[linux-users:94049] linuxサーバーが突然リブートしてしまう

[Tsuchiya Hiroshi <hiroshi-tsuchiya _at_ xxxxxxxxxx>]

土屋と申します。
会社で利用している Linux のホストに関して質問があります。
ある程度長い文章になってしまいましたが、よろしくお願いします。


昨日の7/15（月）に、Linuxをインストールしたインターネット接続用の
ホストが勝手にリブートしているのを発見しました。
午後６時前後のことで、回数は２回ほどでした。

攻撃を受けた可能性もあるのでネットから切り離して原因を調べているのですが、
今一つ原因がつかめずにいるため、どなたか知恵をお貸しいただければと
思っております。


このホストはインターネットのネームサーバーとして利用していたもので、
稼動し始めてから１週間も経っていない状態でした。

ハードウェアは Compaq の DL-320 というラックマウントのもので、
現在同型機２台と、ミドルタワーのＰＣ１台とで運用しています。

ＯＳは RedHat Linux 7.3 (FTP版）です。
まだパッケージのアップデートを行っていない状態でした。


一応リブートの原因として思いついたのは以下の２つです。

  a. クラッカによる攻撃
  b. 熱暴走など、ハードのなんらかの不具合


まず a. のクラッカによる攻撃ですが、突然リブートさせるという行為は
侵入した事実が明らかになりやすいために、普通クラッカはやらないのでは
ないかと考えています。

また messages や secure 等に何か不審なログが残っていないかと調べて
みましたが、特に引き金となるような情報は見つかりませんでした。
（既に改竄されている可能性もあるのであてにはなりませんが）


次にセキュリティーホールの面から調査してみました。
現在の状況は以下の通りです。

  ・このホストには tcp/udp:53(DNS), tcp:25(mail) , icmp のみ
    を通している。それ以外は通していない。

  ・DNS として bind 9.2.0 （インストール時のまま）を利用している

  ・MTA として sendmail-8.11.6-15 （インストール時のまま）を利用している


上記の状況からインターネットを調べてみたところ、

  ・bind 9.2.1 以前のバージョンに DoS の脆弱性

  ・sendmail 8.11.6 の以前のバージョンに、ローカルユーザーの root 権限
    奪取の脆弱性
    （これはRedHat Linux 7 の際に発見されたセキュリティーホールなので、
      既に対応されているはずですが）

というのが見つかりました。
しかしこれも、いきなりリブートがかかる現象が起こるような問題とは思えず、
可能性が低いと考えています。

RedHat の Errata（http://rhn.redhat.com/errata/rh73-errata.html）も
探してみましたが、今回の現象に見合うような問題は発見されていないように
見えました。


 b. のハードの不具合に関しては、今のところそういった情報は集めて
いなかったので、CPU の温度のモニタリングなどが行えるかどうかから
調べてみたいと思います。

ただ、今のところ本稼動させているわけではないため利用ユーザーは私１人しか
いませんし、ネームサーバーとは言ってもほとんど利用されていないドメインの
であるため、非常に仕事量は少ない状態だと思います。

また、同型のホストが同じラックに収まっていますが、そちらの方は全く問題
ありませんでした。


ということで、
セキュリティの問題であれば RedHat をインストールし直して穴をふさげば
済む話なのですが、インストールし直しても同じ現象が出るのでは
意味が無いため、まずは原因を特定したいと思っています。
原因が分からないので次の手を打てない状態でいます。


似たような現象に遭遇されたとか、別の問題ではないかといった
ご指摘などをいただければ幸いです。

よろしくお願いいたします。

------
土屋 裕志                [ mailto:hiroshi-tsuchiya _at_ arch.co.jp ]