな見出しで止まっています。Apache mod_rewrite の時代から20年以上 Linux サーバーの現場を触ってきた立場から見ると、もっと根が深い問題がここにあります。
それは 「$1 / $2 思考のまま書いた rewrite が踏みやすい構造になっている」ということ。Apache mod_rewrite の発想で nginx.conf を書いた人が、知らないうちに地雷を設置していた可能性が高い。
この記事のポイント
- CVE-2026-42945 は ngx_http_rewrite_module のヒープバッファオーバーフロー。CVSS v3.1=8.1 HIGH、CVSS v4.0=9.2 CRITICAL。
- 発火条件は3つAND。「rewrite の置換文字列に ? を含む」「unnamed PCRE capture($1, $2 等)を使う」「続けて if / set / rewrite が同一スコープにある」。1つ欠けると発火しない。
- 影響は NGINX Open Source 0.6.27 ~ 1.30.0。修正は 1.30.1 / 1.31.0。NGINX Plus は R32 P6 / R36 P4。
- 暫定回避策は 「unnamed capture を named capture(?<name>...)に書換える」これだけ。F5公式と depthfirst の見解が一致。
- Apache mod_rewrite には named capture という発想がそもそもない。Apacheから nginx に移行した管理者ほどこの罠を踏みやすい構造的理由がある。
続きを読む "nginxに18年潜伏したCVE-2026-42945|Apache mod_rewrite世代のサーバー管理者が踏みやすい罠と設計レベルの回避策"
Ubuntu運用者が今日打つapt自動更新とPro Livepatchの判断——22.04 / 24.04 / 26.04の差分整理
linux パッケージで "Needs evaluation"、注釈は "Fix is only in netdev tree for now"。AlmaLinux と Fedora は配布済、Debian と RHEL と Ubuntu は未配布。Ubuntu 利用者が今いる位置はそこです。書こうと決めたのは、Fragnesia 解説を出した同じ日の昼に、受講生から「うちの 24.04 サーバー、unattended-upgrades 任せだけど、これって自動で当たるんですか」と聞かれたから。20年以上 Linux サーバーの現場にいますが、Ubuntu の自動更新と Livepatch の判断を「最速で組む」必要に迫られたのは今回が一番強い局面です。
先に結論。Ubuntu の場合、apt の手当て・unattended-upgrades の挙動確認・Ubuntu Pro Livepatch の有効化、この3点を LTS 版数ごとに同時に組む必要があります。「ただ待つ」は最悪手です。
この記事のポイント
- Ubuntu CVE tracker 上、Dirty Frag・Fragnesia ともに USN 未発番。22.04 / 24.04 / 26.04 すべての
linuxパッケージが "Needs evaluation"(2026-05-15時点)。 - 影響範囲は Linux 4.11 系以降。22.04 GA(5.15)、22.04 HWE(6.8)、24.04 GA(6.8)、24.04 HWE(6.17)、26.04(7.0)すべて該当。フレーバ変更では逃げられない。
- Canonical 公式緩和は
esp4 / esp6 / rxrpcの modprobe.d ブラックリスト化+update-initramfs -u -k allまでが1セット。 - unattended-upgrades は
-securitypocket のカーネル更新を当てるが、再起動は自動ではない。新カーネルが入っても古いカーネルで走り続ける状態になりやすい。 - Ubuntu Pro Livepatch は個人5台無料・HWE 対応・10年カバー。USN を待たずに先に有効化しておくのが現実解。
続きを読む "Ubuntu運用者が今日打つapt自動更新とPro Livepatchの判断——22.04 / 24.04 / 26.04の差分整理"
Fragnesia(CVE-2026-46300)|パッチが新たな穴を作った2026年5月のLinuxカーネル事件
/usr/bin/su や /etc/passwd を直接改変して root を取られる類です。書こうと決めたのは、5/10の「Dirty Frag」記事で「次に同種バグが出る前提で備える」と書いた、その「次」が3日で来たからです。20年以上Linuxサーバーの現場にいますが、パッチを当てた結果が次のバグを生むケースをスポット速報で扱うのは記憶にありません。
先に結論。「Dirty Fragパッチを当てた」だけのカーネルは Fragnesia にまだ無防備です。パッチを当てて再起動した管理者ほど、もう一度棚卸しが必要だと思います。
この記事のポイント
- Fragnesia(CVE-2026-46300)は Dirty Frag のパッチ起因で表面化した新しいLPE。発見者 William Bowling 氏(V12)、公開2026-05-13。
- 根本原因は
skb_try_coalesce()がSKBFL_SHARED_FRAGを伝播しない欠陥。少なくとも2013年から潜伏。 - race condition 不要で page cache を決定論的に書き換えられる。Dirty Frag より悪用が安定。
- Dirty Fragパッチ済カーネルでも Fragnesia は別途未パッチ。RHEL / Ubuntu / Debian は5/15時点で公式パッチ未配布。
- Dirty Frag 公式緩和(esp4 / esp6 / rxrpc 無効化)は Fragnesia にも有効。「Dirty Frag対応済」と「Fragnesia対応済」を分けて棚卸しする必要がある。
続きを読む "Fragnesia(CVE-2026-46300)|パッチが新たな穴を作った2026年5月のLinuxカーネル事件"
生成AIがゼロデイを発見する時代|GoogleがLinux管理者に突きつけた「初の実例」
Google脅威インテリジェンスグループ(GTIG)が公開した報告書に、こう書かれていました。「私たちは、犯罪者がAIモデルを使ってゼロデイ脆弱性を発見し、武器化した世界初の実例を確認した」と。
20年以上Linuxサーバーの運用に関わってきましたが、正直、これは来ないでほしかった話です。「いつかは来る」と思っていた。でも「もう来た」は、心の準備ができていなかった。
本稿では、GTIGレポートの核心を現役Linux管理者の目線で整理し、今週中に確認すべきことを具体的に書きます。
Ubuntuパッケージ管理どれを使う?apt/Snap/Flatpakの違いを現役講師が整理
正直に告白すると、私もしばらく Snap を雑に扱っていた時期があります。受講生から「Snap版の Slack が起動しないんですが」と聞かれて、その場でうまく答えられず、夜にドキュメントを読み直した、という反省があります。Ubuntu 26.04 LTS が出た 2026年4月以降、apt と Snap と Flatpak の3方式が同じデスクトップに同居する場面が一気に増えました。20年以上Linuxサーバーを触ってきましたが、サーバー運用とデスクトップとでは、選ぶ基準がまったく違います。本稿では、現役管理者の目線で「サーバー運用 / デスクトップ / 学習用検証機」の判断軸を1本通しながら、apt・Snap・Flatpak の違いを整理します。Ubuntu 26.04 LTS の全体像を先に把握しておきたい方は「Ubuntu 26.04 LTS 変更点まとめ|25.10から何が変わったか現役講師が解説」を先に読んでおくと、本稿の細かい話がスッと入ります。
