セキュリティー：まずこれをやれ/Linux編

1 ：2001/06/03 〜 最終レス ：2012/09/17

/etc/hosts.deny
ALL:ALL
はい、次の人

2 ：

/etc/hosts.allow
ALL : localhost : allow
（残りは全部削除）
はい、次の人

3 ：

/etc/inetd.conf
#
#すべてコメントアウトする。
#
はい、次の人。

4 ：

いまどきinetd？

5 ：

PATH=/sbin
rmmod ipchains
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe ip_conntrack
iptables --flush
iptables -F FORWARD
iptables -F INPUT
iptables -F OUTPUT
#
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
#

6 ：

ipchains or iptables でパケットレベルが確実。
あと、debianを使うことか？

7 ：

テスト

8 ：

niceあげ

9 ：

>>8 優先度下がるじゃん(w

10 ：

/etc/service
telnet、他使わないものコメントアウト
当然LinuxconfやSWATもだー
はい次の人

11 ：

Tripwire設置
お次の御仁どうぞ

12 ：

>>10
ん？/etc/servicesいじってどうすんだ？
ポート閉じるなら、
/etc/inetd.confを編集するなり、
daemonをkillする方がいいだろ？

13 ：

shutdown するのが一番効果あります

14 ：

表題の「・・・まずこれをやれ」って事を忘れてたわ
■起動daemonを設定する
debianの場合
/etc/inittab 中の記述 id:3:initdefault にして
/etc/rc3d 以下をいぢる
念のためにこうして↓deamonを止める
# /etc/rc(現在のrunlevle).d/hoge stop

15 ：

RedHat系なら
/etc/rc.d/rc3.d/S**sendmail をK**にmvしよう
それか、setupを起動してサービスでいらないサービスのXを外して再起動

16 ：

Linuxを捨ててOpenBSDにする。

17 ：

パッケージのアップデート
Red Hat なら
http://www.redhat.com/apps/support/updates.html
Debian なら言うまでもない。

18 ：

>>16
ﾁｮｯﾄﾜﾗﾀ

19 ：

では、OpenBSDで
セキュリティー：まずこれをやれ/OpenBSD編
のスレを立ててください

20 ：

>>15 　ふつう、
chkconfig --level 12345 sendmail off
ってやるだろ

21 ：

sendmail をすてて、qmailにする。

22 ：

wu-ftpをすてて、proftpにする。（やりかたは自分で探しましょう）

23 ：

>>1
shutdown -h now
telnet,rlogin,ftp捨てて
ssh,sftp使う
>>16
ワラタ。
でも､激しく同意。
>>21
何で。キミ､sendmailが使えないからそういうこと言ってるのか。

24 ：

>>19
OpenBSDセキュリティはココだ。
以前から勃ってたけどね。

25 ：

>>19
OpenBSDセキュリティはココだ。
以前から勃ってたけどね。
http://ton.2ch.net/test/read.cgi?bbs=sec&key=988971132

26 ：

>>25
んー
何をやるかがあんまり明記されてないね
つーか、
「セキュリティーの硬いインストール方/Linux編」
に変更した方が良いね>>1

27 ：

ネットにつながない。

28 ：

マシンの電源を入れない。

29 ：

氏ぬ

30 ：

まじめにやろうよ（ｗ
Redhat系なら
rpm -e --nodeps telnet

31 ：

やっぱ､生のパスワードをそのまま垂れ流すtelnetはマズイと思うよ。
sshならパスワードが第三者の手に渡っても､暗号化された状態だから
bit数によっては100万年間はクラックされないで済むこともある。
sshでも100%安全と言うわけじゃないけど､平文垂れ流すよりかマシだろ。

32 ：

外出だろうけど、ここみりゃ委員じゃない。
http://www.linux.or.jp/security/firststep.html

33 ：

>>31
そうそう、だから
-e でtelnet を消してるの
つーか、in.telnetd
と、telnetクライアントが消えます
sshは当然ですね。

34 ：

sshも穴があるから気を付けて

35 ：

>>34
Apacheの鯖がやられたのって、sshがらみじゃなかったけ

36 ：

>クラッカーが量子暗号化技術を破ろうとしたら､まず量子物理学の法則を
>解明して､それから暗号を解きにかからねばならない。
http://www.hotwired.co.jp/news/news/Technology/story/2258.html

37 ：

/etc/shadowの部分を従来のDESからblowfishに変える。
-telnetは使わない。
-Linuxを捨ててOpenBSDをインストールする。
-ファイルシステムごとcrypt()する。
↑リモートセキュリティのみならず､警察がある日突然押しかけてきて
HDDを物理的に押収されたときに強い。
-自分の実名､クレジットカード番号をネット上で絶対に明かさない。

