セキュリティー：まずこれをやれ/Linux編

1 ：01/06/03 〜 最終レス ：11/07/27

/etc/hosts.deny
ALL:ALL
はい、次の人

2 ：

/etc/hosts.allow
ALL : localhost : allow
（残りは全部削除）
はい、次の人

3 ：

/etc/inetd.conf
#
#すべてコメントアウトする。
#
はい、次の人。

4 ：

いまどきinetd？

5 ：

PATH=/sbin
rmmod ipchains
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe ip_conntrack
iptables --flush
iptables -F FORWARD
iptables -F INPUT
iptables -F OUTPUT
#
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
#

6 ：

ipchains or iptables でパケットレベルが確実。
あと、debianを使うことか？

7 ：

テスト

8 ：

niceあげ

9 ：

>>8 優先度下がるじゃん(w

10 ：

/etc/service
telnet、他使わないものコメントアウト
当然LinuxconfやSWATもだー
はい次の人

11 ：

Tripwire設置
お次の御仁どうぞ

12 ：

>>10
ん？/etc/servicesいじってどうすんだ？
ポート閉じるなら、
/etc/inetd.confを編集するなり、
daemonをkillする方がいいだろ？

13 ：

shutdown するのが一番効果あります

14 ：

表題の「・・・まずこれをやれ」って事を忘れてたわ
■起動daemonを設定する
debianの場合
/etc/inittab 中の記述 id:3:initdefault にして
/etc/rc3d 以下をいぢる
念のためにこうして↓deamonを止める
# /etc/rc(現在のrunlevle).d/hoge stop

15 ：

RedHat系なら
/etc/rc.d/rc3.d/S**sendmail をK**にmvしよう
それか、setupを起動してサービスでいらないサービスのXを外して再起動

16 ：

Linuxを捨ててOpenBSDにする。

17 ：

パッケージのアップデート
Red Hat なら
http://www.redhat.com/apps/support/updates.html
Debian なら言うまでもない。

18 ：

>>16
ﾁｮｯﾄﾜﾗﾀ

19 ：

では、OpenBSDで
セキュリティー：まずこれをやれ/OpenBSD編
のスレを立ててください

20 ：

>>15 　ふつう、
chkconfig --level 12345 sendmail off
ってやるだろ

21 ：

sendmail をすてて、qmailにする。

22 ：

wu-ftpをすてて、proftpにする。（やりかたは自分で探しましょう）

23 ：

>>1
shutdown -h now
telnet,rlogin,ftp捨てて
ssh,sftp使う
>>16
ワラタ。
でも､激しく同意。
>>21
何で。キミ､sendmailが使えないからそういうこと言ってるのか。

24 ：

>>19
OpenBSDセキュリティはココだ。
以前から勃ってたけどね。

25 ：

>>19
OpenBSDセキュリティはココだ。
以前から勃ってたけどね。
http://ton.2ch.net/test/read.cgi?bbs=sec&key=988971132

26 ：

>>25
んー
何をやるかがあんまり明記されてないね
つーか、
「セキュリティーの硬いインストール方/Linux編」
に変更した方が良いね>>1

27 ：

ネットにつながない。

28 ：

マシンの電源を入れない。

29 ：

氏ぬ

30 ：

まじめにやろうよ（ｗ
Redhat系なら
rpm -e --nodeps telnet

31 ：

やっぱ､生のパスワードをそのまま垂れ流すtelnetはマズイと思うよ。
sshならパスワードが第三者の手に渡っても､暗号化された状態だから
bit数によっては100万年間はクラックされないで済むこともある。
sshでも100%安全と言うわけじゃないけど､平文垂れ流すよりかマシだろ。

32 ：

外出だろうけど、ここみりゃ委員じゃない。
http://www.linux.or.jp/security/firststep.html

33 ：

>>31
そうそう、だから
-e でtelnet を消してるの
つーか、in.telnetd
と、telnetクライアントが消えます
sshは当然ですね。

34 ：

sshも穴があるから気を付けて

35 ：

>>34
Apacheの鯖がやられたのって、sshがらみじゃなかったけ

36 ：

>クラッカーが量子暗号化技術を破ろうとしたら､まず量子物理学の法則を
>解明して､それから暗号を解きにかからねばならない。
http://www.hotwired.co.jp/news/news/Technology/story/2258.html

