06/06/20 00:50:49 TOCwtSsF
Unix 系 OS にとってネットワーク/セキュリティ知識は必須ではないかと思い
またそういったスレッドが見当たらないので建てました。
基礎的なネットワーク知識、セキュリティ
それらを実現するサービス
kernel 再構築によるセキュリティ確保など
関連団体などの情報も必須でしょう。
私のお薦め
初心者向け Network 講座
定番ですが
Roads to Node
URLリンク(www5e.biglobe.ne.jp)
フラッシュなどを用いて視覚的に解説がなされています
また読みものとしても面白いです。
みなさんも情報提供していただけませんか?
#蛇足ー個人の尊厳こそ Freedom
2:login:Penguin
06/06/20 01:05:36 h78XFNGn
爾
3:login:Penguin
06/06/20 10:03:34 inE/6ivp
GNUが付くとDebianスレの派生かと思う
4:login:Penguin
06/06/21 19:27:47 /uqjxurW
どこで質問しようかとスレ一覧眺めてたら、ちょうどこんなスレが出来てた。
借ります。
swatch + iptables で /var/log/secureを監視して不正(と見える)ログインを遮断するよう設定しました。
不正ログイン感知 → 該当アドレスを iptables で DROP → atで30分後に解除という一連のアクションを設定しています。
リアルタイムでの遮断動作自体はうまく行っているのですが、
なぜか不定期的に /var/log/secure に記録されている不正と見なされたアドレスが全部「再度」遮断されてしまいます。
つまり、「新規に」加わったログだけでなく、ログファイル上に残っている「すべての行」が何度もチェックされてしまい、
既に30分以上経過して遮断解除されていたアドレスが、その度に遮断されてしまうのです。
その結果「設定を間違っていて引っかかったユーザが、設定を修正した後も時々ログインできなくなる」
という困った状況になってしまっています。
(現在は手作業で /var/log/secure から該当する行を削除することで対応してます)
swatchのバージョンは 3.1.1、
起動オプションは --config-file /etc/swatch.conf --tail-file /var/log/secure --use-cpan-file-tail --daemon です。
(実際には他に諸々のディレクトリ指定のオプションもありますが割愛)
/etc/swatch.confには
watchfor /proftpd.*\[(\d+\.\d+\.\d+\.\d+)\].*Maximum login attempts/
exec "/sbin/iptables -A INPUT -s $1 -j DROP"
exec "echo '/sbin/iptables -D INPUT -s $1 -j DROP' | at now+30min"
といった感じで13個程パターンが登録されています。
ぐぐってみましたが、類似した話は見つけられませんでした。
原因 & 対策が分かる方がいらっしゃったら、よろしくご教示ください。
5:login:Penguin
06/06/24 21:06:11 JDvjyGFc
う~む
返答なしか
どこで聞こう
6:login:Penguin
06/06/24 22:07:14 m9/Mfs1J
2行目が実行されてないだけじゃないの?
7:login:Penguin
06/06/25 03:46:25 rU7/qJVV
を、反応があった。
>>6
いや、iptables -F INPUT が実行されてるのは確認済みです。
ところが忘れた頃に /var/log/secure の中にある既に処理済みのやつが
同じ時間に再びダ~~~~っと DROP されてしまうのです。
>>4 では省略したのですが、watchfor のアクションでは最後に
exec "echo `date '+%y-%m-%d %H:%M:%S'` $1 ftpd - maxmum attempts exceeded >> /var/log/swatch/`date +%y%m%d`.log"
という感じで、日付別にログを残してるので、これと /var/log/secure とを見比べると
「実際の不正ログイン」がなかったとき、まったく同じ時刻で数十件もログが記録されてたりするわけです。
syslogのローテートが行われてる週末まで、どんどんその行数が増え続けるので、
チェックすると日を追ってどんとん嫌な気分になります。
8:login:Penguin
06/06/25 03:47:58 rU7/qJVV
書き間違えた。
× いや、iptables -F INPUT が実行されてるのは確認済みです
○ いや、iptables -D INPUT が実行されてるのは確認済みです
9:login:Penguin
06/06/25 04:52:17 0p4CcI7d
再起動してない?