Apache 2.4.67で塞ぐ11件|HTTP/2の二重解放(CVE-2026-23918)が本命の理由
本命は CVE-2026-23918。HTTP/2 のストリーム処理で起きる二重解放(Double Free)で、CVSS 8.8 HIGH。リモートコード実行(RCE)の可能性まで踏み込んだ書きぶりが、Apache 公式・NVD・oss-security の3経路で出ています。
ただ、ここを「未認証RCEだ」と一足飛びに断定するのは、NVDの CVSS ベクターを読む限りやや踏み込みすぎだと思っています。後で詳しく書きますが、NVD は PR:L(低権限を要する)です。一方で第三者ベンダーの解説には「unauthenticated」と書くものもあり、扱いが割れています。
20年以上 Linux サーバーの現場にいますが、HTTP/2 の double free でここまで CVSS が振れるのは記憶にないレベルです。Apache HTTP Server を本番で使っているなら、11件の俯瞰よりも CVE-2026-23918 をどう塞ぐかに時間を割いた方が筋がいい。
この記事のポイント
- Apache 2.4.67 で修正された CVE は11件。本命は CVE-2026-23918(HTTP/2 二重解放、CVSS 8.8 HIGH)。
- 影響を受けるのは 2.4.66 のみ。古いバージョンを使っているサーバーは別の意味で危険ですが、CVE-2026-23918 単体の対象範囲は限定的です。
- 認証要否は両論あります。NVDではPR:L(低権限要)。一方ベンダーレポートには「unauthenticated」と書くものもある。運用環境次第で実質ほぼ無認証に近いケースもあるので、「PR:Lだから安心」という読み方は危険です。
- 「mod_http2 を無効化すれば塞げる」は Apache 公式アナウンスの暫定回避策ではありません。ベンダー解説の援用です。本記事でも区別して書きます。
- 残り10件は Moderate×2(mod_rewrite 権限昇格、mod_auth_digest タイミング攻撃)と Low×8。AJP系が多いので、リバースプロキシでAJPを使っていない環境なら影響は限定的です。
続きを読む "Apache 2.4.67で塞ぐ11件|HTTP/2の二重解放(CVE-2026-23918)が本命の理由"
古いPCをLinuxサーバー学習機に再生する方法|Q4OS・Mint Xfce・Zorin OS 18比較とUbuntu Server/AlmaLinux導入手順【2026年版】
正直に言うと、私もしばらくクラウドのインスタンスばかり触っていた時期があり、手元の検証機を雑に扱っていた反省があります。
万が一、クラウドが止まっても、自宅の物理マシンなら関係なく動きます。20年以上Linuxサーバーの運用に関わってきて、若手が伸びる瞬間を何度か見てきましたが、共通していたのは「いつでも壊して戻せる自分専用機がある」ことです。
本稿では、現役管理者の目線で、古いPCをLinuxサーバー学習用の検証機として再生する方法を、5本のディストロのインストール手順を交えて整理します。
続きを読む "古いPCをLinuxサーバー学習機に再生する方法|Q4OS・Mint Xfce・Zorin OS 18比較とUbuntu Server/AlmaLinux導入手順【2026年版】"
apt updateが急に遅い・失敗する原因と対処法|2026年5月Canonical DDoS障害で取るべきミラー切替手順
ゴールデンウィーク明け、出社前のコーヒー片手に運用機にSSHした瞬間、画面が止まりました。
2026年5月1日の朝のことです。前日4月30日の夕方(米時間)からCanonicalのインフラがDDoS攻撃を受けていて、archive.ubuntu.com も security.ubuntu.com も Snap Store も Launchpad も、ぜんぶ反応が鈍くなっていた。日本時間で見ると、5月1日朝に「世界的に何かおかしい」と認識された格好です。20年以上Linuxサーバーの運用に関わってきましたが、apt update がここまで広範に詰まる事象は記憶にないです。本稿では、現役の管理者目線で「apt update が急に遅い・失敗する」と感じたときに、現場でどう切り分けて、どう逃がすかを順序立てて書きます。
続きを読む "apt updateが急に遅い・失敗する原因と対処法|2026年5月Canonical DDoS障害で取るべきミラー切替手順"
Dirty Frag(CVE-2026-43284 / 43500)とは何か——Copy Failの暫定策が効かない理由と未パッチ期の管理者アクション
通称は「Dirty Frag」。CVE番号は2件チェーンで、CVE-2026-43284(xfrm-ESP / IPsec ESP処理)とCVE-2026-43500(RxRPC)です。発見者は Hyunwoo Kim 氏(@v4bel)。oss-security メーリングリストでの正式公開は 2026-05-08 03:56 KST。embargo中に第三者が公開コミットからn-day再構築してしまい、結果として早期公開に踏み切ったというのが今回の経緯です。
記事を書こうと決めたのは、Copy Fail(CVE-2026-31431)の続報を待っている読者が周りに何人もいたからです。Copy Fail公開からわずか9日。3週連続でLinuxカーネルのLPEが出てきている。20年以上Linuxサーバーの現場にいますが、ここまで間隔が詰まる時期は記憶にありません。
先に結論から書きます。Copy Failで打った algif_aead のブラックリストは、Dirty Frag には効きません。入口のモジュールが違うからです。「先週やったから大丈夫」と思っているサーバーは、もう一度棚卸しが必要です。
この記事のポイント
- Dirty Frag は CVE-2026-43284(xfrm-ESP)と CVE-2026-43500(RxRPC)の2件チェーン。Linux 4.11 系以降のほぼ全主流カーネルが対象です。
- Debian、AlmaLinux、Amazon Linux、SUSE は配布開始済(2026-05-08〜09)。RHEL と Ubuntu は本記事執筆時点(2026-05-10)で公式パッチ未配布、bulletin と CVE tracker の運用状態のみです。
- Copy Fail で打った algif_aead ブラックリストは Dirty Frag には無効。入口モジュールが esp4 / esp6 / rxrpc に変わっています。
- 未パッチ期に管理者がやれることは、カーネル更新最優先・必要なら esp4/esp6/rxrpc 無効化・最小権限と局所化(コンテナ隔離・SSHアクセス制限・SELinux強制)の3点に絞れます。
- Dirty Pipe → Copy Fail → Dirty Frag。3週連続のカーネルLPE公開は、運用現場に「カーネル更新を後回しにできない時代」を突きつけています。
続きを読む "Dirty Frag(CVE-2026-43284 / 43500)とは何か——Copy Failの暫定策が効かない理由と未パッチ期の管理者アクション"
