1read 100read
セキュリティー:まずこれをやれ/Linux編 (215) TOP カテ一覧 スレ一覧 2ch元 削除依頼
セキュリティー:まずこれをやれ/Linux編 (215)
【ノートン】Norton Internet Security 233【NIS】 (317)
avast!Anti-Virus Part170 (869)
みんなのお気に入り優良セキュリティサイトを教えて (200)
一番よいアンチスパイウェアは何だ? (217)
祝! 山口先生就職先決定 (139)

セキュリティー:まずこれをやれ/Linux編


1 :2001/06/03 〜 最終レス :2012/09/17
/etc/hosts.deny
ALL:ALL
はい、次の人

2 :
/etc/hosts.allow
ALL : localhost : allow
(残りは全部削除)
はい、次の人

3 :
/etc/inetd.conf
#
#すべてコメントアウトする。
#
はい、次の人。

4 :
いまどきinetd?

5 :
PATH=/sbin
rmmod ipchains
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe ip_conntrack
iptables --flush
iptables -F FORWARD
iptables -F INPUT
iptables -F OUTPUT
#
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
#

6 :
ipchains or iptables でパケットレベルが確実。
あと、debianを使うことか?

7 :
テスト

8 :
niceあげ

9 :
>>8 優先度下がるじゃん(w

10 :
/etc/service
telnet、他使わないものコメントアウト
当然LinuxconfやSWATもだー
はい次の人

11 :
Tripwire設置
お次の御仁どうぞ

12 :
>>10
ん?/etc/servicesいじってどうすんだ?
ポート閉じるなら、
/etc/inetd.confを編集するなり、
daemonをkillする方がいいだろ?

13 :
shutdown するのが一番効果あります

14 :
表題の「・・・まずこれをやれ」って事を忘れてたわ
■起動daemonを設定する
debianの場合
/etc/inittab 中の記述 id:3:initdefault にして
/etc/rc3d 以下をいぢる
念のためにこうして↓deamonを止める
# /etc/rc(現在のrunlevle).d/hoge stop

15 :
RedHat系なら
/etc/rc.d/rc3.d/S**sendmail をK**にmvしよう
それか、setupを起動してサービスでいらないサービスのXを外して再起動

16 :
Linuxを捨ててOpenBSDにする。

17 :
パッケージのアップデート
Red Hat なら
http://www.redhat.com/apps/support/updates.html
Debian なら言うまでもない。

18 :
>>16
チョットワラタ

19 :
では、OpenBSDで
セキュリティー:まずこれをやれ/OpenBSD編
のスレを立ててください

20 :
>>15  ふつう、
chkconfig --level 12345 sendmail off
ってやるだろ

21 :
sendmail をすてて、qmailにする。

22 :
wu-ftpをすてて、proftpにする。(やりかたは自分で探しましょう)

23 :
>>1
shutdown -h now
telnet,rlogin,ftp捨てて
ssh,sftp使う
>>16
ワラタ。
でも、激しく同意。
>>21
何で。キミ、sendmailが使えないからそういうこと言ってるのか。

24 :
>>19
OpenBSDセキュリティはココだ。
以前から勃ってたけどね。

25 :
>>19
OpenBSDセキュリティはココだ。
以前から勃ってたけどね。
http://ton.2ch.net/test/read.cgi?bbs=sec&key=988971132

26 :
>>25
んー
何をやるかがあんまり明記されてないね
つーか、
「セキュリティーの硬いインストール方/Linux編」
に変更した方が良いね>>1

27 :
ネットにつながない。

28 :
マシンの電源を入れない。

29 :
氏ぬ

30 :
まじめにやろうよ(w
Redhat系なら
rpm -e --nodeps telnet

31 :
やっぱ、生のパスワードをそのまま垂れ流すtelnetはマズイと思うよ。
sshならパスワードが第三者の手に渡っても、暗号化された状態だから
bit数によっては100万年間はクラックされないで済むこともある。
sshでも100%安全と言うわけじゃないけど、平文垂れ流すよりかマシだろ。

32 :
外出だろうけど、ここみりゃ委員じゃない。
http://www.linux.or.jp/security/firststep.html

33 :
>>31
そうそう、だから
-e でtelnet を消してるの
つーか、in.telnetd
と、telnetクライアントが消えます
sshは当然ですね。