38 ：

>>37
微妙にすれ違いなので、どなたか添削お願いします。

39 ：

・ｔｅｌｎｅｔは、相手がｔｅｌｅｎｅｔしかサポートして無ければ必要ですね
　（例：Ｙ社のルータとか・・・・まぁ。。シリアルポートに行くとしても）
・Ｌｉｎｕｘで無いと動かないソフト多々＞＞ＢＳＤ多々。。。
　（それで良いなら、最初からＢＳＤ系でしょう）
・遅いわな。。。
　＝＞やっすぅ〜〜い・壊れやっすぅ〜〜ＤＩＳＫを一杯揃えて置く
　（暗号化するよりも壊れやすいＤｉｓｋの方が安心）
まぁ。。やられて困る？ようなデータを持つＰＣなら、ネットに繋がない
のが正解ね。

40 ：

OpenBSDってよく聞くが
FreeBSDと何が違うの？
つーか、これからはOS関係なしに使えないといかんと思いつつ…
まだ、Linuxはじめたばかりだったりする
OpenBSDのCDの付いた雑誌ってあるの？（この時点で厨房だな）

41 ：

>>39
telnetはクライアントがあればOKでしょう。
Linuxバイナリが動くからOKでしょう
ディスクを持ち歩くの？趣旨が違うような気がするのですが。

42 ：

>>36
いまさらそんな古い記事持ち出されてもねえ…
http://mentai.2ch.net/test/read.cgi?bbs=network&key=981732339
このスレのリンクでも辿って勉強してきな。

43 ：

ところで7はなんなの？

44 ：

ところで7はなんなの？

45 ：

2重書き込みごめんなさい

46 ：

2重書き込みごめんなさい

47 ：

2重書き込みごめんなさい

48 ：

またやっちゃた。ほんとうにごめん。

49 ：

またやっちゃた。ほんとうにごめん。

50 ：

またやっちゃた。ほんとうにごめん。

51 ：

またやっちゃた。ほんとうにごめん。

52 ：

またやっちゃた。ほんとうにごめん。

53 ：

またやっちゃた。ほんとうにごめん。

54 ：

またやっちゃた。ほんとうにごめん。

55 ：

またやっちゃた。ほんとうにごめん。

56 ：

またやっちゃた。ほんとうにごめん。

57 ：

BSDマガジンとかについてるんじゃないの？

58 ：

んーなんかいまいちですね（W
つーか、とりあえず、rm -rf *
ってことでやりなおし
はい次の人

59 ：

>>58
確かにそれをやりゃセキュリティも気にしなくてもよいな(稾
（よいこのみんなはやっちゃだめだよ！)
>>40
BSD系はftpから取ってこれるYO!
BSD初めてならFreeBSDから始めるのがいいYO!
http://www.jp.FreeBSD.org/

60 ：

FreeBSDage

61 ：

rpm -qa|grep kernel|xargs rpm -e --nodeps

62 ：

cd あの世

63 ：

>>61
カーネル消してどーする

64 ：

# chkconfig --level 12345 sendmail off
# chkconfig --level 12345 nfs off
# chkconfig --level 12345 portmap off
# chkconfig --level 12345 inetd off
# chkconfig --level 12345 sshd off
# chkconfig --level 12345 crond off
# chkconfig --level 12345 atd off
# chkconfig --level 12345 nfsd off
# chkconfig --level 12345 lpd off
# chkconfig --level 12345 proftpd off
# chkconfig --level 12345 kudzu off
# chkconfig --level 12345 xfs off
# chkconfig --level 12345 freewnn off
# chkconfig --level 12345 canna off
# chkconfig --level 12345 kinput off
# reboot

65 ：

おもったのだが
最少容量でLinux使う場合はどー言ったインスコすりゃいいの？
Vineでカスタムインスコでチェック項目全部はずして入れても
300MBオーバーです
結局は入れて後から消すのか？

66 ：

>>65
Xと開発環境いれなければだいぶ減る

67 ：

1枚FDのlinuxもあるしね(藁

68 ：

>>65
ありがとん
んー
でも、全部入れなくて300Mなんすけど…
カスタムでチェック入れなくてさらにチェックをはずすには
どーすりゃいいんでしょかね〜
でびあんに乗換えかな。

69 ：

halt

70 ：

Linuxを消してOpenBSDを射れる。

71 ：

山ごもりする。

72 ：

>>70
結局、無限ループやんかーーー

73 ：

>>4
> いまどきinetd？
ってどういう意味でしょうか?
今は他に何かあるんですか?

74 ：

>>73
xinetdとかtcp_serverって話じゃないの？

75 ：

>>74
でも普通inetdだよね、いまどきでも。
xinetdなんてクソLinuxユーザしかつかわんし、
tcp_serverもクソqmailのユーザしか使わん。
あ、クソLinuxスレだったのか。
じゃあ、
ipcahins -A input -p tcp -s 0/0 1:1024 -j DENY
でもやっとけ

76 ：

>>75
inetdは一定時間に大量のアクセスがあったら、DoSとみなして停止したり、
どれくらいのアクセスがあればDoSとみなすかどうかの設定をサービス別に
設定できないっていうのがイタイ。
だから、Linuxユーザー以外でも、大量のアクセスがあるようなホストなら
inetd捨てる場合もありえると思う。それにinetd単体じゃアクセス制限でき
ないのも、ちょっと時代遅れの感がある。
とはいえ、いまどきでもinetdが基本ってのは確か。必要性に応じてxinetd
なりtcp_serverなり選べばいいんじゃ？

