prelinkによりlsなどの基本的なバイナリのmd5sum値が変化してしまう - モーグルとカバとパウダーの日記
先日、すんごい焦った事例がありました。 サーバがクラックされると、クラッカーにより/bin/lsや/bin/psなどの基本的なコマンドが置き換えられ、クラックされて置かれたファイルや動いているプロセスだけが見えなくなるようにして、クラックされていることがわからなくなるよう細工させられる場合があります。 そのため、そういったバイナリが置き換えられていないか、定期的にmd5sum値を取って確認するような簡単なチェック機構を入れていました。 (こういった用途にはTripwireのような専用ツールがありますが、あくまで簡易的な確認のためでここでは使っていませんでした。) それが、確認するとmd5sumが先週と違っているという相談を受けました。 環境は CentOS 6.x です。 早速調べてみると、タイムスタンプは変化していないのにmd5sum値は違っていました。 また、md5sum値はサーバ毎に
iptables (ファイアーウォール)の設定 〜 CentOS6
SSH のポート番号変更の時にちょっとだけいじった iptables ですが、ここで本格的に設定を行います。基本的に弱気の設定方針で、使わないポートは閉じ、必要最小限のポートだけ開けます。基本のポリシーは以下の通り。 ・入ってくるパケットを基本的にブロック(INPUTポリシー : DROP) ・パケット転送を基本的にブロック(FORWARDポリシー: DROP) ・出て行くパケットを基本的に許可(OUTPUTポリシー : ACCEPT) ・HTTP, SSH など必要なポートを開ける # vi /etc/sysconfig/iptables *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] # ループバックを許可 -A INPUT -i lo -j ACCEPT # pingやtcp, udpの通信結果に使
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
