これぐらいやっとけ 〜Linuxサーバのセキュリティ設定〜 - nabeの雑記帳
管理中のサーバで行っているセキュリティ設定を公開します。本当はこういうことを公開するのはよろしくないのですが、脆弱サーバが氾濫している現状そこが踏み台となってsshアタックされるのも迷惑極まりないので、最低限やっとけという内容でまとめました。*1 起動サービスと概要 iptables/Firewallの設定 iptablesの中身 limit-burstについて hashlimitについて hosts.allow/hosts.deny(TCP Wrapper)の設定 sshdの設定 その他の設定 Apacheの設定 Postfixの設定 Dovecotの設定 まとめ はてブさんは #の切り分けやめてくれないかな……。 起動サービスと概要 Apache (www) sshd smtp/pop bind (DNS) ntpd いくつかの注意点。 sftpで十分なのでftpdは使わない。WinS
Linuxのcrontabコマンドの脆弱性をつぶす
はじめに 今回はCronをとりあげます。CronはOSの持っている時計に基づき、あらかじめ設定しておいたコマンドを実行するための仕組みで、Unix系システムには必ず備えられているといっていい機能でしょう。ログファイルのローテーションやログインアカウントの利用状況集計など、システム管理上のジョブを定期的に実行するために活用されています。 英語版Wikipediaのページによると、Cronの歴史はVersion7 Unix(1979年リリース)までさかのぼるそうです。Linuxディストリビューションの多くが現在使っているものは、Paul Vixie氏が実装したVixie Cronが元になっています。 サンプルコード Cronでは、crontabという設定ファイルでいつどのようなジョブを実行するかを指定します。この設定ファイルはユーザごとに用意されており、必要に応じてユーザが自分で編集します。こ
/dev/random - Wikipedia
/dev/random はUnix系オペレーティングシステム (OS) における擬似デバイスの一種であり、乱数生成器として機能する。デバイスドライバその他の情報源から集めた環境ノイズを利用して、真の乱数性を得るのが目的である。全てのUnix系OSが /dev/random およびそれに類する機能を実装しているわけではない。また、それぞれの実装が、同じように振舞うわけでもない。このような擬似デバイスを実装した最初のOSはLinuxであった。 Linux[編集] このようなOSレベルの乱数用デバイスを実装した最初のOSカーネルが Linux であった。設計にあたっては、いかなる生成法(暗号学的ハッシュ関数など)にも脆弱性が発見され得る可能性があるという仮定を置いており、そのような脆弱性に耐性を持つよう設計されている。 この実装では、エントロピープールにおけるノイズのビット数の予測を常に保持する
yebo blog: Damn Vulnerable Linux — セキュリティ教材
2010/07/18 Damn Vulnerable Linux — セキュリティ教材 Slashdotに「Damn Vulnerable Linux」のタレ込みがされていたので覚え書き。「Damn Vulnerable Linux (DLV)」はセキュリティホールの原因となる穴だらけのソフトウェアを意図的に寄せ集めたディストリビューションで(1.8GB ISO)、コンピュータセキュリティの教材に使われる。VMware/Qemu/KVMなどの仮想マシンやUSBなどにインストールして利用する。元になったのは「Damn Small Linux (DSL)」でカーネルは脆弱度満載の2.4を採用し、旧バージョンのApache、MySQL、PHP、FTPd、SSHdなど特に攻撃に弱いバージョンが使われている。その他、GCC、GDBなどの開発ツールや攻撃のための各種ツールも備えており、不正侵入の手口の
sudos | Carpe Diem
本番サーバ上で、sudo コマンド経由でスーパーユーザ権限で実行することはよくあります。 sudo コマンドはなくてはならないコマンドですが、同時に危険なコマンドでもあります。 今まで、ずっとデフォルトの sudo の設定で使っていたのですが、改めて設定を見直してみました。 sudo の公式ページをみてみると、頻繁にバージョンアップされているのがよく分かります。/etc/sudoers の設定方法も詳しいドキュメントがあっていい感じです。 次の2点ほど設定を見直しました。 デフォルトのパスワードのキャッシュ時間を 0 にする パスワードプロンプトにホスト名を表示する まず、最初の設定はデフォルトだと 5 分間、パスワードがキャッシュされます。そうすると、連続で sudo コマンドを実行するとき、パスワードを聞かれないためオペミスを起こしてしまう可能性が高まります。そこで、キャッシュ時間を
dfltweb1.onamae.com – このドメインはお名前.comで取得されています。
