CentOSの初期設定で最低限やること(@さくらのVPS) - Qiita続いてrootに関する設定を行います。 以下ではrootになれるユーザーおよびsudoコマンドの実行ユーザーの設定を行っています。 # vim /etc/pam.d/su # 以下の行のコメントを外す auth required pam_wheel.so use_uid # visudo # 以下の行のコメントを外す %wheel ALL=(ALL) ALL
【重要】NTPの脆弱性について | さくらインターネット
お客様各位 さくらインターネット株式会社 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 下記サービスにおきまして、NTP(Network Time Protocol)の脆弱性を悪用したNTP リフレクション攻撃の事象が多く確認されており、コンピュータセキュリティ関連の情 報発信などを行うJPCERTコーディネーションセンターからも注意喚起が発表されていま す。 ▼対象サービス ・さくらのVPS ・さくらのクラウド ・さくらの専用サーバ ・専用サーバ ・専用サーバPlatform ▼JPCERTコーディネーションセンター 「ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起」 http://www.jpcert.or.jp/at/2014/at140001.html お客様におかれましては、ntpdへの適切なアクセス制限が設定されている
OCNユーザー最大400万件のメールアドレス流出か サーバに外部から不正プログラム
NTTコミュニケーションズは7月24日、ISP「OCN」の会員サービス「OCN ID」のサーバが外部から不正アクセスを受け、最大約400万件のメールアドレスと暗号化されたパスワードが流出した可能性があると発表した。 OCN IDは「OCNメール」「OCNマイページ」などへのログインに使う会員サービス。同社によると、23日に、同IDを管理するサーバに5つの不審なプログラムファイルを発見。プログラムやログなどを調べたところ、サーバが外部から不正アクセスを受け、同ID用のメールアドレスとパスワードを外部に送信しようとするプログラムを仕込まれたことが判明したという。 ただちに同プログラムを無効化したが、最大で約400万件のメールアドレス・暗号化されたパスワードが外部に流出した可能性があるという。現時点では顧客情報の流出被害は確認されていないという。 流出した可能性のあるパスワードは暗号化されている
iptablesで鉄壁?の守りを実現する3つのTips|TechRacho by BPS株式会社
iptablesでサーバを守るときに知っておくと良いことを3つ紹介します 1. 接続回数を制限する(IPアドレスごと) hash_limitを使います これにより特定ホストからの大量アクセス、DoS攻撃を緩和することが可能です 例 2. 接続回数を制限する(サービスごと) limitを使って制限します これにより多数のホストからの攻撃、DDoS攻撃を緩和します limitを使った制限は全ホストが等しく制限を受けるため、ssh等に設定すべきではありません。 (攻撃を受けている間は自分たちも制限されるため) Webサーバが大量アクセスで落ちそうな場合は使えるんじゃないでしょうか? 例 3. 接続IPアドレスを限定する IPアドレスの国別割り当てをAPNIC等から取得してコマンドを作ります この手のルールは長くなるので、ユーザー定義チェインにしたほうが見やすくなります 例 あとはこんな感じのスク
環境省が運営のホームページが改ざん NHKニュース
環境省が運営する二酸化炭素の削減に関するホームページが、外部から改ざんされていたことが分かりました。 このホームページにアクセスすると個人のデータが盗まれる可能性もあり、環境省はホームページを閉鎖し、詳しい原因を調べています。 改ざんが見つかったのは、環境省が運営する「CO2みえ~るツール」というホームページで、家庭の光熱費や使用家電の種類を入力すると、二酸化炭素の排出量が計算できるものです。 環境省によりますと15日、ホームページなどの監視を行っているNGOから指摘を受け、調べたところ、ホームページを管理するサーバー上のプログラムが改ざんされていたということです。 これまでの調査でホームページは今月3日に外部から侵入されていた形跡があり、このページにアクセスすると悪質なウイルスに感染する別のページに誘導され、パソコン内の個人のデータなどが盗まれる可能性があったということです。 このページ
自己流のSQLインジェクション対策は危険