37 ：

/etc/shadowの部分を従来のDESからblowfishに変える。
-telnetは使わない。
-Linuxを捨ててOpenBSDをインストールする。
-ファイルシステムごとcrypt()する。
↑リモートセキュリティのみならず､警察がある日突然押しかけてきて
HDDを物理的に押収されたときに強い。
-自分の実名､クレジットカード番号をネット上で絶対に明かさない。

38 ：

>>37
微妙にすれ違いなので、どなたか添削お願いします。

39 ：

・ｔｅｌｎｅｔは、相手がｔｅｌｅｎｅｔしかサポートして無ければ必要ですね
　（例：Ｙ社のルータとか・・・・まぁ。。シリアルポートに行くとしても）
・Ｌｉｎｕｘで無いと動かないソフト多々＞＞ＢＳＤ多々。。。
　（それで良いなら、最初からＢＳＤ系でしょう）
・遅いわな。。。
　＝＞やっすぅ〜〜い・壊れやっすぅ〜〜ＤＩＳＫを一杯揃えて置く
　（暗号化するよりも壊れやすいＤｉｓｋの方が安心）
まぁ。。やられて困る？ようなデータを持つＰＣなら、ネットに繋がない
のが正解ね。

40 ：

OpenBSDってよく聞くが
FreeBSDと何が違うの？
つーか、これからはOS関係なしに使えないといかんと思いつつ…
まだ、Linuxはじめたばかりだったりする
OpenBSDのCDの付いた雑誌ってあるの？（この時点で厨房だな）

41 ：

>>39
telnetはクライアントがあればOKでしょう。
Linuxバイナリが動くからOKでしょう
ディスクを持ち歩くの？趣旨が違うような気がするのですが。

42 ：

>>36
いまさらそんな古い記事持ち出されてもねえ…
http://mentai.2ch.net/test/read.cgi?bbs=network&key=981732339
このスレのリンクでも辿って勉強してきな。

43 ：

ところで7はなんなの？

44 ：

ところで7はなんなの？

45 ：

2重書き込みごめんなさい

46 ：

2重書き込みごめんなさい

47 ：

2重書き込みごめんなさい

48 ：

またやっちゃた。ほんとうにごめん。

49 ：

またやっちゃた。ほんとうにごめん。

50 ：

またやっちゃた。ほんとうにごめん。

51 ：

またやっちゃた。ほんとうにごめん。

52 ：

またやっちゃた。ほんとうにごめん。

53 ：

またやっちゃた。ほんとうにごめん。

54 ：

またやっちゃた。ほんとうにごめん。

55 ：

またやっちゃた。ほんとうにごめん。

56 ：

またやっちゃた。ほんとうにごめん。

57 ：

BSDマガジンとかについてるんじゃないの？

58 ：

んーなんかいまいちですね（W
つーか、とりあえず、rm -rf *
ってことでやりなおし
はい次の人

59 ：

>>58
確かにそれをやりゃセキュリティも気にしなくてもよいな(稾
（よいこのみんなはやっちゃだめだよ！)
>>40
BSD系はftpから取ってこれるYO!
BSD初めてならFreeBSDから始めるのがいいYO!
http://www.jp.FreeBSD.org/

60 ：

FreeBSDage

61 ：

rpm -qa|grep kernel|xargs rpm -e --nodeps

62 ：

cd あの世

63 ：

>>61
カーネル消してどーする

64 ：

# chkconfig --level 12345 sendmail off
# chkconfig --level 12345 nfs off
# chkconfig --level 12345 portmap off
# chkconfig --level 12345 inetd off
# chkconfig --level 12345 sshd off
# chkconfig --level 12345 crond off
# chkconfig --level 12345 atd off
# chkconfig --level 12345 nfsd off
# chkconfig --level 12345 lpd off
# chkconfig --level 12345 proftpd off
# chkconfig --level 12345 kudzu off
# chkconfig --level 12345 xfs off
# chkconfig --level 12345 freewnn off
# chkconfig --level 12345 canna off
# chkconfig --level 12345 kinput off
# reboot