732バイトでrootが取れる|CVE-2026-31431「Copy Fail」とLinuxサーバー管理者が今日打つべき一手
そう聞いた瞬間、心臓のあたりが冷たくなりました。
2026年4月29日、Theori社の Taeyang Lee 氏が、AI支援セキュリティ監査ツール「Xint Code」で発見したカーネル脆弱性を公開しました。CVE-2026-31431、通称「Copy Fail」。CVSS 3.1 で 7.8(HIGH)。Linuxカーネル crypto/algif_aead モジュールに2017年から潜んでいた論理バグです。
影響範囲は 5.10〜6.19 系列のほぼ全主流カーネル。Ubuntu、Debian、RHEL、SUSE、Amazon Linux、Fedora、Arch。要するに、現役で動いている自社サーバーのほとんどが該当します。20年以上Linuxサーバーの運用に関わってきましたが、ここまで「広く・浅く・確実に」効く脆弱性は久しぶりです。本稿では、現役のサーバー管理者目線で、月曜の朝に本番機で何を確認・実行するかを書きます。
続きを読む "732バイトでrootが取れる|CVE-2026-31431「Copy Fail」とLinuxサーバー管理者が今日打つべき一手"
パッチを当てても消えないバックドア|FIRESTARTERから学ぶLinuxサーバの永続化検知
そう思っていたのが、ここ数日で揺らいでいます。
2026年4月24日、CISA(米国サイバーセキュリティ・社会基盤安全保障庁)が勧告 AR26-113A を出しました。Ciscoのファイアウォール製品(ASA/Firepower)に、Linuxの実行ファイル形式(ELF)で書かれた永続化バックドア「FIRESTARTER」が仕込まれていた、という内容です。攻撃者はUAT-4356。2024年に騒がれた ArcaneDoor と同じグループだそうです。
正直、最初に読んだとき「これはきつい」と声に出ました。
何がきついかというと、パッチを当てても消えないからです。ファームウェアを更新しても消えない。普通に再起動しても消えない。
この記事では、20年以上Linuxサーバーの運用に関わってきた立場から、FIRESTARTERのインシデントを「Cisco機器の話」で終わらせず、汎用Linuxサーバーの永続化バックドア検知という実務にどう落とすかを書きます。
auditd、AIDE、systemd、ss、lsof、/proc、rkhunter、YARA。記事を読み終わるころには、自分のサーバーで何を見るべきかが具体的に分かる構成にしました。
日本のLinuxエンジニアに迫るキャリア転機|フランス250万台移行が示す需要シフト
このニュースを「海外の話」で終わらせてしまうとしたら、それはもったいない判断です。
この動きが示しているのは、世界規模でLinuxエンジニアの需要が構造的に変化しているということです。20年以上Linuxサーバーを運用し、3,100名以上にLinuxを指導してきた経験から言うと、こうした大規模な業界変化の前に動けるかどうかが、エンジニアのキャリアの分岐点になります。
この記事では、フランスの移行事例を入口に、日本のLinuxエンジニアが今すぐ準備すべきスキルとキャリア戦略を解説します。
この記事のポイント
・フランス250万台移行が示すLinux需要の構造的変化
・日本のエンジニア市場でLinuxスキルが希少価値を持つ理由
・Windows担当エンジニアとの差別化に必要な具体的スキル
・需要拡大の波に乗るために今すぐ始めるべき準備
systemdを疑うエンジニアが増えている——MX Linux人気上昇が示す「init設計」の本質
セミナーでこんな質問を受けることがあります。MX Linuxが海外レビューサイトで好意的に取り上げられることが増え、「systemdを使わないディストリビューション」というキーワードが注目を集めているのを見て、疑問を持った方からの質問です。
この記事では、20年以上Linuxサーバーを運用してきた経験から、systemdが普及した背景、なぜ反systemdの動きが根強いのか、そして現場エンジニアはこの論争をどう受け止めるべきかを3軸で整理します。
結論から言えば、「systemdが正しいかsysVinitが正しいか」を決めることより、「どちらを選んだかを語れること」の方が、現場での価値につながります。
この記事のポイント
・systemdが標準になった経緯と、その設計思想が批判される理由
・MX Linuxが支持される理由は「軽さ」ではなく「設計判断への共感」
・init系の変遷を知ることで、現場での会話力と設計判断力が上がる
・「使えるLinuxエンジニア」と「語れるLinuxエンジニア」の差は知識の体系化にある
MCPがLinux Foundation傘下になった意味を、現役Linuxエンジニアが正直に語る|AIエージェントとLinuxサーバーの接点として今どう位置づけるか
「AIとLinuxサーバーが連携するって、現場でどういう意味を持つの?」
そんな疑問を持っている方に向けて書きました。
この記事では、20年以上Linuxサーバーを運用してきた経験から、2025年11月に発表されたMCP(Model Context Protocol)のLinux Foundation移管について、技術仕様の話ではなく、「Linux Foundationが管理するということの重み」と「AIエージェントとLinuxサーバーの接点として今どう位置づけるか」を正直にお伝えします。
3,100名以上のエンジニアを指導してきた中で、こうした業界動向を早めに押さえている人ほど、現場での意思決定の質が違うと感じています。
この記事のポイント
・Linux Foundationへの移管は「特定企業の製品」から「業界標準」へのシフトを意味する
・MCPはAIエージェントがLinuxサーバーのリソースを操作するための共通プロトコル
・エンタープライズ現場でのMCP採用は2026年から本格化する段階に入っている
・Linuxエンジニアが今MCPを学ぶ優先度は高く、学習順序も整理できる
続きを読む "MCPがLinux Foundation傘下になった意味を、現役Linuxエンジニアが正直に語る|AIエージェントとLinuxサーバーの接点として今どう位置づけるか"
Linux 7.1でNTFSドライバが"復活"|4年越しの全面書き直しをTorvaldsが承認した理由
そう思ったことがある方に、今回は少し明るい知らせをお届けします。
2026年4月、Linuxカーネル開発コミュニティで「NTFSの復活」と呼ばれる出来事がありました。
4年越しに全面書き直しされたNTFSドライバが、Linus Torvalds本人の承認を得てLinux 7.1へのマージが確定したのです。
この記事では、NTFSドライバの歴史的経緯と今回の変更が何を意味するのか、デュアルブートで使っているエンジニアの目線から解説します。
・Linux 7.1で「NTFS Resurrection」と呼ばれるNTFSドライバの全面書き直しがマージ確定
・Linus Torvalds自身が"NTFSの復活"とコメントして承認した経緯
・4年越しの書き直しがなぜ必要だったか(ntfs3ドライバの問題と背景)
・デュアルブート環境での読み書き信頼性が今後どう変わるか
高年収エンジニア110人調査:77%がLinux基礎学習を若手に勧める理由とは|LPI-Japan調査から読み解く基礎力の本質
そう思っているエンジニアに、ぜひ知ってほしいデータがあります。2026年1月、特定非営利活動法人LPI-Japanが実施した調査で、年収700万円以上のインフラエンジニア110名に「若手エンジニアへのLinux・OS基盤技術の学習」について聞いたところ、77.3%が「推奨する」と回答しました。