HTMLエスケープの対象となる < > & " の4文字は、文字実体参照に変換された後、preg_replace関数でセミコロンを削除してしまうので、中途半端な妙な文字化けになりそうです。 一般的な原則としては、データベースにはHTMLの形ではなくプレーンテキストの形で保存しておき、HTMLとして表示する直前にHTMLエスケープする方法で統一することで、上記のような文字化けやエスケープ漏れをなくすことがよいでしょう。 脆弱性はないのか このsanitize関数に脆弱性はないでしょうか。上表のように、バックスラッシュ(円記号)を素通ししているので、MySQLや、設定によってはPostgreSQLの場合に、問題が生じそうです。以下、それを説明します。以下の説明では、MySQLを使う想定とします。 以下のように、ログイン処理を想定したSQL文組立があったとします。 $sql = sprintf(
(緊急)BIND 9.xの脆弱性(サービス停止)について(2012年10月10日公開)
--------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(サービス停止)について(2012年10月10日公開) - キャッシュ/権威DNSサーバーの双方が対象、パッチの適用を強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2012/10/10(Wed) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。 本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ ります。 本脆弱性は影響が大き
Sambaが極めて深刻な脆弱性に対処、直ちにパッチ適用を
Samba 3.6.3までのバージョンに極めて深刻な脆弱性が存在し、リモートからroot権限で任意のコードを実行される恐れがあるという。 オープンソースのファイルサーバソフトウェア「Samba」の脆弱性に対処するセキュリティアップデートが4月10日付で公開された。Samba 3.6.3までのバージョンに極めて深刻な脆弱性が存在し、リモートからroot権限で任意のコードを実行される恐れがあるという。 Sambaのセキュリティ情報によると、脆弱性はSambaのリモートプロシージャコール(RPC)コード生成機能に存在する。細工を施したRPCコールを使って悪用される恐れがあり、認証も必要としないことから、最大級の危険を伴うと指摘している。 この脆弱性を修正した更新版は、Samba 3.6.4/3.5.14/3.4.16となる。3.6シリーズのパッチはSamba4 alpha18にも対応する。また、
CentOS で行なっておきたいセキュリティ設定: ある SE のつぶやき
はじめに Linux のセキュリティ設定ってなかなかまとまったものがないので、いろんなサイトを参考にしながら設定をまとめてみました。想定はWeb サーバーで、使用している Linux は CentOS 6.2 です。 設定内容は以下のようになります。 全パッケージのアップデート リモートからの root ログインを無効にする 公開鍵暗号方式を使用した SSH ログイン設定 iptables 設定 SSH ポート番号の変更 不要なサービスを停止 ログ監視設定 ファイル改ざん検知ツール設定 ウィルス対策ソフト設定 Apache の設定 全パッケージのアップデート 最初に以下のコマンドを実行して、全パッケージを最新の状態にする。 # yum –y update 後は脆弱性が発見された時、または定期的にパッケージのアップデートを行う。 リモートからの root ログインを無効にする リモートからメ
5分でできるPHPセキュリティ対策 - ぼくはまちちゃん!
こんにちはこんにちは!! Webプログラミングしてますか! よく「PHPはセキュリティがダメ」とか言われてるよね。 でもそれって、べつにPHPが悪いんじゃなくて、 たぶん、セキュリティとかが、まだよくわからない人が多いだけなんじゃないかな。 がんばって勉強しようと思っても、なんだか難しい理屈が並んでいたりするしね…。 なので今日は、セキュリティ対策について、 「これだけやっとけば、わりと安全になるよ」ってことを、初心者むけに、大雑把に書いてみます! 理屈がわからなくても、最初はコピペでも、 なにもやらないより、やったほうがきっとマシになる! 1. XSS対策 動的なものを表示するとき、全部エスケープすればokです! (NG) あなたの名前は <?= $name ?> ですね! ↓ (OK) あなたの名前は <?= htmlspecialchars($name, ENT_QUOTES) ?>
安全を考えてPHPの実行時設定を調整する
