auditdでLinuxのファイル改竄検知を行う - Qiita
はじめに Linuxでファイル改竄検知をやろうと思ってauditdを試したメモです。 ファイルの改竄検知としては Tripwire が有名ですが、Linuxであればauditdを使うことも可能です。AmazonLinuxだとデフォルトで入ってたので、設定ファイルを書くだけで使えます。 Tripwireは予めファイルのチェックサムのデータベースを作っておいて、これをファイルを比較することで、ファイルの改竄を検知します。同じようにファイルのチェックサムベースで比較するものとしてAIDEというツールもあるようです。 一方auditdは仕組みとしてはLinuxカーネルでシステムコールを記録して、特定の条件にマッチする操作をログに出力します。なので、若干守備範囲の違うツールですが、システムコールを監視することでもファイルの変更は監視できます。 LinuxのAuditのアーキテクチャや説明などは、Re
自堕落な技術者の日記 : 様々なサーバーのPOODLE SSLv3脆弱性(CVE-2014-3566)対策のまとめ(更新3) - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 もくじ 1. はじめに 2. SSLv3を無効化できる場合のサーバー対策 2.1. Apache HTTPD Server + mod_ssl 2.2. Apache HTTPD Server + mod_nss 2.3. nginx 2.4. lighttpd 2.5. Microsoft IIS 2.6. (訂正)Apache Tomcat (Java JSSE) 2.7. Node.js 2.8. IBM HTTP Server 2.9. Amazon Web Services 2.10. その他のサーバー 2.11. SSLv3 を無効化するリスク 2.12. OpenLDAP 3. 諸般の事情で SSLv3 を有効にせざるを得ない場
TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定(「遵守項目」と「推奨項目」)を決めております。 本ガイドラインは安全なウェブサイトの作り方とともに適切な暗号設定をする資料の一つとしてお使いいただけます。 なお、本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。 「TLS暗号設定ガイドライン」の内容 1章と2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識を
はじめてでも爆速でCentOS6.6(さくらのVPS)をセキュアにセットアップする方法まとめ - 憂鬱な世界にネコパンチ!
爆速でセットアップを完了するため、極力コピペで設定できるようにしてみたよ(・∀・) 動作検証は、さくらのVPSで標準OSをインストールして行った。記事執筆時点ではCentOS6.6がインストールされたぞ。 # cat /etc/issue CentOS release 6.6 (Final) # uname -rs Linux 2.6.32-504.3.3.el6.x86_64 お知らせ 本記事の内容をFabric化したスクリプトを公開!ぜひ試してみてね。 → 超速でCentOS6.6(さくらのVPS)をセットアップする俺史上最強のFabricスクリプトをさらす rootのパスワード変更と作業用ユーザの作成 まずは、コンソールからSSHで接続しよう。 [localhost ~]$ ssh root@XX.XX.XX.XX なお、サーバを起動してない場合は、事前に管理画面からサーバを起動しよ
そこそこセキュアなlinuxサーバーを作る - Qiita
先日「サーバーのセキュリティ設定がなにすればいいかわからない」と相談をうけまして。 自分も初心者の時どこまでやればいいかわからず手当たりしだいにやって沼に入っていたのを思い出しながら自鯖構築したときのメモを元にまとめてみました。 注意 セキュリティ対策は用途や場合などによって違います。 自分で理解したうえで自己責任でおねがいします。 対象読者 Linuxのサーバーを建て慣れていない人 Linuxはある程度さわれる人(自分でパッケージを入れたり、サービスを止めたりできる) ラインナップ ☆は導入の重要度と導入の容易さから個人的偏見からつけた値です。 4つ以上が"最低限やること"だと思ってください。 sshd
CentOSでサーバー公開するためのセキュリティ設定メモ - Qiita
# vi /etc/sysconfig/iptables # Generated by iptables-save v1.4.7 on Thu May 1 20:30:59 2014 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -s 200.000.000.000 -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -s 192.168.36.0/24 -j ACCEPT COMMIT # Completed on Thu May 1 20:30:59 2014
Linux同士でSSHによるパスフレーズなしログイン | Check!Site
記事投稿者:山下 晴規 記事公開日:2013/01/02 最終更新日:2013/10/04 (この記事は約1年以上経過しています。) LinuxからLinuxへ、SSHを用いて、パスフレーズの入力を行わないでログインする為の設定を行いましたので、記録しておきます。 1.導入環境 SSH接続元はCentOS6(アカウント:root)、SSH接続先はAWS EC2(アカウント:ec2user)になります。 SSH接続元にSSHクライアントが入っていなかったので、インストールしました。 # rpm -qa | grep ssh openssh-server-5.3p1-70.el6_2.2.x86_64 openssh-5.3p1-70.el6_2.2.x86_64 libssh2-1.2.2-7.el6_1.1.x86_64 # yum info openssh-clients (省略) Av
インターネットに公開するサーバーの基本的なセキュリティ設定 | 774::Blog
定期的にこういう内容を書いて公開している気がする。昔の記事もあるのでそちらを読めばいいのだが、また書く必要性が生じてきたのであらためて書きます。 現代では AWS のようなクラウドや VPS など格安で手軽にインターネット上にサーバーを持てるようになった。しかしインターネットで誰でもアクセスできる環境でサーバーを稼働させるということは、常に人間やロボットの攻撃に晒されるということを同時に意味している。したがって初心者だからだとか、会社の中ではこうやって仕事をしているからといった言い訳は一切通用しない。セキュリティ設定をきちんとしなければ内部への侵入をたやすく許し、思わぬデータの漏洩につながるのである。とはいえセキュリティというのはトレードオフを考慮しなければいくらでも強化できるものでありキリがない。ここでは最低限これだけはやっておこうという現実的な落とし所を提示し、人々への啓蒙をはかるもの
IPAテクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法の紹介」の公開:IPA 独立行政法人 情報処理推進機構
ウェブ改ざんに繋がる脆弱性等をコストをかけずに検査する、3種のツールの使い勝手を比較 2013年12月12日 独立行政法人情報処理推進機構 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ウェブサイトの脆弱性を検査するオープンソースのツール3種の評価を行い、ツールの特徴と使用における留意点をまとめたレポート「ウェブサイトにおける脆弱性検査の紹介(ウェブアプリケーション編)」を2013年12月12日からIPAのウェブサイトで公開しました。 2013年は、ウェブアプリケーションやウェブサイトを構成するミドルウェアの脆弱性が原因で、多数のウェブサイトで改ざんや情報漏洩などが発生しました。例えば、ユーザが改ざんされたウェブサイトを閲覧し、ウイルスに感染した場合、ウェブサイトを運営する組織は、ユーザへの謝罪や風評対策などの対応を迫られることになります。 現在、ウェブサイトを持たない組織
Kozupon.com - 第三者不正中継チェックの仕組み!
