Swatchでログを監視して、攻撃に合わせた対策を自動で実行する方法
ハッカーからの攻撃に対して、千手観音のような活躍をみせるSwatchの応用編 前回の投稿でSwatchの基本的な使い方を解説しました。 このページではiptablesでアクセスを遮断したり、攻撃に使われたIPに関する情報をメールに追加したりと、外部スクリプトと連携する方法を解説します。 合わせてSwatchの設定を一元管理する方法。一連の処理をテスト・調整する方法も解説します。 また、投稿の最後には実際に運用している設定の例を掲載しています。 このページで紹介するスクリプトは以下のサイトで紹介されている方法を元に手を加えたものです。この場を借りてお礼申し上げます。 http://centossrv.com/swatch.shtml 目次 Swatchによって実行されるスクリプトを作成 swatch.logのログローテーションを設定 BIND用の設定ファイルを作成 Swatchの起動スクリプ
IPVS-NATでリアルサーバーから応答がない事象の解決方法 – 「きまぐれほげほげひろば」のTOPICS
○ 事象 IPVS(LVS)(NAT/マスカレード構成)環境にて、端末からサービスIPにアクセスするとサーバーからの応答がない。 tcpdumpで調べると、応答パケットがリアルサーバーからアクセス元端末に戻っておらず、さらに調べると、IPVSを構築しているサーバーで応答パケット(戻りの通信)が破棄(遮断)されている。 □ アクセス端末 ↓| ■×IPVS・ファイアーウォール ↓|↑ □ リアルサーバー ○原因 ファイアーウォールがIPVSを経由した応答パケットを認識していない! ファイアウォールのルールが iptables -P FORWARD DROP で iptables -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT iptables -A FORWARD -i eth0 -p tcp –dport 80 -j ACCEPT iptables
Linuxのファイヤーウォール(iptables)とSELinuxを停止&無効化 - yummy-yummy
ちゃんと設定しなくていいサーバの場合、ファイヤーウォールとSELinuxが動いていたら、外から見るのにいろいろ不都合なので、停止&無効化するのです。 iptables $ /etc/rc.d/init.d/iptables stop $ chkconfig iptables off $ chkconfig --list iptables iptables 0:off 1:off 2:off 3:off 4:off 5:off 6:off SELinux 動作状態の確認 $ getenforce Enforcing Enforcing SELinux機能は有効でアクセス制御も有効。 permissive SElinuxはwarningを出すが、アクセス制限は行われません disabled SElinux機能・アクセス制御ともに無効 SELinuxを一時的に無効化 $ sete
Linuxルーター構築(rp-pppoe+iptables) - CentOSで自宅サーバー構築
Linuxをルーターにする。ここでは、一般的な市販のルーターと同じように以下のことができるようにする。 ※Linuxをモデムで直接PPPoE接続する場合のみで、市販ルーター経由接続環境の場合は不可 【Linuxルーターでできるようにすること】 ・グローバルIPアドレス1個で、内部の複数のマシンが同時にインターネットを利用できるようにする・・・IPマスカレード ・各種サーバーサービスに必要なポート以外の外部からのアクセスは遮断する・・・ファイアウォール ・サーバー機とルーター機が異なる場合でも外部からサーバー機の各種サーバーサービスへアクセス可能にする・・・NAT 【必要な機器】 ・ネットワークアダプタ(NIC)×2(インターネット(外部向け)接続用とLAN(内部向け)接続用の2枚) 【前提とするネットワーク条件】 ネットワークアドレス:192.168.1.0/24 LinuxルーターIPア
「さくらのVPS」CentOS の初期設定の作業のまとめ&解説(iptablesによるファイアウォール編) | 5 LOG
今回はさくらのVPS の初期設定のファイアウォール編です。 iptablesの設定は検索するといろいろと出てきて、どれが信頼できるのかわからない状態です。。。 結構、良くわからないから他のサイトをコピペしました的な記事も多く見られます。おそらくコピペで設定している人も多いと思いますので、もう一度確認してみてください。 作業目次 初期設定 ssh編 サーバー起動、rootパスワード変更 作業用ユーザーの追加・パスワード設定・管理者グループに追加・sudo・suの設定 公開鍵認証、パスワードログインの禁止、rootログインの禁止、sshポート番号の変更 ファイアウォール編 iptablesによるファイアウォールの設定(←今回はここ) iptablesを使用したパケットフィルタリング設定 パケットフィルタリング設定は、簡単に言うとサーバーの通信(データやパケット)の送受信に対して、許可したり、拒
高機能なLinuxベースのソフトウェアルーター「Vyatta」を使う | さくらのナレッジ
これらはyumコマンドでインストールできる。 # yum install qemu-kvm qemu-img libvirt virt-manager libvirt-client インストールが完了したら、仮想マシンを管理するサービスであるlibvirtdを起動しておく。 # chkconfig libvirtd on # service libvirtd start 以上で仮想化関連の設定は完了だ。 ネットワークインターフェイスの設定 仮想マシン上のネットワークインターフェイス(仮想NIC)を実ネットワークに接続する方法にはいくつかがあるが、今回はブリッジネットワークを使用する。ブリッジネットワークは、ホストマシン上に仮想的に作成したブリッジインターフェイスをホストのNICおよび仮想マシン上の仮想NICに接続することで、仮想NICを直接インターネットやローカルネットワークに接続できるよ