PHPを初期設定のまま使うと、いろいろ問題が起こる可能性があります。今回は、問題の発生を未然に防ぐ設定法をいくつか紹介します。(編集部) 初期設定のままでは良くないところもある ここ数回はPHP実行時の設定について解説しています。実行時設定を変更する方法として、PHPの設定ファイル(以下php.iniファイル)に設定を記述する方法と、Apache HTTP Server(以下Apache)の設定ファイルにPHPの設定を記述する方法の2つがあり、前回はその使い分けについて解説しました。 サーバ全体で標準の設定値としたいものはphp.iniファイルに、バーチャルホストやURLごとに変更したいものはApacheの設定ファイルに記述する、という使い分けの指針も示しました。 今回は、php.iniで設定できる項目、つまりサーバ全体にかかわる設定項目の中でも、初期設定のままにしておくことがあまり適切で
tanomi.com [ たのみこむ ] - tanomi.comからのお知らせ
2010年5月24日15時頃に発生いたしました、弊社運営サイト「たのみこむ」のメールマガジン配信用アドレスへの返信による一部ユーザーからの一斉誤配信、およびメールアドレス流出について、経緯と今後の対策についてご報告致します。この度はお客様には多大なるご迷惑、ご心配をお掛けしておりますことを、心よりお詫び申し上げます。 なお、今回の事態は、メールマガジン一斉配信アドレス宛へのメール送信により発生いたしました。「スパムメール」「ウイルス」および「メール返信をしていないメルマガ登録ユーザーに関する情報漏洩」の可能性はございません。 今後このような事態が二度と発生しないよう、スタッフ一同鋭意努力して参ります。今後とも変わらぬご愛顧を賜わりますよう、よろしくお願い申し上げます。 1.発生状況 平成22年5月21日のメルマガ配信後、一部メルマガ登録ユーザーのメールサーバがオーバークォータであったこ
Apache HTTP Serverの脆弱性を突く「Apache Killer」――パッチは48時間以内にリリース予定 | OSDN Magazine
Apache HTTP Serverの開発チームは8月24日、同Webサーバーの脆弱性を突くDDoS攻撃ツール「Apache Killer」が出回っていると警告した。該当するApacheは1.3系および2系の全バージョン。パッチ発行までユーザーはおのおので対応を講じるよう呼びかけている。 Apache KillerはFull-disclosureというメーリングリストで先週公開された。問題となっているのは「Range header DoS」と呼ばれる脆弱性。リモートから多数のRange指定を含むリクエストを送ることで、ターゲットシステムのメモリとCPUを消費させるというもの。バージョン1.3系および2系のすべてがこの脆弱性を持つという。デフォルト設定ではこの攻撃に対し脆弱で、現在この脆弱性を修正するパッチやリリースはない。Apache Killerではこの脆弱性が悪用され、多数のリクエスト
中国人民解放軍開発のサイバー攻撃ツール、国営放送の番組で明るみに
中国国営放送で公開されたドキュメンタリー番組に、中国政府のシステムから米国内の標的に対してサイバー攻撃を仕掛ける場面が登場するという。 中国の国営テレビで公開されたドキュメンタリー番組に、人民解放軍が米国内の組織に対してサイバー攻撃を仕掛ける場面が出てくることが分かったと、米国などのメディアが伝えている。 F-Secureの8月23日のブログによると、問題のドキュメンタリーは中国国営テレビで7月に公開された。内容は軍の技術紹介とサイバー戦争の可能性について解説する一般的なものだが、この中で、中国政府のシステムから米国内の標的に対して攻撃を仕掛ける場面が登場するという。 この場面には人民解放軍の情報工科大学が登場し、攻撃用ソフトウェアで目標を選択する画面が映し出される。標的は中国で非合法組織に指定されている気功集団「法輪功」だが、攻撃目標に選ばれたIPアドレスは米国の大学のものだったという。
X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記
2011-01-06: IE8ということを追記 & ちょっと間違いを修正。あけましておめでとうございます。 年明け早々ですが、Internet Explorerの話題です。IEはご存じの通り、Content-Type だけでなくコンテンツの内容なども sniff することでファイルタイプを決定しているため、画像ファイルやテキストファイルをHTMLと判定してしまい、クロスサイトスクリプティングが発生することが昔からたびたび報告されていました*1。現在は幾分マシになったとはいえ、IEのファイルタイプの判定アルゴリズムは非常に難解であり、現在でも状況によってはWebサイト運営者のまったく意図していないかたちでのXSSが発生する可能性があったりします。そういうわけで、IEがコンテンツを sniff してHTML以外のものをHTML扱いしてしまうことを防ぐために、動的にコンテンツを生成している場合に
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch
Engadget | Technology News & Reviews
みつかませんか? 外に出て遊びましょう! @びんたん
x.com