この記事では、その調査結果を詳しく読み解きながら、20年近くLinuxサーバーを運用し、3,100名以上にLinuxを教えてきた経験から「なぜ今、基礎を固めることが最も重要なのか」をお伝えします。
【この記事でわかること】
・LPI-Japan調査で高年収エンジニアの77.3%がLinux基礎学習を推奨した理由
・なぜ今の若手はOS/基盤技術を学ぶ機会が減っているのか
・高年収エンジニアが若手に伝えたい「本当に役立った学習法」
・今すぐLinux基礎を固めるべき具体的な理由と第一歩
続きを読む "高年収エンジニア110人調査:77%がLinux基礎学習を若手に勧める理由とは|LPI-Japan調査から読み解く基礎力の本質"
LinuxカーネルがAIコード受入れポリシーを策定した意味|20年運用してきたエンジニアの視点
2025年12月23日にパッチメールで提案され、2026年1月6日にLinuxカーネルのソースツリーにコミットされた coding-assistants.rst。この59行の文書は、2025年のMaintainers Summitでの議論を経て、AI生成コードをどう扱うかの公式ルールを定めたものです。
この記事では、20年近くサーバーを運用してきた経験から、このポリシーが何を意味するのか、そしてAI時代にLinuxエンジニアとして何が求められるのかを、私なりの視点で語ります。
【この記事でわかること】
・Linuxカーネルが採択したAIコード受入れポリシーの核心
・Signed-off-byとAssisted-byタグの役割と意味
・他のOSSプロジェクトとの対応の違いから見えるLinuxの合理性
・AI時代にLinuxエンジニアに求められる姿勢
Linux 7.0カーネルを実務視点で読む|Rust正式化とext4・XFS改良がサーバー運用に与える影響
ただ、こういうメジャー番号の変更は、商用ソフトウェアの「大型アップデート」とは意味合いが違います。派手な見出しに振り回されず、実務にどう効くかを冷静に読み解く必要があります。
この記事では、20年近くLinuxサーバーを運用してきた一人の現役エンジニアとして、Linux 7.0の変更点を「現場の目線」で整理します。Rustの正式化、ext4とXFSの改良、そしてサーバー用途別の評価まで、2026年の実装現場で押さえておくべき論点に絞って解説します。
・Linux 7.0は11,588件の非マージコミットを含む実務直結のリリース
・Rustが「実験」を卒業、今後のドライバ実装の正規選択肢に
・ext4のconcurrent direct I/O改善とXFSの自律自己修復で運用が変わる
・Webサーバー/DBサーバー/ストレージサーバー別に評価ポイントを整理
続きを読む "Linux 7.0カーネルを実務視点で読む|Rust正式化とext4・XFS改良がサーバー運用に与える影響"
Anthropic「Project Glasswing」とは?意味とAIがLinuxカーネルの脆弱性を自律発見するサイバーセキュリティ構想
この問いに、Anthropicが2026年4月7日、具体的な答えを突きつけました。
「Project Glasswing(プロジェクト・グラスウィング)」——Linuxカーネル、Firefox、OpenBSDといった世界中で使われるソフトウェアの脆弱性を、AIが自律的に発見するサイバーセキュリティ構想です。
AWS、Apple、Google、Microsoft、Linux Foundationなど11の大手企業・団体が参加し、AIを「防衛側」として活用する歴史的な取り組みがスタートしました。
【この記事でわかること】
・Project Glasswingとは何か、なぜ今注目されているのか
・AIモデル「Claude Mythos Preview」が発見した具体的な脆弱性事例(Linuxカーネル・OpenBSD・FFmpegなど)
・参加企業・出資規模(最大1億ドル)の詳細
・LinuxエンジニアやIT管理者が知っておくべき今後の影響
続きを読む "Anthropic「Project Glasswing」とは?意味とAIがLinuxカーネルの脆弱性を自律発見するサイバーセキュリティ構想"
Linux 7.1でi486 CPUサポートが終了|現場エンジニアが知っておくべき32ビット時代の幕引き
そう思ったことがある方に、今回はLinuxカーネル開発の重要な節目をお伝えします。
2026年、Linuxカーネル7.1において、Intel i486プロセッサへのサポートが正式に廃止されることが発表されました。
1989年に登場したi486は、実に37年にわたってLinuxカーネルにサポートされ続けていましたが、ついにその幕を閉じることになります。
この記事では、i486サポート終了の背景と技術的な意味、そして現場エンジニアへの実際の影響を解説します。
この記事のポイント
・Linux 7.1でIntel i486 CPUのサポートが正式に廃止される
・37年間続いた互換性が終了。現代の実務環境への影響はほぼゼロ
・サポート廃止の背景にはカーネル品質向上とメンテナンス効率化がある
・古いハードウェアを使い続けたい場合は旧バージョンのカーネルを使う
続きを読む "Linux 7.1でi486 CPUサポートが終了|現場エンジニアが知っておくべき32ビット時代の幕引き"
GitHubに潜む「不可視文字攻撃」GlassWormとは|Linuxエンジニアが知るべきOSSサプライチェーンの脅威
OSSを日常的に活用するLinuxエンジニアにとって、ここ最近もっとも注意すべき脅威が水面下で急拡大しています。
日経クロステックの報道(2026年4月)によると、「GlassWorm」と呼ばれる新型サイバー攻撃がGitHubやnpm、Open VSXといったコード管理プラットフォームで猛威を振るっており、151件以上のGitHubリポジトリと433件以上のソフトウェアパッケージが汚染されていることが確認されています。
この記事では、GlassWormの仕組みをLinuxエンジニア向けにわかりやすく解説し、現場での対策を考えます。
この記事のポイント
・GlassWormはUnicode不可視文字を使い、コードレビューをすり抜けてマルウェアを埋め込む
・1行のコードの中に1万8000行以上の悪意あるコードが隠せることが判明
・GitHubのOSSを利用する開発・運用現場は今すぐ対策が必要
・検出にはテキストエディタでのUnicode確認や専用ツールの活用が有効
続きを読む "GitHubに潜む「不可視文字攻撃」GlassWormとは|Linuxエンジニアが知るべきOSSサプライチェーンの脅威"
Ubuntu 26.04 LTSにすぐアップグレードすべきか?現役講師が語る移行判断の勘所と注意点
サーバー管理者にとって、LTSの新バージョンが出るたびに必ず直面する問いです。
この記事では、15年以上Linuxサーバーを運用し、3,100名以上にLinuxを指導してきた立場から、Ubuntu 26.04 LTS(コードネーム:Questing Quokka)の主要な変更点と、企業サーバー環境での移行判断ポイントを解説します。
・Ubuntu 26.04 LTSの主要な変更点とカーネル6.14系がもたらす影響
・本番サーバーはリリース直後にアップグレードすべきでない理由と推奨スケジュール
・Snap化の加速がサーバー運用に与える影響と注意点
・RHEL 10との比較で見えるUbuntu 26.04 LTSの立ち位置
Linuxに安易なパスワード設定すると、こんな被害に遭う?
