2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

GNU/Linux とネットワーク/セキュリティ

1 :login:Penguin:2006/06/20(火) 00:50:49 ID:TOCwtSsF
Unix 系 OS にとってネットワーク/セキュリティ知識は必須ではないかと思い
またそういったスレッドが見当たらないので建てました。

基礎的なネットワーク知識、セキュリティ
それらを実現するサービス

kernel 再構築によるセキュリティ確保など

関連団体などの情報も必須でしょう。

私のお薦め
初心者向け Network 講座
定番ですが
Roads to Node
http://www5e.biglobe.ne.jp/~aji/
フラッシュなどを用いて視覚的に解説がなされています
また読みものとしても面白いです。

みなさんも情報提供していただけませんか?

#蛇足ー個人の尊厳こそ Freedom

2 :login:Penguin:2006/06/20(火) 01:05:36 ID:h78XFNGn


3 :login:Penguin:2006/06/20(火) 10:03:34 ID:inE/6ivp
GNUが付くとDebianスレの派生かと思う

4 :login:Penguin:2006/06/21(水) 19:27:47 ID:/uqjxurW
どこで質問しようかとスレ一覧眺めてたら、ちょうどこんなスレが出来てた。
借ります。


swatch + iptables で /var/log/secureを監視して不正(と見える)ログインを遮断するよう設定しました。
不正ログイン感知 → 該当アドレスを iptables で DROP → atで30分後に解除という一連のアクションを設定しています。

リアルタイムでの遮断動作自体はうまく行っているのですが、
なぜか不定期的に /var/log/secure に記録されている不正と見なされたアドレスが全部「再度」遮断されてしまいます。
つまり、「新規に」加わったログだけでなく、ログファイル上に残っている「すべての行」が何度もチェックされてしまい、
既に30分以上経過して遮断解除されていたアドレスが、その度に遮断されてしまうのです。
その結果「設定を間違っていて引っかかったユーザが、設定を修正した後も時々ログインできなくなる」
という困った状況になってしまっています。
(現在は手作業で /var/log/secure から該当する行を削除することで対応してます)

swatchのバージョンは 3.1.1、
起動オプションは --config-file /etc/swatch.conf --tail-file /var/log/secure --use-cpan-file-tail --daemon です。
(実際には他に諸々のディレクトリ指定のオプションもありますが割愛)
/etc/swatch.confには

watchfor    /proftpd.*\[(\d+\.\d+\.\d+\.\d+)\].*Maximum login attempts/
    exec "/sbin/iptables -A INPUT -s $1 -j DROP"
    exec "echo '/sbin/iptables -D INPUT -s $1 -j DROP' | at now+30min"

といった感じで13個程パターンが登録されています。

ぐぐってみましたが、類似した話は見つけられませんでした。
原因 & 対策が分かる方がいらっしゃったら、よろしくご教示ください。

5 :login:Penguin:2006/06/24(土) 21:06:11 ID:JDvjyGFc
う〜む
返答なしか
どこで聞こう

6 :login:Penguin:2006/06/24(土) 22:07:14 ID:m9/Mfs1J
2行目が実行されてないだけじゃないの?

7 :login:Penguin:2006/06/25(日) 03:46:25 ID:rU7/qJVV
を、反応があった。

>>6
いや、iptables -F INPUT が実行されてるのは確認済みです。

ところが忘れた頃に /var/log/secure の中にある既に処理済みのやつが
同じ時間に再びダ〜〜〜〜っと DROP されてしまうのです。
>>4 では省略したのですが、watchfor のアクションでは最後に

exec "echo `date '+%y-%m-%d %H:%M:%S'` $1 ftpd - maxmum attempts exceeded >> /var/log/swatch/`date +%y%m%d`.log"

という感じで、日付別にログを残してるので、これと /var/log/secure とを見比べると
「実際の不正ログイン」がなかったとき、まったく同じ時刻で数十件もログが記録されてたりするわけです。
syslogのローテートが行われてる週末まで、どんどんその行数が増え続けるので、
チェックすると日を追ってどんとん嫌な気分になります。

8 :login:Penguin:2006/06/25(日) 03:47:58 ID:rU7/qJVV
書き間違えた。

× いや、iptables -F INPUT が実行されてるのは確認済みです
○ いや、iptables -D INPUT が実行されてるのは確認済みです

9 :login:Penguin:2006/06/25(日) 04:52:17 ID:0p4CcI7d
再起動してない?