このドメインは お名前.com から取得されました。 お名前.com は GMOインターネットグループ(株) が運営する国内シェアNo.1のドメイン登録サービスです。 ※表示価格は、全て税込です。 ※サービス品質維持のため、一時的に対象となる料金へ一定割合の「サービス維持調整費」を加算させていただきます。 ※1 「国内シェア」は、ICANN(インターネットのドメイン名などの資源を管理する非営利団体)の公表数値をもとに集計。gTLDが集計の対象。 日本のドメイン登録業者(レジストラ)(「ICANNがレジストラとして認定した企業」一覧(InterNIC提供)内に「Japan」の記載があるもの)を対象。 レジストラ「GMO Internet Group, Inc. d/b/a Onamae.com」のシェア値を集計。 2023年5月時点の調査。
» セキュアなサーバを作るために最低限やっておくこと: エスキュービズム ラボ Blog
Recent Entries セキュアなサーバを作るために最低限やっておくこと Yahooキーワード抽出APIライブラリ テスト駆動開発 (test driven development: TDD) のすすめ GoogleAnalyticsAPI on EC-CUBE 土日で作るコンパイラ OPEN ERPに挑戦3 OPEN ERPに挑戦2 OPEN ERPに挑戦 ERPはたくさんあれど・・・ OpenGLで3D、やってみよう Recent Comments No Responses. Recent Trackbacks テスト駆動開発 (test driven development: TDD) のすすめ 06/11 » Yahooキーワード抽出... みなさんはサーバを管理するときに、何を一番気にしますか? 人によって程度の差はあるのでしょうが、誰もが気になるのが「セキュリティ」でしょ
続・$HOME/.ssh/configを活用していますか? — ディノオープンラボラトリ
以前の記事「$HOME/.ssh/configを活用していますか?」では、設定ファイルを少し頑張って書けば普段のSSHライフが随分変わりますよ、と紹介しました。今日はその続編です。前回よりマニアックな設定を紹介します。 2段以上先のサーバにログインする Dynamic Forward機能を使う 共通設定をまとめて書く 2段以上先のサーバにログインする 目的のサーバにログインするために、踏み台的なサーバを経由しないと入れない環境があります。例えば、dmz経由でないとDBサーバにログインできない環境、というのは良くある構成でしょう。 このような場合に、ProxyCommandパラメータが利用できます。 上の設定で「ssh db1」とすると、sshでdmzに接続し、dmzから192.168.0.201へログインします。これを利用するには踏み台サーバにncコマンドが必要ですが、大抵の環境にインスト
unix - permissionあれこれ : 404 Blog Not Found
2007年03月03日06:30 カテゴリTips unix - permissionあれこれ う〜ん。これ、理解があやふやだと危ないのでまとめとっか。 ウノウラボ Unoh Labs: ウェブ開発の共同作業でパーミッションを有効活用する 複数人でウェブコンテンツを作成運用管理する場合,特に本番サーバーのファイルのパーミッションで悩んでいる人をよく見かけます.あまりパーミッションを積極的に有効活用できない人は挙句に誰でも読み書きできる(いわゆる0666や0777)ザルにすることが多いでしょう.いや待ってください.もうちょっと丁寧に設定してみませんか? というお話です. 早見表 by JavaScript Readable Writable Executable SUID/SGID User r w x s Group r w x s Others r w x t Octal: ls -l
あなたのLinuxマシンをセキュアにするために知っておくべきiptablesのルール10選
文:Jack Wallen(Special to TechRepublic) 翻訳校正:村上雅章・野崎裕子 2009-03-03 08:00 iptablesをマスターするには時間がかかるものの、セキュリティに関する基本的なニーズを満たすことのできるいくつかのルールを知っておくだけで、あなたのLinuxシステムのセキュリティを向上させることができる。本記事では、その手始めとなる重要なルールを解説する。 iptablesは、Linuxマシンをセキュアにするための強力なツールだ。とは言うものの、その機能の多さには圧倒されてしまいがちである。そして、コマンドの構造をしっかりと理解し、マシンのどの部分をどのようにセキュアにすべきかを把握した後であっても、ややこしいことに変わりはない。しかし、iptablesの良いところは、極めて広いその適用範囲にある。このため、iptablesのルールのいくつかを
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