リナックスマスター.JPの宮崎智広です。
いつもありがとうございます。
少し前にこんなニュースがあったのを知っていますか?
要約すると、
「セキュリティが甘いLinuxに大々的にハッキングを仕掛けるよ。だから注意してね。」
ってニュースです。
元々は海外ニュースだったんですが、マイナビさんが翻訳してくれてました。
攻撃は、「Tsunami DDoSボット」により行われ、
侵入されると色々なマルウェアを感染させるとあります。
Tsunamiなんて言葉が入っているから、
作成者は日本人?なんて思っちゃいますが、
「Tsunami」は世界中で使われているのでそうとも限りませんね。
この攻撃自体はとても単純なんですよね。
Red Hat Insightsを無効にする
メッセージが表示されるようになりました。
Register this system with Red Hat Insights: insights-client --register
Create an account or view all your systems at https://red.ht/insights-dashboard
Red Hat Insightsとは
Red Hat Insightsは、OSにインストールされたクライアントがシステムの情報を吸い上げ、Red Hat社が提供するInsightのサイトに情報を送付しWebUIを通して可視化するものです。
このInsightsを用いることで、各システムの「現在のヘルスチェック」を行うようなことが出来ます。
【ポストCentOS5選】CentOSサポートが遂に終了。次にくるディストリビューションは?
【ポストCentOS5選】CentOSサポートが遂に終了。次にくるディストリビューションは?
遂にCentOS8のサポートが、2021年12月31日で終了します。
それに伴い、今後CentOS9のリリースはなく、RHELのアップストリームに位置する
「CentOS Stream」に移行します。
実際につい先日、
「CentOS Stream 9」の提供がスタートしました。
あなたは、CentOSの次、「何を使えば良いのか。」
悩んでいませんか?
特に長期に使うことが前提の企業の場合、
選択は間違えたくないですよね。
そこで...
ポストCentOSになり得る
ディストリビューションを紹介します。
いずれも無償で利用できて、
RHELのダウンストリームに位置しますので参考にしてください。
サポート終了したCentOS5をアップデートする
それ以降yumを使用したアップデートができなくなっています。
サポート終了した時点で、次期バージョンに移行し終わっているのが理想ですが、
クローズド環境で運用しているシステムでは、何らかの理由で次期バージョンに
移行できないケースがあります。
そのような場合でもある程度時間が経過すると
アップデートしたいという要望があると思いますので、
今回は、サポート終了したCentOS5でyumアップデートする手順を紹介します。
サポート終了したCentOS5のyumアップデート手順
yumアップデートを実行するとシステムに不具合で出る場合があります。実行する前にテスト環境で充分検証を行うことを推奨します。
作業実施にはroot権限が必要になります。
今回はCentOS5.7をCentOS5.11にアップデートします。
1.CentOS5のバージョンを確認する
# cat /etc/redhat-release
CentOS release 5.7 (Final)
2.カーネルバージョンを確認する
# uname -a
Linux Mail_001_Enetmercury.localdomain 2.6.18-274.3.1.el5xen #1 SMP Tue Sep 6 20:57:11 EDT 2011 x86_64 x86_64 x86_64 GNU/Linux
LinuxにUSB外付けHDDを接続する(NTFSフォーマットの場合要注意)
その際、NTFSフォーマットのUSB外付けHDDを利用する際の注意手順も紹介します。
LinuxにUSB外付けHDDを接続
1.messagesファイルのログをリアルタイムで表示します。
# tail -f /var/log/messages
2.USB外付けHDDを接続しデバイス名が表示されるか確認します。
下記ログが表示され、カーネルにUSB外付けHDDが認識されることが分かります。
しかし、例では自動で割り当てるはずのデバイス名が割当られません。
その場合、Windows用のNTFSフォーマットが読み込めないのが原因になります。
引き続き、
「3.NTFSフォーマットHDDを読み込めるようにする」以降の作業を行ってください。
デバイス名が表示される場合は、
「8.messagesファイルのログをリアルタイムで表示しつつ、USB外付けHDDを再度接続する」
から参照してください。
Mar 3 17:45:18 Tiger kernel: usb 1-1: new high-speed USB device number 2 using ehci-pci
Mar 3 17:45:18 Tiger kernel: usb 1-1: device descriptor read/64, error 18
Mar 3 17:45:19 Tiger kernel: usb 1-1: device descriptor read/64, error 18
Mar 3 17:45:19 Tiger kernel: usb 1-1: new high-speed USB device number 3 using ehci-pci
Mar 3 17:45:19 Tiger kernel: usb 1-1: device descriptor read/64, error 18
Mar 3 17:45:20 Tiger kernel: usb 1-1: device descriptor read/64, error 18
Mar 3 17:45:20 Tiger kernel: usb usb1-port1: attempt power cycle
Mar 3 17:45:20 Tiger kernel: usb 1-1: new high-speed USB device number 4 using ehci-pci
Mar 3 17:45:20 Tiger kernel: usb 1-1: Invalid ep0 maxpacket: 9
Mar 3 17:45:20 Tiger kernel: usb 1-1: new high-speed USB device number 5 using ehci-pci
Mar 3 17:45:20 Tiger kernel: usb 1-1: Invalid ep0 maxpacket: 9
Mar 3 17:45:20 Tiger kernel: usb usb1-port1: unable to enumerate USB device
3.NTFSフォーマットHDDを読み込めるようにする
epel-releaseリポジトリを追加します。
# yum install epel-release
読み込んだプラグイン:fastestmirror, langpacks
Determining fastest mirrors
* base: ftp.riken.jp
* extras: ftp.riken.jp
* updates: ftp.riken.jp
base | 3.6 kB 00:00:00
extras | 2.9 kB 00:00:00
updates | 2.9 kB 00:00:00
(1/4): base/7/x86_64/group_gz | 165 kB 00:00:00
(2/4): extras/7/x86_64/primary_db | 159 kB 00:00:00
(3/4): updates/7/x86_64/primary_db | 6.7 MB 00:00:03
(4/4): base/7/x86_64/primary_db | 6.0 MB 00:00:11
依存性の解決をしています
--> トランザクションの確認を実行しています。
---> パッケージ epel-release.noarch 0:7-11 を インストール
--> 依存性解決を終了しました。
依存性を解決しました
====================================================================================================
Package アーキテクチャー バージョン リポジトリー 容量
====================================================================================================
インストール中:
epel-release noarch 7-11 extras 15 k
トランザクションの要約
====================================================================================================
インストール 1 パッケージ
総ダウンロード容量: 15 k
インストール容量: 24 k
Is this ok [y/d/N]: y ←「y」を入力します。
Downloading packages:
epel-release-7-11.noarch.rpm | 15 kB 00:00:00
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
警告: RPMDB は yum 以外で変更されました。
インストール中 : epel-release-7-11.noarch 1/1
検証中 : epel-release-7-11.noarch 1/1
インストール:
epel-release.noarch 0:7-11
完了しました!