10:login:Penguin
06/06/25 06:09:21 rU7/qJVV
してません。
swatchを再起動させると当然 pid が変わるので、
(--script-dir で指示されたディレクトリにある)実行スクリプトも新しくなります。
古いものは消去されずに残りますので、
再起動されればその数だけスクリプトが残るはずです。
一日に数回は「謎のログ総点検」が行われますが、
そのような数のスクリプトは存在しません。
(つか、手動で再起動、あるいはlogrotate の際の自動再起動分しかありません)
11:login:Penguin
06/06/25 06:10:22 rU7/qJVV
昨日の 19時以降だけでも、19:16:55 と 19:51:19 の二度「謎のログ総点検」が行われました。
この二回だけで実に180行のログが残されています。
さきほどsyslogのローテイトが行われたところで、昨夜はログが一週間分貯まっていた訳です。
昨日は夕方に一旦ログを消去したので、こんな行数ですが、丸一日放置した後だと 1000行近くなってしまいます。
これをチェックするのは正直ウンザリな感じです。
皆さんのところでは swatch が「ログ総点検」を行うなどという現象は起きていないのでしょうか?
一体何がトリガーになってるのか、見当がつかなくて困ります。
どうすれば「トリガー」を調べられるか、そのヒントでも頂けるとありがたいです。
12:login:Penguin
06/06/25 11:31:39 T581Ntvh
--tail-file=/var/log/secure
13:login:Penguin
06/06/25 13:16:56 0p4CcI7d
本人が関係ないと思って省略してるところに問題があることも多いかも知れません
14:login:Penguin
06/06/25 16:21:05 rU7/qJVV
>>12
あ、本当だ。=が抜けてますね。
これで直るのかな。試してみます。
しかし、manを見るとオプションの指定で = あるのとないのとゴチャマゼですね。
--config-file では = 不要、tail file の指定も --tail あるいは -t の場合は不要となってる。
あれ?
synopsisだと--restart-time は = 不要になってるのに、command line options では 必要となってる。
どっちでもいいのか?w
15:login:Penguin
06/06/25 16:21:40 rU7/qJVV
>>13
省略……といっても、あと起動スクリプトの中身では
swatchへのオプションを実際にはshell変数使って渡してることとか
start/stop/restart の分岐処理とか
それくらいです。
# start では重複起動と設定ファイル類の存在チェック→起動しかやってません
16:login:Penguin
06/06/26 05:39:54 bSdJbdKs
その後 >>12 の修正を加えてみましたが変化なしで、やはり何度も「総点検」が発生しています。
/var/log/secure と見比べると、「謎の総点検」が行われるのは、
不正ログインではない通常のログインがあって、ログに行の追加があったときに一致しているようです。
ただ、もちろん「すべての正常ログイン」の場合に発生する訳ではないので、
何か別の要因が重なった場合のようです。
引き続き情報がありましたら、よろしくお願いします。
17:login:Penguin
06/07/01 19:22:04 7ibUZkIS
eth0とeth1を使ってマスカレード組んでます。
iptables -t nat -A POSTROUTING -s 192.168.1.0/8 -o eth1 -j MASQUERADE
ここまでは良いのですが、local側(eth0)のパケットをプログラムに取り込んで、
必要に応じてeth1に流したいのです・・・
Filterでは困難なので、プログラムを投入したいのですが、
raw socketでeth0から読んでeth1に書込んでみたのですが、
どうも、socket I/Fからの出力ではMASQUERADE経由しないようです。
(当たり前なの??)
何か良い方法ありますか? 宜しく御教示ください
18:login:Penguin
06/07/02 01:33:05 fHH/ns+1
promisc ?
19:login:Penguin
06/07/03 09:00:44 03m/PJWz
そう
promisc
で拾ってます。
拾うのはOKなんですけどね
書いた後にマスカレードされずにそのままでてってしまう・・・
20:login:Penguin
06/07/03 18:49:41 Dsl3dR/n
当たり前
21:login:Penguin
06/07/03 20:25:49 03m/PJWz
ありがとうございます・・・
POSTROUTINGの前段をうまく捕まえる技があればと思ったのですが・・・
ソース読みます
失礼しましたm(-_-)m
22:login:Penguin
06/09/26 23:15:29 6d8a7QLm
「GPLは危険」 複数のLinuxカーネル開発者が共同声明
URLリンク(opentechpress.jp)
---
TorvaldsはLKMLへのメールの中で、Bottomleyの意見に同意している。
「僕の個人的な意見を言うと、 公開議論の大部分が、
GPLに関して政治的な動機を持った人たちによって行なわれているなあということ。
だからとても声の大きなGPL支持者たちがいる。
だけど大量の開発を結局のところ実際にやってる人たちっていうのは
普通は彼らほど口が達者じゃないし、実際その意見はほとんど知られてないって気がする。
FSFの意見は実際の開発者の(しかも、かなり多数の)意見を必ずしも代弁してはいないっ
てことを、 実際の作業をたくさんやる人たちが知らしめる手段だ。」
23:login:Penguin
06/09/26 23:18:30 APFX152O
>>22
おまえはさっさと死ね
24:login:Penguin
06/09/27 00:06:48 GDpkbWDq
「GPLは瀕死の状態」--Linuxカーネルプログラマーの多くが低評価
URLリンク(japan.cnet.com)
貢献度の高いLinuxカーネルプログラマーの大半が、
「GNU General Public License(GPL)」に否定的であることがわかった。
GPLは多くのオープンソースプロジェクトに適用されている。
Linuxカーネルに関する情報を交換するメーリングリストに投稿した記事によれば、
カーネルプログラマーらに-3から+3の評価を求めた結果、最も高かった評価は、
可でも不可でもないことを意味する0で、平均は-2だったという。
この調査はLinuxを率いるLinus Torvalds氏が提起したもので、
Torvalds氏はこれまでにもGPLに反対の意見を表明していた。
25:login:Penguin
06/10/05 11:29:41 hGZwLmdO
↓のようなポートスキャンなどを行ってセキュリティリスクをレポートしてくれるサービスで
linuxでも使えるものはないでしょうか?
