あなたのLinuxマシンをセキュアにするために知っておくべきiptablesのルール10選
文:Jack Wallen(Special to TechRepublic) 翻訳校正:村上雅章・野崎裕子 2009-03-03 08:00 iptablesをマスターするには時間がかかるものの、セキュリティに関する基本的なニーズを満たすことのできるいくつかのルールを知っておくだけで、あなたのLinuxシステムのセキュリティを向上させることができる。本記事では、その手始めとなる重要なルールを解説する。 iptablesは、Linuxマシンをセキュアにするための強力なツールだ。とは言うものの、その機能の多さには圧倒されてしまいがちである。そして、コマンドの構造をしっかりと理解し、マシンのどの部分をどのようにセキュアにすべきかを把握した後であっても、ややこしいことに変わりはない。しかし、iptablesの良いところは、極めて広いその適用範囲にある。このため、iptablesのルールのいくつかを
DHCPスヌーピングでよりセキュアな環境を構築する - @IT
番外編 DHCPスヌーピングでよりセキュアな環境を構築する 澁谷 寿夫 AlpHa FACTORY 高鳥 正彦 Infoblox株式会社 Systems Engineer 2008/8/20 連載「もう一度見直したいDNS/DHCP」の最終回「DHCPベストプラクティスと新たな役割の模索」では、DHCPを利用した不正PCの排除方法を解説しました。しかしそこにはただし書きとして「DHCPを使わない方法でIPアドレスを設定されるとお手上げ」という一文がありました。そこでDHCPサーバとスイッチの機能を利用して、安全に不正PCを排除する方法を考えます(編集部) 以前、DHCPベストプラクティスとして、DHCPを利用して不正PCの排除を行う方法について説明しました。その際にも説明しましたが、この方法は完全ではなく、詳しい人であればIPアドレスを手動で設定してDHCPの制限を逃れることができるという
DNSベストプラクティスとは「隠す」そして「重ねる」 ― @IT
第2回 DNSベストプラクティスとは「隠す」そして「重ねる」 澁谷 寿夫 Infoblox株式会社 Systems Engineer 2007/12/14 軽視されがちのDNSにもう一度明かりをともす新連載。第2回ではDNSの最新情報と、前回の最後で図だけ提示した「DNSのベストプラクティス」構成の意味を解説します(編集部) いまだに設定ミスの多いDNS 今回も引き続きDNSについて説明していきたいと思います。まずは、おさらいをかねて、2007年11月に発表されたDNS関係のリリースを紹介したいと思います。 11月19日に開催されましたDNS DAYでも話題に上がっていたのですが、いまだに多くのDNSサーバに設定ミスが多いという問題があります。設定ミスの内容としては、いくつかありますが、その中でも深刻な問題としてはオープンリゾルバのサーバになってしまっているというものです。 前回説明した「
“安全”のためにTomcatを理解し、構築し、動作させる
“安全”のためにTomcatを理解し、構築し、動作させる:Tomcatはどこまで“安全”にできるのか?(1)(1/3 ページ) 無料サーバはどこまで安全にできるのか? 近年、Linux上でサーバを構築・公開する方が多くなってきていますが、中途半端な設定のサーバを公開することで会社の情報資産が危険にさらされることがよくあります。 そんな中、基本的に無料のOSであるLinuxサーバと、同じく無料で利用できるアプリケーションで、世界中において高いシェアを誇るTomcatを用い、「無料でどこまで製品サーバのセキュリティに迫れるか?」「どこまで安全にWebアプリケーション構築ができるか?」をこの連載を通して追っていきたいと思います。 第1回は、そもそもTomcatとは何かを解説し、Tomcatの最新版の新機能とそのセットアップの仕方や自動起動の方法、Apacheと連携させる方法などを紹介します。 T
SSHのログイン制限を確認しよう
暗号化によるシェルログインが可能なSSH。そのセキュリティが確保される手段を使用していても,設定によっては危ういホールになってしまう可能性がある。 次に挙げる設定は,SSHを利用する上でぜひとも設定しておきたい。 # vi /etc/ssh/sshd_config ........... PermitRootLogin no PermitEmptyPasswords no PasswordAuthentication no AllowUsers hoge CheckHostIP yes 上から3項目は,すべて「no」にしておこう。上から順に,「rootでのログイン手段を許すか」,「パスワードが設定されていないユーザーでのパスワード無しのログインを許すか」,「RSAによる暗号化ログインを必須とするか」である。 AllowUsers行は必須ではないものの,ログインできるユーザーを限定させるため