34 :
sshも穴があるから気を付けて

35 :
>>34
Apacheの鯖がやられたのって、sshがらみじゃなかったけ

36 :
>クラッカーが量子暗号化技術を破ろうとしたら、まず量子物理学の法則を
>解明して、それから暗号を解きにかからねばならない。
http://www.hotwired.co.jp/news/news/Technology/story/2258.html

37 :
/etc/shadowの部分を従来のDESからblowfishに変える。
-telnetは使わない。
-Linuxを捨ててOpenBSDをインストールする。
-ファイルシステムごとcrypt()する。
↑リモートセキュリティのみならず、警察がある日突然押しかけてきて
HDDを物理的に押収されたときに強い。
-自分の実名、クレジットカード番号をネット上で絶対に明かさない。

38 :
>>37
微妙にすれ違いなので、どなたか添削お願いします。

39 :
・telnetは、相手がtelenetしかサポートして無ければ必要ですね
 (例:Y社のルータとか・・・・まぁ。。シリアルポートに行くとしても)
・Linuxで無いと動かないソフト多々>>BSD多々。。。
 (それで良いなら、最初からBSD系でしょう)
・遅いわな。。。
 =>やっすぅ〜〜い・壊れやっすぅ〜〜DISKを一杯揃えて置く
 (暗号化するよりも壊れやすいDiskの方が安心)
まぁ。。やられて困る?ようなデータを持つPCなら、ネットに繋がない
のが正解ね。

40 :
OpenBSDってよく聞くが
FreeBSDと何が違うの?
つーか、これからはOS関係なしに使えないといかんと思いつつ…
まだ、Linuxはじめたばかりだったりする
OpenBSDのCDの付いた雑誌ってあるの?(この時点で厨房だな)

41 :
>>39
telnetはクライアントがあればOKでしょう。
Linuxバイナリが動くからOKでしょう
ディスクを持ち歩くの?趣旨が違うような気がするのですが。

42 :
>>36
いまさらそんな古い記事持ち出されてもねえ…
http://mentai.2ch.net/test/read.cgi?bbs=network&key=981732339
このスレのリンクでも辿って勉強してきな。

43 :
ところで7はなんなの?

44 :
ところで7はなんなの?

45 :
2重書き込みごめんなさい

46 :
2重書き込みごめんなさい

47 :
2重書き込みごめんなさい

48 :
またやっちゃた。ほんとうにごめん。

49 :
またやっちゃた。ほんとうにごめん。

50 :
またやっちゃた。ほんとうにごめん。

51 :
またやっちゃた。ほんとうにごめん。

52 :
またやっちゃた。ほんとうにごめん。

53 :
またやっちゃた。ほんとうにごめん。

54 :
またやっちゃた。ほんとうにごめん。

55 :
またやっちゃた。ほんとうにごめん。

56 :
またやっちゃた。ほんとうにごめん。

57 :
BSDマガジンとかについてるんじゃないの?

58 :
んーなんかいまいちですね(W
つーか、とりあえず、rm -rf *
ってことでやりなおし
はい次の人

59 :
>>58
確かにそれをやりゃセキュリティも気にしなくてもよいな(稾
(よいこのみんなはやっちゃだめだよ!)
>>40
BSD系はftpから取ってこれるYO!
BSD初めてならFreeBSDから始めるのがいいYO!
http://www.jp.FreeBSD.org/

60 :
FreeBSDage

61 :
rpm -qa|grep kernel|xargs rpm -e --nodeps

62 :
cd あの世

63 :
>>61
カーネル消してどーする

64 :
# chkconfig --level 12345 sendmail off
# chkconfig --level 12345 nfs off
# chkconfig --level 12345 portmap off
# chkconfig --level 12345 inetd off
# chkconfig --level 12345 sshd off
# chkconfig --level 12345 crond off
# chkconfig --level 12345 atd off
# chkconfig --level 12345 nfsd off
# chkconfig --level 12345 lpd off
# chkconfig --level 12345 proftpd off
# chkconfig --level 12345 kudzu off
# chkconfig --level 12345 xfs off
# chkconfig --level 12345 freewnn off
# chkconfig --level 12345 canna off
# chkconfig --level 12345 kinput off
# reboot

65 :
おもったのだが
最少容量でLinux使う場合はどー言ったインスコすりゃいいの?
Vineでカスタムインスコでチェック項目全部はずして入れても
300MBオーバーです
結局は入れて後から消すのか?