[root@Tiger ~]#
RHEL7/CentOS7が重要カーネルセキュリティアップデートをリリース【CVE-2019-14821/CVE-2019-15239】
重要なカーネルセキュリティアップデートのアナウンスがされています。
RHSA-2019:3979 - Security Advisory
Red Hat Enterprise Linux 7 and CentOS 7 Receive Important Kernel Security Update
対象となる脆弱性
対象となる脆弱性は下記になり、それを修正します。・CVE-2019-14821
・CVE-2019-15239
これらの脆弱性は、潜在的な権限昇格、カーネルパニック、情報の不正改ざん、
不正取得、サービス運用妨害 (DoS) 状態にされるなどの危険性があります。
続きを読む "RHEL7/CentOS7が重要カーネルセキュリティアップデートをリリース【CVE-2019-14821/CVE-2019-15239】"
Fedora 31リリース
2019年11月5日、「Fedora 31」が正式リリースされました。
オフシャルエディションは下記2つになります。
・デスクトップ版「Fedora Workstation」
・サーバー版「Fedora Server」
上記の他に、
プレビュー版として下記3つのエディションがリリースされています。
・コンテナワークロードに最適化された「Fedora CoreOS」
・デスクトップをイミュータブルに設計した「Fedora Silverblue」
・IoTやエッジコンピューティングに特化した「Fedora IoT」
Linuxの「sudo」コマンドにroot権限奪取の脆弱性
Linuxの「sodo」コマンドに深刻な脆弱性が発見されました。
本来であれば、root権限を使用できない
ユーザーでもそれが奪取可能になるというものです。
これは、sudoの権限設定ファイル「sudoers」を
正しく設定していも発生する脆弱性になり、
完全にrootとして振る舞えます。
速やかなsudoコマンドの更新が必要ですが、
2019/10/16現在、ディストリビューションによっては、
更新が用意できていない場合があります。
CentOS8とCentOS7の違い、変更点のまとめ
これまでのCentOS7との違いはどこにあるのでしょうか?
興味があったのでまとめてみました。
パフォーマンスが向上
開発者のツイートでは、 「EPYC 7742 2P」で38%、「Xeon Platinum 8280 2P 」で33%の向上が確認出来たそうです。また、こちらの記事の検証では、約10%のパフォーマンス向上が認めらたそうです。ImageMagick脆弱性暫定対応(CVE-2016-3714)
G.W中に「ImageMagick」の脆弱性がアナウンスされました。
ImageMagickを対処済の最新バージョンに更新することで対応可能ですが、
現時点でディストリビューターから最新バージョンの提供がない場合、
ImageMagickの設定ファイル「policy.xml」を編集して、
一部処理について制限を行うことで脆弱性に暫定対応できます。
※本対策を行うと、これまで可能であった動作においても、
エラーが発生する可能性があります。
※本対策はディストリビューターから正式なアップデートが
提供されるまでの暫定措置となり、制限は解除予定です。
glibc にバッファオーバーフローの脆弱性(CVE-2015-7547)
GNUのCライブラリ「glibc」に、深刻なバッファオーバーフローの脆弱性が発見されました。
2008年5月に公開された「同2.9」以降のすべてのバージョンが影響を受け、
遠隔の攻撃者によって、任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を
受けたりする可能性があります。
各開発者が提供する情報をもとに、アップデートを適用する必要があります。
■関連情報
・glibc ライブラリの脆弱性 (CVE-2015-7547) に関する注意喚起
・glibc にバッファオーバーフローの脆弱性
・Linuxなどで利用する「glibc」に深刻な脆弱性 - コード実行のおそれ
・CVE-2015-7547(Red Hat 英語)
今回アップデート手順を実施した環境は、CentOS7.1になります。
[root@Tiger ~]# cat /etc/redhat-release
CentOS Linux release 7.1.1503 (Core)
対象はCentOS6、CentOS7になり、CentOS5は影響を受けないので対象外です。
ntpdの脆弱性アップデート手順(CVE-2014-9298,CVE-2014-9297・・・etc)
ネットワーク経由で時刻調整を行うntpdに複数の脆弱性が発見されています。
今回は、ntpdの脆弱性アップデート手順を紹介します。
■関連情報
Network Time Protocol daemon (ntpd) に複数の脆弱性
ntpd 脆弱性におけるパッケージのアップデートについて
今回対応できる脆弱性は下記になります。
・スプーフィングによる認証回避 (CWE-290) - CVE-2014-9298
ソースアドレスを IPv6 アドレス ::1 に偽装されると、ACL による制限を回避される可能性があります。
・プログラムの異常状態や例外条件を適切に検査しない (CWE-754) - CVE-2014-9297
ntp_crypto.c において拡張フィールドの長さ (vallen) の値が正しく検証されていないため、
情報漏えいやプログラムの異常終了が発生する可能性があります。
・PRNG における不十分なエントロピー (CWE-332) - CVE-2014-9293
ntp.conf ファイルで auth key が設定されていない場合、暗号強度の不十分なデフォルト鍵が生成されます。
・暗号における脆弱な PRNG の使用 (CWE-338) - CVE-2014-9294
4.2.7p230 より前のバージョンの ntp-keygen は、弱いシード値で暗号論的に
不適切な乱数生成器を使い、対称鍵を生成します。
・スタックバッファオーバーフロー (CWE-121) - CVE-2014-9295
ntpd の crypto_recv() (autokey 認証利用時)、ctl_putdata()、および configure() には、
細工されたパケットの処理に起因するスタックバッファオーバーフローの脆弱性が存在します。
・エラー条件、戻り値、状態コード (CWE-389) - CVE-2014-9296
ntpd において特定のエラー処理を行うコードに return 式が存在しない箇所が存在するため、
エラー発生時に処理が停止しない問題があります。
OpenSSLの脆弱性アップデート手順(CVE-2014-3570,CVE-2014-3571・・・etc)