CentOS で行なっておきたいセキュリティ設定: ある SE のつぶやき
はじめに Linux のセキュリティ設定ってなかなかまとまったものがないので、いろんなサイトを参考にしながら設定をまとめてみました。想定はWeb サーバーで、使用している Linux は CentOS 6.2 です。 設定内容は以下のようになります。 全パッケージのアップデート リモートからの root ログインを無効にする 公開鍵暗号方式を使用した SSH ログイン設定 iptables 設定 SSH ポート番号の変更 不要なサービスを停止 ログ監視設定 ファイル改ざん検知ツール設定 ウィルス対策ソフト設定 Apache の設定 全パッケージのアップデート 最初に以下のコマンドを実行して、全パッケージを最新の状態にする。 # yum –y update 後は脆弱性が発見された時、または定期的にパッケージのアップデートを行う。 リモートからの root ログインを無効にする リモートからメ
俺史上最強のiptablesをさらす - Qiita
#!/bin/bash ########################################################### # このスクリプトの特徴 # # 受信・通過については基本的に破棄し、ホワイトリストで許可するものを指定する。 # 送信については基本的に許可する。ただし、サーバが踏み台になり外部のサーバに迷惑をかける可能性があるので、 # 心配な場合は、送信も受信同様に基本破棄・ホワイトリストで許可するように書き換えると良い。 ########################################################### ########################################################### # 用語の統一 # わかりやすさのためルールとコメントの用語を以下に統一する # ACCEPT :
VPS等でCentOSをOSとして選択した場合にやっておきたい最低限の設定 » とりあえず9JP
多くのVPSや専用サーバサービスでは、OSとしてCentOSが標準だったりするけれど、VPSなどでCentOSをOSとして選択した場合に、仮に「一時的なテスト環境」として利用するにしてもやっておいたほうが良いと思う最低限の設定の話。 とりあえず、普通にrootログインするなり、suするなりして、rootになってる前提で。 通常使用(または管理用)するのユーザの作成 以下のコマンドでユーザを作成する。 useradd 追加したいユーザ名 作成したユーザにパスワードを設定する。 passwd 追加済みのユーザ名 sudoの設定 sudo が入ってなければ入れておく。 yum install sudo sudoの設定。 visudo 作成済みのユーザに権限を与える。 以下を追記。 ユーザ名 ALL=(ALL) ALL 編集が完了したら、 su - ユーザ名 として、作成済みのユーザに切り替える。
これぐらいやっとけ 〜Linuxサーバのセキュリティ設定〜 - nabeの雑記帳
管理中のサーバで行っているセキュリティ設定を公開します。本当はこういうことを公開するのはよろしくないのですが、脆弱サーバが氾濫している現状そこが踏み台となってsshアタックされるのも迷惑極まりないので、最低限やっとけという内容でまとめました。*1 起動サービスと概要 iptables/Firewallの設定 iptablesの中身 limit-burstについて hashlimitについて hosts.allow/hosts.deny(TCP Wrapper)の設定 sshdの設定 その他の設定 Apacheの設定 Postfixの設定 Dovecotの設定 まとめ はてブさんは #の切り分けやめてくれないかな……。 起動サービスと概要 Apache (www) sshd smtp/pop bind (DNS) ntpd いくつかの注意点。 sftpで十分なのでftpdは使わない。WinS
natテーブルを利用したLinuxルータの作成
サーバとして ・外部からの接続パケットは基本的にすべて破棄 ・ただし接続済み通信のパケットは許可 ・内部からの接続パケットは基本的にすべて許可 ・ループバックアドレスに関してはすべて許可 ・メンテナンスホストからのping、メンテナンスホストへのpingを許可 ・メンテナンスホストからのssh(TCP 22)を許可 ルータとして ・Linuxサーバを経由して外部へ出ていくパケットのソースアドレスを変換 ・内部アドレス→外部アドレス ・内部アドレスやプライベートアドレスが外部に漏れないようにブロック 市販のブロードバンドルータと同じような働きをするLinuxルータを作ります。Linuxサーバに2枚のNICを組み込み、一方にはプロバイダなどから与えられたグローバルアドレス、もう一方にはプライベートアドレスを設定します(以下、グローバルアドレス側を外部ネット、プライベートアドレス側を内部ネットと
IPマスカレードルータの構築
[1.1] インストールされているOSの確認 IPマスカレードのルータとして使用するマシンには 既に、Debian GNU/Linux ( ver 3.1 --sarge--) がインストールされている必要があります。 まだインストールされていない場合は 専攻サーバの基本部分構築ガイド を参考にして, OSのインストールを行っておくこと. [1.2] 2枚のネットワークカードの認識 解説 IPマスカレードとは?にも 書いた通り、パソコンをルータ代わりに使うには2枚のネットワークカードが 必要になります。 [1.2.1] ネットワークカードが 1枚の場合 ルータとして機能するためには, Network Device が2つ必要になります. もし, コンピュータにネットワークカードが 1枚しか装備されていない場合は もう 1枚ネットワークカードを増設して下さい. もう 1枚のネットワークカード
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://park1.wakwak.com/~ima/centos4_bind0001.html