Symantec Security Check
URLリンク(security.symantec.com)
26:login:Penguin
06/10/05 16:27:26 PqMrisKX
あります。イジョ
27:login:Penguin
06/10/05 18:49:07 aVDRRJ2f
>>26 知らないなら黙っていたほうがいいですよ。
誘導 スレリンク(linux板)l50
28:login:Penguin
06/10/05 19:01:43 cvNabUiA
>>25
URLリンク(nessus.org)
29:login:Penguin
06/10/05 19:14:58 cvNabUiA
追加
URLリンク(usat.sourceforge.net)
30:login:Penguin
06/10/05 21:49:42 PqMrisKX
hGZwLmdO=aVDRRJ2f
26 :login:Penguin :sage :2006/10/05(木) 16:27:26 ID:PqMrisKX
あります。イジョ
>>26 知らないなら黙っていたほうがいいですよ。
31:login:Penguin
06/10/07 14:22:18 vF2ja7d/
(苦笑)
26 名前:login:Penguin[sage] 投稿日:2006/10/05(木) 16:27:26 ID:PqMrisKX
あります。イジョ
30 名前:login:Penguin[sage] 投稿日:2006/10/05(木) 21:49:42 ID:PqMrisKX
hGZwLmdO=aVDRRJ2f
26 :login:Penguin :sage :2006/10/05(木) 16:27:26 ID:PqMrisKX
あります。イジョ
>>26 知らないなら黙っていたほうがいいですよ。
32:login:Penguin
07/01/21 17:35:17 Tv8fxT9H
FACK YOUR!!
33:login:Penguin
07/02/13 00:01:27 yjsD2NqE
ここって、debianのネットワークセキュリティーの話でいいのかな。
今、sidでseeditか、TOMOYOのどっちかを導入しようと思ってるんだけど、
どっちが簡単かな。
34:login:Penguin
07/02/13 11:16:22 M3BPWPHj
デブは隔離スレで
35:login:Penguin
07/06/14 04:07:32 wUl9Z8HR
いい趣旨のスレだと思うのでage。
ちなみに関連スレ:
【鉄壁】iptablesの使い方 3【ファイアウォール】
スレリンク(linux板)
36:login:Penguin
07/06/14 10:58:27 OEvSVDY+
ネットワークセキュリティなら・・・・
そう、OpenBSDです。
37:login:Penguin
07/09/05 14:38:44 N/xrp7oK
38:login:Penguin
07/10/03 18:04:30 DelxZpX5
GPL採用はわずか6%
URLリンク(www.atmarkit.co.jp)
Evans Dataが9月25日に発表した調査報告書によると、
オープンソースソフトウェアに取り組んでいる開発者の中で
「GNU General Public License(GPL)」を採用しているのは、
わずか6%に過ぎないという。
同社の「Evans Data Open Source Software Development Survey」では、
調査を行った開発者の3分の2が2008年にGPLを採用する予定はないと答え、
同43%がこれからも同ライセンスを利用しないと述べた。
また、GPLを採用したプロジェクトに参加する可能性はないと回答した人数は、
可能性があるとした人数の約2倍に達している。
同調査は、約400人の開発者を対象に行われた。
39:login:Penguin
07/10/03 18:15:22 avyt7u9Z
>>38
記事は正確に引用しましょう。
その記事で触れられているのはGPLが6%では無くてGPLv3が6%です。
また引用文を改変する事は法的に禁じられているはずです。
40:login:Penguin
07/10/03 21:53:28 X5CWK/w7
そんなことより釣りなら上げなきゃ駄目だろ
41:login:Penguin
08/06/04 18:12:45 iQKswejH
自分の選択でフリーターはともかくとして、
フリーターしか選択肢がないというのはよほど問題がある人だろう。
先天や事故で身体的に無理というならばまだしも、
精神的にとかは、もう笑うしかないな。
どれだけ甘えているのだと。
そういうのはバイトで当然だよ。
むしろ金をやる必要すら無い。
42:login:Penguin
08/12/28 10:56:11 SJubIa5c
ほしゅ
43:login:Penguin
09/05/18 13:27:21 zBbprzQU
ifconfigでIPv6を割り振ってみたいんだけど
IPエイリアスでeth0:1とかにIPv6をどうやってつければいいの?