10 :login:Penguin:2006/06/25(日) 06:09:21 ID:rU7/qJVV
してません。
swatchを再起動させると当然 pid が変わるので、
(--script-dir で指示されたディレクトリにある)実行スクリプトも新しくなります。
古いものは消去されずに残りますので、
再起動されればその数だけスクリプトが残るはずです。

一日に数回は「謎のログ総点検」が行われますが、
そのような数のスクリプトは存在しません。
(つか、手動で再起動、あるいはlogrotate の際の自動再起動分しかありません)

11 :login:Penguin:2006/06/25(日) 06:10:22 ID:rU7/qJVV
昨日の 19時以降だけでも、19:16:55 と 19:51:19 の二度「謎のログ総点検」が行われました。
この二回だけで実に180行のログが残されています。
さきほどsyslogのローテイトが行われたところで、昨夜はログが一週間分貯まっていた訳です。
昨日は夕方に一旦ログを消去したので、こんな行数ですが、丸一日放置した後だと 1000行近くなってしまいます。
これをチェックするのは正直ウンザリな感じです。

皆さんのところでは swatch が「ログ総点検」を行うなどという現象は起きていないのでしょうか?
一体何がトリガーになってるのか、見当がつかなくて困ります。
どうすれば「トリガー」を調べられるか、そのヒントでも頂けるとありがたいです。

12 :login:Penguin:2006/06/25(日) 11:31:39 ID:T581Ntvh
--tail-file=/var/log/secure

13 :login:Penguin:2006/06/25(日) 13:16:56 ID:0p4CcI7d
本人が関係ないと思って省略してるところに問題があることも多いかも知れません

14 :login:Penguin:2006/06/25(日) 16:21:05 ID:rU7/qJVV
>>12
あ、本当だ。=が抜けてますね。
これで直るのかな。試してみます。

しかし、manを見るとオプションの指定で = あるのとないのとゴチャマゼですね。
--config-file では = 不要、tail file の指定も --tail あるいは -t の場合は不要となってる。

あれ?
synopsisだと--restart-time は = 不要になってるのに、command line options では 必要となってる。
どっちでもいいのか?w

15 :login:Penguin:2006/06/25(日) 16:21:40 ID:rU7/qJVV
>>13
省略……といっても、あと起動スクリプトの中身では
swatchへのオプションを実際にはshell変数使って渡してることとか
start/stop/restart の分岐処理とか
それくらいです。

# start では重複起動と設定ファイル類の存在チェック→起動しかやってません

16 :login:Penguin:2006/06/26(月) 05:39:54 ID:bSdJbdKs
その後 >>12 の修正を加えてみましたが変化なしで、やはり何度も「総点検」が発生しています。

/var/log/secure と見比べると、「謎の総点検」が行われるのは、
不正ログインではない通常のログインがあって、ログに行の追加があったときに一致しているようです。
ただ、もちろん「すべての正常ログイン」の場合に発生する訳ではないので、
何か別の要因が重なった場合のようです。

引き続き情報がありましたら、よろしくお願いします。

17 :login:Penguin:2006/07/01(土) 19:22:04 ID:7ibUZkIS
eth0とeth1を使ってマスカレード組んでます。
iptables -t nat -A POSTROUTING -s 192.168.1.0/8 -o eth1 -j MASQUERADE
ここまでは良いのですが、local側(eth0)のパケットをプログラムに取り込んで、
必要に応じてeth1に流したいのです・・・
Filterでは困難なので、プログラムを投入したいのですが、
raw socketでeth0から読んでeth1に書込んでみたのですが、
どうも、socket I/Fからの出力ではMASQUERADE経由しないようです。
(当たり前なの??)
何か良い方法ありますか? 宜しく御教示ください


18 :login:Penguin:2006/07/02(日) 01:33:05 ID:fHH/ns+1
promisc ?

