これぐらいやっとけ 〜Linuxサーバのセキュリティ設定〜 - nabeの雑記帳
管理中のサーバで行っているセキュリティ設定を公開します。本当はこういうことを公開するのはよろしくないのですが、脆弱サーバが氾濫している現状そこが踏み台となってsshアタックされるのも迷惑極まりないので、最低限やっとけという内容でまとめました。*1 起動サービスと概要 iptables/Firewallの設定 iptablesの中身 limit-burstについて hashlimitについて hosts.allow/hosts.deny(TCP Wrapper)の設定 sshdの設定 その他の設定 Apacheの設定 Postfixの設定 Dovecotの設定 まとめ はてブさんは #の切り分けやめてくれないかな……。 起動サービスと概要 Apache (www) sshd smtp/pop bind (DNS) ntpd いくつかの注意点。 sftpで十分なのでftpdは使わない。WinS
iptablesでログ出力設定 – をこわ飯
VPS契約にあたり、色々下調べしてから契約したのでさくらVPSを契約してスグにiptablesの設定を 行いました。 基本的にアカベコマイリさんのページを参考に設定しているため、ログ出力については 行ってませんでした。 参考ページ http://akabeko.me/blog/2012/04/revps-03-iptables-logwatch/ ある日の夜ふけ 最初は、非公開状態での運用だったので上記設定で大きな問題起きてないし大丈夫かな~と適当に運用。 その後、ブログ公開のためドメイン取得して外向けに公開したので、ちょっと身構えてたのですが そもそも、こんな場末のブログが伸びるわけも無く、特に攻撃らしい攻撃も無かったので ノホホンとしてました。 で、なんとなしにアクセスログ見てたら、大変なことになってました。 ;`;:゙;`(;゚;ж;゚; )ブッ わぁ・・・履歴見たら300回ぐらい
iptablesの設定ファイルをシェルスクリプトを利用して動的に作成
Ping of Death攻撃と対策 Ping of Death(ピング オブ デス〈PoD〉)攻撃とは、サイズの大きなPingを受け取るとサーバが停止するというバグを利用した攻撃です。Pingとはサーバの動作を確認する際に利用されます。 最新のディストリビューションでは対策が取られており、実害が出ることは稀ですが、攻撃する意図を持ったIPを特定するという意味でログファイルへ記録します。 今回は設定以上のサイズを持つPingを拒否することで対策を取ります。通常pingのサイズはWindowsであれば32バイトで、linuxであれば56バイトです。 実際にはICMPのヘッダ(8バイト)やTCPのヘッダー(20バイト)が付くので、84バイトになります。そこで85バイト以上のPingを破棄します。 この辺から複雑になってきますが、1つ1つの要素に分解すると簡単です。 # Ping攻撃対策 ipt
「ip_conntrack」を監視することのススメ - カイワレの大冒険 Third
「ip_conntrack」の上限値の監視はしておかないと痛い目を見ることが多い。 中〜大規模サーバーを運用するときの勘所 – iptablesとip_conntrack | cyanoや見落としがちなLinuxのWEBチューニング | Act as Professionalにも書かれているように、この値は本当に監視しておいたほうがよい。特にキャッシュサーバやウェブサーバのように多くのトラフィックを扱うサーバにおいては、大事な部分である。 んで、すぐリソースモニタリングや監視ツールの対象にできればよいんだけど、そこで苦しむ人もいるだろうから、必要であれば以下のシェルをカスタマイズしてみるとよいのかもしれない。なんの値を取得しているのか知らないと監視も中途半端になるだろうし。 リモートだろうが、値を取るだけだったら、こういう風にできる。 #!/bin/sh USER=user KEY_DIR
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