44:login:Penguin
09/06/10 02:02:08 VBAqSZYu
つまりどういうことです?
45:login:Penguin
09/08/26 23:26:04 fTY2u3XK
URLリンク(mikamail.dyndns.org)
を参考に、ブラックリストファイルに登録された接続先をiptablesで弾くスクリプトを作ってみましたが、合っているのでしょうか?
#!/bin/sh
#初期設定
### IPフォワードの停止 ###
echo 0 > /proc/sys/net/ipv4/ip_forward
IPTABLES=/sbin/iptables
#iptable初期化
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
#ブラックリストアクセスは、ログを吐いてdrop
$IPTABLES -N b_log_drop
$IPTABLES -A b_log_drop -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES Blacklist log] : '
$IPTABLES -A b_log_drop -j DROP
##################################################
# ブラックリスト読み込み
##################################################
while read LINE
do
iptables -I INPUT 1 -s $LINE -j b_log_drop
iptables -I INPUT 1 -d $LINE -j b_log_drop
iptables -I INPUT 1 -p icmp -s $LINE -j b_log_drop
iptables -I INPUT 1 -p icmp -d $LINE -j b_log_drop
done < /etc/iptables/blacklist.txt
##################################################
# Initialize
##################################################
### 設定内容の保存 ###
/etc/rc.d/init.d/iptables save
### IPフォワードの開始 ###
echo 1 > /proc/sys/net/ipv4/ip_forward
46:login:Penguin
09/10/25 22:45:48 LbtqdK1A
sudoってコマンドが普及しているけど、これってかなり危険だよね?
なぜこんなにも普及しちゃったんだろうか。
シングルユーザで使っている人がほとんどのはずなのに。
47:login:Penguin
09/10/26 01:04:34 kbU6EIBx
何言ってんの?
48:login:Penguin
09/10/31 20:08:55 WFBh0DC7
sudo なら、どのコマンドは誰が使えるか
設定できるんだよ。
使えるコマンドに制限つけなければそりゃ危険だ。
もっとも、シングルユーザーで root ログインの
奴にはどっちでも同じことだけどな。
49:login:Penguin
09/11/04 11:31:04 EfP2LvBc
個人一人だけでパーソナルコンピュータとして使っている人がほとんどのはず。
複数ユーザーで使っている人は少ないと思うのに、sudoが標準化されてしまった。
複数ユーザーで一つのパソコンなりサーバなりを共有してでもいないかぎり、
sudoを使わなければ不便ということもないし、sudoを入れることによって
かえって危険度が増すと思うけど、どうなんだろう。
50:login:Penguin
09/11/04 13:59:55 YO73TQNX
>>49
ユーザが一人か複数かが何か関係あんの?
51:login:Penguin
09/11/04 17:28:54 fE4/9RbV
後学のために
どのように「かえって危険度が増す」のか
詳しく解説して欲しい。
suしたりrootアカウントでログインした方が安全なの?
52:login:Penguin
09/12/25 11:34:22 NtXOxghi
それが必要な時だけrootログイン/su/sudoの何が危険なんだろう
53:login:Penguin
09/12/26 01:24:33 0iElouT+
>>50
さすがにそれは関係あるでしょう。
それぞれのユーザーが勝手に自分の方針でシステムの中核をいじくるといずれ破綻する。
シングルユーザーの場合のsuもsudoも気を引き締めるためのひとつの儀式なのだと思う。
54:login:Penguin
10/07/22 11:05:36 2mXZrTNi
ロードアベレージがある値を超えたら
Netfilterで特定のポートへのパケットをDROPする、
ということはできるのでしょうか?
iptables のモジュールで何か無いだろうかと
探したのですが見つけられませんでした。
55:login:Penguin
10/07/22 11:22:35 2mXZrTNi
xinetd の max_load でできそうな気がしてきました。