昨年からHeartbleedや、POODLEなどの脆弱性が報告されている
OpenSSLのアップデート手順を紹介します。
今回アップデート手順を実施した環境は、CentOS6.5になります。
[root@Tiger ~]# cat /etc/redhat-release
CentOS release 6.5 (Final)
今回対応できる脆弱性は下記になります。
・CVE-2014-3570
攻撃者に暗号保護メカニズムを破られやすい。
・CVE-2014-3571
攻撃者が細工したDTLSメッセージを使うことで、
NULLポインタ参照とアプリケーションのクラッシュによるサービス妨害を引き起こします。
・CVE-2014-3572
ECDHE-to-ECDH ダウングレード攻撃されます。
・CVE-2014-8275
攻撃者が細工されたデータを送ることで、保護メカニズムが破られます。
・CVE-2015-0204
SA-to-EXPORT_RSA ダウングレード攻撃や、
ブルートフォース復号で、弱いRSAキーを提供します。
・CVE-2015-0205
細工されたTLS Handshake Protocol により、CertificateVerifyメッセージを
必要とせずにDiffie-Hellman (DH)証明書でクライアント認証を受け入れます。
・CVE-2015-0206
攻撃者が多くのレコードを送ることにより、
メモリリークによるサービス停止を引き起こします。
続きを読む "OpenSSLの脆弱性アップデート手順(CVE-2014-3570,CVE-2014-3571・・・etc)"
bashの脆弱性アップデート手順(CVE-2014-6271, CVE-2014-7169)
Linuxで使用されているbashに脆弱性が見つかりました。
米国立標準技術研究所(NIST)が出した脅威評価は、
10段階中「10」と最も重大に位置づけられています。
ディストリビューターから対策済みプログラムが提供されていますので、
下記手順を実施し、速やかにアップデートを適用する必要があります。
今回の実行環境はCentOS6.4になりますが、
CentOS5、CentOS7にも同じ手順で適用できます。
CentOS6.4をLinuxカーネル3.10.0にアップデートしてみました(カーネル再構築)
2013年06月30日にLinuxカーネル3.10.0がリリースされました。
今回のアップデートでは、SSDをハードディスクのキャッシュとして利用することで高速化する
「bcache」が導入されています。
また、タイマーを使わずにマルチタスクを実現する「Timer free multitasking」を導入したことで、
CPUの消費電力削減や処理パフォーマンスの向上といった効果が期待できます。
早速、CentOS6.4にLinuxカーネル3.10.0を導入(カーネル再構築)してみたので、
その手順を紹介します。
(基本的に本サイトで過去行なってきたカーネル再構築と同じ手順で出来ます。)
※本ページで紹介しているアップデートは自己責任でお願いいたします。
1.現在のバージョンを確認します。
カーネルバージョンが2.6、CentOS6.4です。
[pakira@Tiger ~]$ su -
パスワード:
[root@Tiger ~]# cd /usr/local/src
[root@Tiger src]# uname -r
2.6.32-358.el6.i686
[root@Tiger src]# cat /etc/redhat-release
CentOS release 6.4 (Final)
makeコマンドのコンパイルを「-j」オプションで高速化
MySQLなどをmakeでコンパイルしようとした場合、処理に時間が掛かります。
そのような場合、マルチプロセッサ環境であれば、makeコマンドに「-j」オプションを
付けて実行すると、コンパイルが並列処理され、時間短縮することができます。
書式
make -j ジョブ数
■実行環境
・VMware Player5
・仮想マシンのスペック
・CentOS6.4
・メモリ :1GB
・CPUコア数:4
コンパイルソフト:Apache 2.2.24
処理時間を測定するために、timeコマンドを付けてmakeを実行しました。
■-jオプション無しで実行
[root@Tiger httpd-2.2.24]# time make
real 5m2.725s
user 0m49.494s
sys 5m14.875s
CentOS6.4がリリースされました。
2013年3月9日にCentOS6.4がリリースされました。
一時期、他のRed Hat Enterprise Linux(RHEL)クローンディストリビューションに比べ、
リリースが遅れ気味でしたが、ここ最近は対応が早いですね。
■CentOS 6.4登場
■「CentOS 6.4」が公開、Microsoft Hyper-Vドライバなどを追加
主な変更点や既知の問題は、CentOS 6.4リリースノートにまめられ公開されています。
■CentOS 6.4リリースノート(英文)
今回のアップデートでは、
マイクロソフトのHyper-Vサーバーにインストールされた時の利便性を上げるため、
Hyper-Vドライバの追加(これによりHyper-V上でCentOSを動作させるとパフォーマンスが向上するらしい)と、
Active Directory(AD)ドメインとの相互接続性を改善するために、Samba4対応が特徴です。
CentOS6.4のダウンロードは下記公式サイトから行えます。
■CentOS公式サイト
CentOS6.4の無料サーバー構築マニュアルは↓からダウンロードできます。
■CentOS6.4の無料サーバー構築マニュアル
CentOS6.4サーバー構築手順紹介ページ
■CentOS6.4のサーバー構築手順はこちらのページで見られます。
CentOS6.3をLinuxカーネル3.8にアップデートしてみました(カーネル再構築)
2013年02月20日にLinuxカーネル3.8がリリースされました。
今回のアップデートでは、
Ext4(fourth extended file system)ファイルシステムで、
inode内にファイルを埋め込む機能が追加されたことで、
ディスク容量の無駄な消費を低減し、読み込み速度の向上を図っています。
また、既に多くのディストリビューションで採用されている
次世代ファイルシステム「Btrfs(B-tree file system)」の強化も行われ、
複数のストレージデバイスに渡ってファイルシステムを利用している場合、
新たに追加されたreplace機能により、ファイルシステムをアンマウントせずとも
ストレージデバイスの置き換えが可能になっています。
さらに、現状では実験的な位置づけですが、
SSD向けファイルシステム「F2FS (Flash-Friendly File System) 」が
新たに導入されています。
この他に、ARMプロセッサのサポートが進化したのと同時に、