66 :
>>65
Xと開発環境いれなければだいぶ減る

67 :
1枚FDのlinuxもあるしね(藁

68 :
>>65
ありがとん
んー
でも、全部入れなくて300Mなんすけど…
カスタムでチェック入れなくてさらにチェックをはずすには
どーすりゃいいんでしょかね〜
でびあんに乗換えかな。

69 :
halt

70 :
Linuxを消してOpenBSDを射れる。

71 :
山ごもりする。

72 :
>>70
結局、無限ループやんかーーー

73 :
>>4
> いまどきinetd?
ってどういう意味でしょうか?
今は他に何かあるんですか?

74 :
>>73
xinetdとかtcp_serverって話じゃないの?

75 :
>>74
でも普通inetdだよね、いまどきでも。
xinetdなんてクソLinuxユーザしかつかわんし、
tcp_serverもクソqmailのユーザしか使わん。
あ、クソLinuxスレだったのか。
じゃあ、
ipcahins -A input -p tcp -s 0/0 1:1024 -j DENY
でもやっとけ

76 :
>>75
inetdは一定時間に大量のアクセスがあったら、DoSとみなして停止したり、
どれくらいのアクセスがあればDoSとみなすかどうかの設定をサービス別に
設定できないっていうのがイタイ。
だから、Linuxユーザー以外でも、大量のアクセスがあるようなホストなら
inetd捨てる場合もありえると思う。それにinetd単体じゃアクセス制限でき
ないのも、ちょっと時代遅れの感がある。
とはいえ、いまどきでもinetdが基本ってのは確か。必要性に応じてxinetd
なりtcp_serverなり選べばいいんじゃ?

77 :
rm -fr /
これで安心!

78 :
>>77
またループかい!

79 :
>>75
>ipcahins -A input -p tcp -s 0/0 1:1024 -j DENY
おい、おまえアホかゴルァ
1024までふさぐなボケ
特権ポートは1-1023だ
ipcahins -A input -p tcp -s 0/0 1:1023 -j DENY

80 :
>>75
どうでもいいじゃん

81 :


82 :
まずはこれを見た方がいいと思われ
ttp://members.tripod.co.jp/casinoA1/

83 :
参考になったage

84 :
OpenBSDやFreeBSDもいいけど、NetBSDもいいよお〜。
今回のtelnetd騒動でも、NetBSDだけは大丈夫だったからねえ。
あ、でもインストーラーとか全部英語だしパンピーには使えない
カモ。
http://www.jp.NetBSD.ORG/

85 :
>>7
test

86 :
とりあえず、最新版を使う。
ftpd、named、smtpdは良く狙われるから必要最小限のサービスにし
最新セキュリティー情報をチェックしておく。
何でも「やらない」すればある意味セキュリティーは高くなるけど
本来の機能をしなけりゃ意味ないから、どういったリスクがあるか勉強する。(いっぱいあるぞ)
設定だけでは出来ない共有ライブラリレベルの対策では「Libsafe」を入れておくのが
いいんじゃないかな。
www.avayalabs.com/project/libsafe/index.html
ある程度は勉強して仕組みを理解しとかないとだめだと思う、軽くでもいいから。
どんなセキュリティー対策も万全はないから、
まずは簡単にクラックされないような流行のクラック対策はしておこう。

87 :
為になるsage

88 :
/etc/passwd
シャドウウィング処理する。これ基本。

89 :
ipcahins -A input -p tcp -s 0/0 CodeRED -j DENY

90 :
89warata!!