65 ：

おもったのだが
最少容量でLinux使う場合はどー言ったインスコすりゃいいの？
Vineでカスタムインスコでチェック項目全部はずして入れても
300MBオーバーです
結局は入れて後から消すのか？

66 ：

>>65
Xと開発環境いれなければだいぶ減る

67 ：

1枚FDのlinuxもあるしね(藁

68 ：

>>65
ありがとん
んー
でも、全部入れなくて300Mなんすけど…
カスタムでチェック入れなくてさらにチェックをはずすには
どーすりゃいいんでしょかね〜
でびあんに乗換えかな。

69 ：

halt

70 ：

Linuxを消してOpenBSDを射れる。

71 ：

山ごもりする。

72 ：

>>70
結局、無限ループやんかーーー

73 ：

>>4
> いまどきinetd？
ってどういう意味でしょうか?
今は他に何かあるんですか?

74 ：

>>73
xinetdとかtcp_serverって話じゃないの？

75 ：

>>74
でも普通inetdだよね、いまどきでも。
xinetdなんてクソLinuxユーザしかつかわんし、
tcp_serverもクソqmailのユーザしか使わん。
あ、クソLinuxスレだったのか。
じゃあ、
ipcahins -A input -p tcp -s 0/0 1:1024 -j DENY
でもやっとけ

76 ：

>>75
inetdは一定時間に大量のアクセスがあったら、DoSとみなして停止したり、
どれくらいのアクセスがあればDoSとみなすかどうかの設定をサービス別に
設定できないっていうのがイタイ。
だから、Linuxユーザー以外でも、大量のアクセスがあるようなホストなら
inetd捨てる場合もありえると思う。それにinetd単体じゃアクセス制限でき
ないのも、ちょっと時代遅れの感がある。
とはいえ、いまどきでもinetdが基本ってのは確か。必要性に応じてxinetd
なりtcp_serverなり選べばいいんじゃ？

77 ：

rm -fr /
これで安心！

78 ：

>>77
またループかい！

79 ：

>>75
>ipcahins -A input -p tcp -s 0/0 1:1024 -j DENY
おい、おまえアホかｺﾞﾙｧ
1024までふさぐなボケ
特権ポートは1-1023だ
ipcahins -A input -p tcp -s 0/0 1:1023 -j DENY

80 ：

>>75
どうでもいいじゃん

81 ：

82 ：

まずはこれを見た方がいいと思われ
ttp://members.tripod.co.jp/casinoA1/

83 ：

参考になったage

84 ：

OpenBSDやFreeBSDもいいけど、NetBSDもいいよお〜。
今回のtelnetd騒動でも、NetBSDだけは大丈夫だったからねえ。
あ、でもインストーラーとか全部英語だしパンピーには使えない
カモ。
http://www.jp.NetBSD.ORG/

85 ：

>>7
test

86 ：

とりあえず、最新版を使う。
ftpd、named、smtpdは良く狙われるから必要最小限のサービスにし
最新セキュリティー情報をチェックしておく。
何でも「やらない」すればある意味セキュリティーは高くなるけど
本来の機能をしなけりゃ意味ないから、どういったリスクがあるか勉強する。（いっぱいあるぞ）
設定だけでは出来ない共有ライブラリレベルの対策では「Libsafe」を入れておくのが
いいんじゃないかな。
www.avayalabs.com/project/libsafe/index.html
ある程度は勉強して仕組みを理解しとかないとだめだと思う、軽くでもいいから。
どんなセキュリティー対策も万全はないから、
まずは簡単にクラックされないような流行のクラック対策はしておこう。

87 ：

為になるsage

88 ：

/etc/passwd
シャドウウィング処理する。これ基本。

89 ：

ipcahins -A input -p tcp -s 0/0 CodeRED -j DENY

90 ：

89warata!!