以前よりアナウンスされていた386プロセッサのサポートが廃止されています。
早速、CentOS6.3にLinuxカーネル3.8を導入(カーネル再構築)してみたので、その手順を紹介します。
※本ページで紹介しているアップデートは自己責任でお願いいたします。
1.現在のバージョンを確認します。
カーネルバージョンが2.6、CentOS6.3です。
[pakira@Tiger ~]$ su -
パスワード:
[root@Tiger ~]# cd /usr/local/src
[root@Tiger src]# uname -r
2.6.32-279.el6.i686
[root@Tiger src]# cat /etc/redhat-release
CentOS release 6.3 (Final)
CentOS6.3をLinuxカーネル3.6にアップデートしてみました(カーネル再構築)
10月1日にリリースされたばかりのLinuxカーネル3.6を
CentOS6.3に導入してみたので、その時の手順を紹介します。(カーネル再構築)
※本ページで紹介しているアップデートは自己責任でお願いいたします。
1.現在のバージョンを確認します。
カーネルバージョンが2.6、CentOS6.3です。
[root@Tiger ~]# cd /usr/local/src
[root@Tiger src]# uname -r
2.6.32-279.el6.i686
[root@Tiger src]# cat /etc/redhat-release
CentOS release 6.3 (Final)
LinuxがプリインストールされているPC|System76・Tuxedo・ThinkPad認定モデルの選び方
「Windows用PCに入れたら画面が真っ黒、Wi-Fiも掴まない」
こうした「動くはずだったのに動かない」という相談は、私のセミナーでも毎月のように受けます。
この記事では、LinuxがプリインストールされているPC(以下、Linuxプリインストール機)のメリット・選び方・2026年時点の主要メーカーまでを、サーバー管理者の現場目線で解説します。
Windows用PCに無理やりLinuxを入れて消耗するくらいなら、「最初からLinuxが動くPC」を選ぶ方が、学習にも実務にも圧倒的に近道です。
この記事のポイント
・LinuxプリインストールPCは「Wi-Fi・サスペンド・指紋認証」が初日から動く
・代表メーカーはSystem76/Tuxedo/Slimbook/Star Labs/Dell XPS Developer Edition
・国内入手は直販輸入か、Linux認定モデル指定でThinkPadを買う2択
・自作・中古PCでLinuxを動かす場合はLVFSとカーネルバージョンを必ず確認する
続きを読む "LinuxがプリインストールされているPC|System76・Tuxedo・ThinkPad認定モデルの選び方"
Linuxが使えるパソコンって?
こんにちわ。
リナックスマスター.JPの宮崎です。
LinuxメルマガやLinuxサイトを運営してると、色々な質問をもらいます。
その中で一番多い質問が「Linuxが使えるパソコンって?」という類のものです。
例えば、
1.DELLの●●という機種を使っているのですが、Linuxはインストールできますか?
2.Linuxがインストールできるパソコンを教えてください。
などなどの質問です。
1については、メーカーに直接聞いてください(笑)
メーカーサイトに行けば、動作保証しているLinuxが掲載されていますし、
そもそも私も同じ機種を持っているわけではないので分かりません。
ちなみに、サイトに動作保証対象外のLinuxについて問い合わせても
「自己責任確認してください。」と言われてしまいます(笑)
(過去に確認済み)
2については私が使用しているPCを教えれば良いのですが、
既に販売が終了したサーバーしか所有してない為、あまり意味がありません。
ネットで検索すれば、LinuxをプリインストールしたPCを売っている
メーカーがありますので、そのようなところで購入するのが良いと思います。
つまり、メーカーが動作保証していないLinuxについては、
実際にインストールしてみないとわからないという事になります。
残念な事に、
メールサーバー構築において注意すべき3つのポイント
こんにちわ。
リナックスマスター.JPの宮崎です。
今回はメールサーバーを構築する際において、
外すことの出来ない重要なセキュリティ対策を3つ紹介します。
メールサーバー技術を習得するには、実際に構築して技術を
習得することも大切ですが、その前段階として絶対に外せない
セキュリティ上のポイントを押える必要があります。
そのポイントを出来るだけサラっと読めるようにしましたので、
5分だけお付き合いください。
■スパムメール(迷惑メール)対策
昨今、非常に問題になっているスパムメールは
メールサーバー構築において必要な対策の一つになっています。
スパムメールとは、自分で登録した覚えがないのに
商品広告の案内や出会い系サイトの案内メールなどが届くと言うものです。
あなたも一度はスパムメールを受信した経験があるのではないでしょうか?
VMware Player3を使うメリット
こんにちわ。
リナックスマスター.JPの宮崎です。
今日は本サイトでも紹介しているVMware Player3を使うメリットに
ついてお話したいと思います。
VMware Playerは、1 台のPC上で複数のオペレーティングシステム(以下OS)を
同時に実行することができます。例えば、Windowsにインストールした場合、
Windows上でLinuxやMacOSを動かすことが可能です。
↓の画像のようにWindows上でCentOSを稼働させることができます。
Vine Linux5.1がリリースされました。
こんにちわ。
リナックスマスター.JPの宮崎です。
2010年2月26日にVine Linux5.1がリリースされましたね。
Vine Linux5になってから起動時間が大幅に短縮されたり、
収録ソフトウエアが大幅に刷新されたりと随所に改良がみられます。
Vine Linuxを使うメリットととしては、やはり安定志向を重視している
ディストリビューションであるため、比較的サーバー用途に向いている
ということではないかと思います。
古いバージョンのCentOSをダウンロードするには?
こんにちわ。
リナックスマスター.JPの宮崎です。
突然ですが、あなたが好きなLinuxって何ですか?
Vine Linuxですか?
Fedoraですか?
それともUbuntuでしょうか?
CentOSという人も結構多いのではないかと思います。
でも、CentOSって新しいバージョンがリリースされると
過去の旧バージョンは公式サイトから削除され
ダウンロード出来なくなってしまいます。
(Vine Linuxは旧バージョンもダウンロードできます。)
今日は削除されてダウンロード出来なくなった旧バージョンの
CentOSをダウンロードする方法をご紹介します。