ClamAVのウイルスデータベースを自動更新するには - @IT
LinuxでアンチウイルスソフトClamAVを使うにはで、ClamAVのインストールからウイルスデータベースの更新、ウイルスチェックの方法を説明した。 ClamAVのウイルステータベースは、/var/lib/clamavディレクトリにmain.cvdおよびdaily.cvdというファイルで保存されている。これらのデータベースは、freshclamコマンドで更新する。いうまでもないことだが、このデータベースを常に最新状態にしておかなければ意味がない。そこで、自動的にデータベースを更新する設定を行う(注)。 注:なお、Fedora Core 5(FC5)の場合は、自動更新用の仕組み(freshclam-sleep)が用意されており、3時間おきにウイルスデータベース更新の有無をチェックして、結果が/var/log/freshclam.logに記録される。従って、以下の作業を行う必要はない。 Cl
Referenceポリシーの作成と動作テスト - @IT
第5回 Referenceポリシーの作成と動作テスト 古田 真己 サイオステクノロジー株式会社 インフラストラクチャービジネスユニット Linuxテクノロジー部 OSSテクノロジーグループ 2006/6/17 そろそろ読者の皆さんもFedora Core 5(FC5)に触れているころではないかと思います。 第4回「ReferenceポリシーをEnforcingモードで動かそう」ではReferenceポリシーでのモジュール作成に向けて必要なことをおさらいも含め解説しました。今回は、実際にモジュールを作成してSELinuxのポリシーを仕上げます。 ドメイン名を考える いよいよモジュールの作成に取り掛かります。最初に、アプリケーションバイナリ名を基にしてドメイン名を考えます。これはtomcat.teを作成する部分に当たります。 アプリケーション実行環境であるTomcatはJavaバイナリによって
「Winny商法」にご用心
筆者のもとには毎日,電子メールで数十通のプレスリリースが送られてくる。その中で最近よく目にするのが,「Winnyの起動を禁止するツール」や「USBストレージへのデータの書き込みを制限するツール」のリリースである。こういったツールの登場を見るたびに,筆者は複雑な気持ちになってしまう。 筆者は,こういったツールが「実際には機能しない」とか「役に立たない」というつもりはない。試してはいないが,これらはきっと確実に動作するだろう。では,なぜ筆者が複雑な気持ちになってしまうのかというと,そもそも「特定のアプリケーションの実行禁止」や「USBストレージへの書き込み禁止」は,Windowsが標準で備えている機能だからである。 例えば,Windows XP Professionalで特定のアプリケーションの実行を禁止したいのであれば,以下のような手順を実行すればよい。[コントロールパネル]の[管理ツール]
Linux Fedora
SELinuxを実装したFedora Core 4サーバを作ってみよう(updated 14 Mar/06 ) このページの更新はもう行いません。 SELinuxのstrict-1-27ポリシー、Fedora core 4、postgresql-8.1.1、mysql-5.0.18、apache- 1.3.34、apache-2.2.0、php-5.1.2、php-4.4.2、winscp、 putty、nmap、lsat、java、snmp、mrtg、 meadow、pear、smarty、mod_security、namazu、nucleus、samba-3.0.20bは試しましたか? このページの簡単な説明(今日の独り言) SELinuxに対応したサーバの作り方です。SELinuxを際だたせるために書いていないところは、こち らで確認してください。なかなか大
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
mod_auth_digest - Apache HTTP Server Version 2.4