セキュリティの確認項目に、メールリレー(不正中継)が行えるかどうか?がある。これは、悪意のある第三者にSPAM等の行為を未然に防止するため、自分のメールサーバが中継が行えるかどうかを確認することである。 この仕組みは簡単で、TELNETを使って、個人で確認することが可能である。ここでは、その不正中継が行えるかどうか?自分のサーバをチェックするTELNETコマンドについて説明する。 1.メールリレーをチェックできるサイト メールリレーをチェック出来るサイトは、有名どころでは RBL.JP である。このサイトは、毎度おなじみで多分みなさんもすでに、ご利用かと思う。 第三者中継テストのためmail.xxxxxxxxxx.co.jpに接続しています... <<< 220 mail.xxxxxxxxxx.co.jp ESMTP Postfix >>> HELO rep.rbl.jp <<<
世界の国別 IPv4 アドレス割り当てリスト
ところがこのリスト、RIR statistics exchange format にも書いてあるように、「開始 IP アドレスから何個」という表現になっているので、そのままではサブネット マスクや CIDR の表現としては使えないレコードがあります。例えば、 192.168.0.0 から 768 個 768 個を表すサブネット マスクはない。 したがって、192.168.0.0/255.255.254.0 と 192.168.2.0/255.255.255.0 の二つに分けなければならない。 192.168.3.0 から 512 個 512 個なのでサブネット マスクは 255.255.254.0 だが、ホスト アドレス部が 0 になっていないため、単純に 192.168.3.0/255.255.254.0 とすることができない。 したがって、192.168.3.0/255.255.255
mod_securityでWebサーバを守る(第1回)
一体、Webサイトを持たない組織は今どれくらいあるでしょうか。 Webサーバを自前で持つ、ホスティングサービスを利用する、など運用形態はさまざまですが、Webサイトを持たない組織はほとんどないと思える程に Webは普及しています。 ファイアウォールはほとんどの組織で導入済みであり、多くのWebサーバはファイアウォールの中で運用されているのが一般的です。 しかしながら、最も普及しているファイアウォールはIPアドレス、ポートレベルでのフィルタリングです。この方法でのフィルタリングでは、許可していないサービスが持つ脆弱性を狙った攻撃を阻止できるため有用ではありますが、HTTPを許可している場合Web自体への攻撃に対して無力です。一方で、HTTPを不許可にした場合にはWebサイトへアクセスできなくなってしまうため本来の目的を達成できません。しかもここ数年、Webサイトを狙ったワームや不正アクセスは
多発するWeb改ざんに備えてinotifywaitによる改ざん検知を導入した
Webサイトの改ざん事件が多発しています。Webサイトに対する基本的なセキュリティ施策を実施していればまず被害にあうことはないとは思うものの、全ての手口が公開されているわけではないので、何となく「嫌な感じ」もします。 【参考】 Web サイト改ざんに関する注意喚起(JPCERT/CC) 2013年6月の呼びかけ 「 ウェブサイトが改ざんされないように対策を! 」(IPA) @Police ウェブサイト改ざん事案の多発に係る注意喚起について(pdf) 5月から多発しているHP改ざんインシデントをまとめてみた。 - piyolog 当方のサイト(会社、個人)は、一通りのセキュリティ施策は実施しているつもりですが、絶対に改ざんされないかというと、改ざんされることは想定しておかなければならないと考えています。 当方のセキュリティ施策の例 FTPをやめ、sshのみで管理運用 sshのパスワード認証を
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - future-architect/vuls: Agent-less vulnerability scanner for Linux, FreeBSD, Container, WordPress, Programming language libraries, Network devices
TLSプロトコルの脆弱性(CVE-2015-4000)の影響と対処 — MIRACLE LINUX サポート&テクノロジー | サイバートラスト株式会社
IPA、サーバーログを解析して攻撃の痕跡を検出する「iLogScanner」v4.0を無償公開
ウェブサイトの攻撃兆候検出ツール iLogScanner | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
BLACKLISTALERT.ORG - Email Problem ? - Test if your IP or DOMAIN is blacklisted in a spamdatabase
共用サーバにおけるSymlink Attacksによる攻撃とその対策について - さくらインターネット創業日記
http://www.rbl.jp/