91 :
ちょっとだけ外れてごめんレス
>できるだけインストール容量を小さくしたい
鯖にしか使わないなら、PlamoかSlackwareをつかって、
んで、必要なソフトウェアのみ最新版をDLしてきてそいつをインスト。
でも、Redhat系でも300Mくらいでインストールして、そっから
イランRPMを削除していけば大差はのじゃないかな。
自宅鯖で、
Plamoで、カーネルソース含むで、WWW,FTP,SSH,DNS,PostgleSQL
あー、、あとなんかあったかな。まぁ一般的な自宅鯖(Xやemacsは無い)
で200M切った。カーネルソースも削ればあと50Mくらいは減るはず。
必要ないソフトウェアはまだある……全部削れば結構最新の装備でも
100M切れるのかなぁ。
ちなみにその鯖。CodeRedに打ったIIS連中に3日間ほど集団リンチされ続けて、
現在ルーターが壊れるのが怖いのでリモートでシャットダウンかけました。
IISサーバ、まぢで勘弁。

92 :
>>91
ルータをLinuxで作ってしまえば?
もしかして、PCじゃ捌けないくらい
リンチされたの?

93 :
1

94 :
OpenBSD
必ずパッチを当てる。それもできるだけ早く。
不必要ならinetdを上げない。と言うか、不要なデーモンは上げない。
不必要なユーザーアカウント、コマンドをなどを削る。(rootへのメールのmtreeで不整合になるけど、そこは自分でやれ)
不必要なsetuidビットを削る。
ファイルのパーミッションは可能な限り落とす。
ログは他のマシンに飛ばす。(シリアルがお勧め)
カーネルセキュリティレベルを1以上に。デフォルトは1。
ファイルフラグを積極的に使う。
ソースファイルはディスクに置きっぱなしにしない。パッチ当てる時はテープから読み込む。
メンテの時はLANケーブルを抜く。
/bin /sbin /usr/bin /usr/sbin /usr/libexec などのフアイルのMD5(rmd160,sha1)を取っとく。
ipfilterで過去に攻撃されたIPからの接続を弾く様にしておく。
とか。
まだいっぱいやるべき事は有るけど
あんまりLINUXとやる事は変わんないかもね〜

95 :
#vi hello.C
main ()
{
char a='H',b='e',c='l',d='l',e='o';
printf("%c%c%c%c%c\n",a,b,c,d,e);
}
:w
:q
#cc hello.c
#./a.out

96 :
/etc/hosts.equivに
+ +

97 :
はぁ
なんかまともになりかけ・・・てるかな?
あげ

98 :
>>94
凄いね、俺もそこまでセット出来る様になりたいもんだ。。
俺はport全部閉じてクリティカルなパッチを見逃さないように
してるくらいかな、FreeBSD4.3
クライアントだとこれ位でも大丈夫、かな、、

99 :
Name: ppp010.mal.jp.rim.or.jp
Address: 202.247.157.137
                

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
SPYBLOCKER 良い!! (255)
【2014】 AVG Anti-Virus Ver 116 (187)
SIRCAM送信者を曝すスレ (136)
Firewall,Gateway向けアンチウィルス (130)
似非ハッカー撲滅キャンペーン (157)
オレオレ証明書で運用中の商用サイトを晒すスレ (191)
--log9.info------------------
docomo dtab Part30 (922)
【時間制限あり】Android用MapFanが100円【急げ】 (168)
Samsung Galaxy Note 3 総合 part8 (1001)
【Intel】Fonepad 01【inside】 (198)
【2000円】Nexus7向けアプリ 6スレ目【10/31まで】 (199)
docomo Galaxy Nexus SC-04D 74 (414)
WILLCOM DIGNO DUAL 2 WX10K by KYOCERA Part3 (457)
au Samsung Galaxy Note 3 SCL22 (192)
Nexus 4 Part16 (1001)
SonyTablet S/P_part29【Android4.0】 (157)
docomo Galaxy Tab 7.7 Plus SC-01E 5 (135)
ヤマダ電機タブレットEveryPad (117)
nttdocomo Samsung Galaxy Note 3 SC-01F (375)
【ROM焼き】Nexus 7 (2013) root2 (247)
Nexus 10 Part15 (102)
docomo GALAXY Note SC-05D Part29 (152)
--log55.com------------------
浜松ラーメン統一スレ(静岡西部)Part57
熊本のラーメン屋Part22
ラーメン二郎 目黒店 Part.6
岐阜のラーメン屋 14杯目
山岡家★6
ラーメン二郎横浜関内店26店目
一条流がんこラーメン43
ラーメン二郎京成大久保店★眉劇場13幕