19 :login:Penguin:2006/07/03(月) 09:00:44 ID:03m/PJWz
そう
promisc
で拾ってます。
拾うのはOKなんですけどね
書いた後にマスカレードされずにそのままでてってしまう・・・

20 :login:Penguin:2006/07/03(月) 18:49:41 ID:Dsl3dR/n
当たり前

21 :login:Penguin:2006/07/03(月) 20:25:49 ID:03m/PJWz
ありがとうございます・・・
POSTROUTINGの前段をうまく捕まえる技があればと思ったのですが・・・
ソース読みます
失礼しましたm(-_-)m


22 :login:Penguin:2006/09/26(火) 23:15:29 ID:6d8a7QLm
「GPLは危険」 複数のLinuxカーネル開発者が共同声明
http://opentechpress.jp/opensource/article.pl?sid=06/09/26/0227202
---
TorvaldsはLKMLへのメールの中で、Bottomleyの意見に同意している。
「僕の個人的な意見を言うと、 公開議論の大部分が、
 GPLに関して政治的な動機を持った人たちによって行なわれているなあということ。
 だからとても声の大きなGPL支持者たちがいる。
 だけど大量の開発を結局のところ実際にやってる人たちっていうのは
 普通は彼らほど口が達者じゃないし、実際その意見はほとんど知られてないって気がする。
 FSFの意見は実際の開発者の(しかも、かなり多数の)意見を必ずしも代弁してはいないっ
 てことを、 実際の作業をたくさんやる人たちが知らしめる手段だ。」

23 :login:Penguin:2006/09/26(火) 23:18:30 ID:APFX152O
>>22
おまえはさっさと死ね

24 :login:Penguin:2006/09/27(水) 00:06:48 ID:GDpkbWDq
「GPLは瀕死の状態」--Linuxカーネルプログラマーの多くが低評価
http://japan.cnet.com/news/ent/story/0,2000056022,20248447,00.htm

貢献度の高いLinuxカーネルプログラマーの大半が、
「GNU General Public License(GPL)」に否定的であることがわかった。
GPLは多くのオープンソースプロジェクトに適用されている。

Linuxカーネルに関する情報を交換するメーリングリストに投稿した記事によれば、
カーネルプログラマーらに-3から+3の評価を求めた結果、最も高かった評価は、
可でも不可でもないことを意味する0で、平均は-2だったという。
この調査はLinuxを率いるLinus Torvalds氏が提起したもので、
Torvalds氏はこれまでにもGPLに反対の意見を表明していた。

25 :login:Penguin:2006/10/05(木) 11:29:41 ID:hGZwLmdO

↓のようなポートスキャンなどを行ってセキュリティリスクをレポートしてくれるサービスで
linuxでも使えるものはないでしょうか?

Symantec Security Check
ttp://security.symantec.com/sscv6/default.asp?productid=symhome&langid=jp&venid=sym


26 :login:Penguin:2006/10/05(木) 16:27:26 ID:PqMrisKX
あります。イジョ

27 :login:Penguin:2006/10/05(木) 18:49:07 ID:aVDRRJ2f
>>26 知らないなら黙っていたほうがいいですよ。
 誘導 http://pc8.2ch.net/test/read.cgi/linux/1159944380/l50


28 :login:Penguin:2006/10/05(木) 19:01:43 ID:cvNabUiA
>>25
http://nessus.org/

29 :login:Penguin:2006/10/05(木) 19:14:58 ID:cvNabUiA
追加
http://usat.sourceforge.net/

30 :login:Penguin:2006/10/05(木) 21:49:42 ID:PqMrisKX
hGZwLmdO=aVDRRJ2f
26 :login:Penguin :sage :2006/10/05(木) 16:27:26 ID:PqMrisKX
あります。イジョ
>>26 知らないなら黙っていたほうがいいですよ。

31 :login:Penguin:2006/10/07(土) 14:22:18 ID:vF2ja7d/
(苦笑)

26 名前:login:Penguin[sage] 投稿日:2006/10/05(木) 16:27:26 ID:PqMrisKX
あります。イジョ


30 名前:login:Penguin[sage] 投稿日:2006/10/05(木) 21:49:42 ID:PqMrisKX
hGZwLmdO=aVDRRJ2f
26 :login:Penguin :sage :2006/10/05(木) 16:27:26 ID:PqMrisKX
あります。イジョ
>>26 知らないなら黙っていたほうがいいですよ。

32 :login:Penguin:2007/01/21(日) 17:35:17 ID:Tv8fxT9H
FACK YOUR!!

33 :login:Penguin:2007/02/13(火) 00:01:27 ID:yjsD2NqE
ここって、debianのネットワークセキュリティーの話でいいのかな。
今、sidでseeditか、TOMOYOのどっちかを導入しようと思ってるんだけど、
どっちが簡単かな。

34 :login:Penguin:2007/02/13(火) 11:16:22 ID:M3BPWPHj
デブは隔離スレで

12 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)