91 ：

ちょっとだけ外れてごめんレス
＞できるだけインストール容量を小さくしたい
鯖にしか使わないなら、PlamoかSlackwareをつかって、
んで、必要なソフトウェアのみ最新版をDLしてきてそいつをインスト。
でも、Redhat系でも300Mくらいでインストールして、そっから
イランRPMを削除していけば大差はのじゃないかな。
自宅鯖で、
Plamoで、カーネルソース含むで、WWW,FTP,SSH,DNS,PostgleSQL
あー、、あとなんかあったかな。まぁ一般的な自宅鯖（Xやemacsは無い）
で200M切った。カーネルソースも削ればあと50Mくらいは減るはず。
必要ないソフトウェアはまだある……全部削れば結構最新の装備でも
100M切れるのかなぁ。
ちなみにその鯖。CodeRedに打ったIIS連中に3日間ほど集団リンチされ続けて、
現在ルーターが壊れるのが怖いのでリモートでシャットダウンかけました。
IISサーバ、まぢで勘弁。

92 ：

>>91
ルータをLinuxで作ってしまえば？
もしかして、PCじゃ捌けないくらい
リンチされたの？

93 ：

1

94 ：

OpenBSD
必ずパッチを当てる。それもできるだけ早く。
不必要ならinetdを上げない。と言うか、不要なデーモンは上げない。
不必要なユーザーアカウント、コマンドをなどを削る。（rootへのメールのmtreeで不整合になるけど、そこは自分でやれ）
不必要なsetuidビットを削る。
ファイルのパーミッションは可能な限り落とす。
ログは他のマシンに飛ばす。（シリアルがお勧め）
カーネルセキュリティレベルを１以上に。デフォルトは１。
ファイルフラグを積極的に使う。
ソースファイルはディスクに置きっぱなしにしない。パッチ当てる時はテープから読み込む。
メンテの時はLANケーブルを抜く。
/bin /sbin /usr/bin /usr/sbin /usr/libexec などのフアイルのMD5(rmd160,sha1)を取っとく。
ipfilterで過去に攻撃されたIPからの接続を弾く様にしておく。
とか。
まだいっぱいやるべき事は有るけど
あんまりLINUXとやる事は変わんないかもね〜

95 ：

#vi hello.C
main （）
{
char a='H',b='e',c='l',d='l',e='o';
printf("%c%c%c%c%c\n",a,b,c,d,e);
}
:w
:q
#cc hello.c
#./a.out

96 ：

/etc/hosts.equivに
+ +

97 ：

はぁ
なんかまともになりかけ・・・てるかな？
あげ

98 ：

>>94
凄いね、俺もそこまでセット出来る様になりたいもんだ。。
俺はport全部閉じてクリティカルなパッチを見逃さないように
してるくらいかな、FreeBSD4.3
クライアントだとこれ位でも大丈夫、かな、、

99 ：

Name: ppp010.mal.jp.rim.or.jp
Address: 202.247.157.137
　　　　　　　　　　　　　　　　

100read 1read

1read 100read

TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲

【無料】 フリーセキュリティの組合せ 16 (260)
危険SPAMメールサーバーのリスト (255)
最強のPCセキュリティーコンボ (271)
Avira Free Antivirus Part 139 (798)
【Grisoft】AVG Internet Security4【有償版】 (972)
危険SPAMメールサーバーのリスト (255)
--log9.info------------------
日清食品グループ陸上競技部応援スレPart3 (686)
中央大学の神・大石港与 (236)
皇后盃 都道府県対抗女子駅伝 Part37 (261)
シスメックス女子陸上競技部　-part2 (396)
東京国際大学 (644)
スズキ女子陸上部応援スレ (621)
金栗杯2011 (286)
ダイハツ陸上部 (498)
高校長距離選手の進路（明大進学情報専用） Part2 (699)
高林祐介2 (665)
強豪高校新入生情報　Part1 (549)
【渡辺 復活】仙台育英陸上部スレPart13【秀和か】 (275)
こんな高校駅伝は嫌だ (261)
ここだけ１週間遅れているスレ part2 (487)
男子長距離・トラックスレ Part1 (216)
立正大学陸上部 (243)
--log55.com------------------
静岡のバレエ事情
女性バレエ団員、刺殺される
【Boogaloo】ＰＯＰＰＩＮ’【Animation】1
【DANCE】東京パフォーマンスドール【LIVE】
埼玉のよさこいソーラン
富山県のバレエについて
【バレコンに】東京のバレエ事情【弱すぎ】
♪♪♪　ダンス　・　髪上げ　♪♪♪