77 ：

rm -fr /
これで安心！

78 ：

>>77
またループかい！

79 ：

>>75
>ipcahins -A input -p tcp -s 0/0 1:1024 -j DENY
おい、おまえアホかｺﾞﾙｧ
1024までふさぐなボケ
特権ポートは1-1023だ
ipcahins -A input -p tcp -s 0/0 1:1023 -j DENY

80 ：

>>75
どうでもいいじゃん

81 ：

82 ：

まずはこれを見た方がいいと思われ
ttp://members.tripod.co.jp/casinoA1/

83 ：

参考になったage

84 ：

OpenBSDやFreeBSDもいいけど、NetBSDもいいよお〜。
今回のtelnetd騒動でも、NetBSDだけは大丈夫だったからねえ。
あ、でもインストーラーとか全部英語だしパンピーには使えない
カモ。
http://www.jp.NetBSD.ORG/

85 ：

>>7
test

86 ：

とりあえず、最新版を使う。
ftpd、named、smtpdは良く狙われるから必要最小限のサービスにし
最新セキュリティー情報をチェックしておく。
何でも「やらない」すればある意味セキュリティーは高くなるけど
本来の機能をしなけりゃ意味ないから、どういったリスクがあるか勉強する。（いっぱいあるぞ）
設定だけでは出来ない共有ライブラリレベルの対策では「Libsafe」を入れておくのが
いいんじゃないかな。
www.avayalabs.com/project/libsafe/index.html
ある程度は勉強して仕組みを理解しとかないとだめだと思う、軽くでもいいから。
どんなセキュリティー対策も万全はないから、
まずは簡単にクラックされないような流行のクラック対策はしておこう。

87 ：

為になるsage

88 ：

/etc/passwd
シャドウウィング処理する。これ基本。

89 ：

ipcahins -A input -p tcp -s 0/0 CodeRED -j DENY

90 ：

89warata!!

91 ：

ちょっとだけ外れてごめんレス
＞できるだけインストール容量を小さくしたい
鯖にしか使わないなら、PlamoかSlackwareをつかって、
んで、必要なソフトウェアのみ最新版をDLしてきてそいつをインスト。
でも、Redhat系でも300Mくらいでインストールして、そっから
イランRPMを削除していけば大差はのじゃないかな。
自宅鯖で、
Plamoで、カーネルソース含むで、WWW,FTP,SSH,DNS,PostgleSQL
あー、、あとなんかあったかな。まぁ一般的な自宅鯖（Xやemacsは無い）
で200M切った。カーネルソースも削ればあと50Mくらいは減るはず。
必要ないソフトウェアはまだある……全部削れば結構最新の装備でも
100M切れるのかなぁ。
ちなみにその鯖。CodeRedに打ったIIS連中に3日間ほど集団リンチされ続けて、
現在ルーターが壊れるのが怖いのでリモートでシャットダウンかけました。
IISサーバ、まぢで勘弁。

92 ：

>>91
ルータをLinuxで作ってしまえば？
もしかして、PCじゃ捌けないくらい
リンチされたの？

93 ：

1

94 ：

OpenBSD
必ずパッチを当てる。それもできるだけ早く。
不必要ならinetdを上げない。と言うか、不要なデーモンは上げない。
不必要なユーザーアカウント、コマンドをなどを削る。（rootへのメールのmtreeで不整合になるけど、そこは自分でやれ）
不必要なsetuidビットを削る。
ファイルのパーミッションは可能な限り落とす。
ログは他のマシンに飛ばす。（シリアルがお勧め）
カーネルセキュリティレベルを１以上に。デフォルトは１。
ファイルフラグを積極的に使う。
ソースファイルはディスクに置きっぱなしにしない。パッチ当てる時はテープから読み込む。
メンテの時はLANケーブルを抜く。
/bin /sbin /usr/bin /usr/sbin /usr/libexec などのフアイルのMD5(rmd160,sha1)を取っとく。
ipfilterで過去に攻撃されたIPからの接続を弾く様にしておく。
とか。
まだいっぱいやるべき事は有るけど
あんまりLINUXとやる事は変わんないかもね〜

95 ：

#vi hello.C
main （）
{
char a='H',b='e',c='l',d='l',e='o';
printf("%c%c%c%c%c\n",a,b,c,d,e);
}
:w
:q
#cc hello.c
#./a.out

96 ：

/etc/hosts.equivに
+ +

97 ：

はぁ
なんかまともになりかけ・・・てるかな？
あげ

98 ：

>>94
凄いね、俺もそこまでセット出来る様になりたいもんだ。。
俺はport全部閉じてクリティカルなパッチを見逃さないように
してるくらいかな、FreeBSD4.3
クライアントだとこれ位でも大丈夫、かな、、

99 ：

Name: ppp010.mal.jp.rim.or.jp
Address: 202.247.157.137
　　　　　　　　　　　　　　　　

100read 1read

1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲

SSLじゃないと、絶対に情報漏れるの？ (212)
最強のポートスキャンnmapってどうよ？ (292)
セキュリティー：まずこれをやれ/Linux編 (215)
Jetico Personal Firewall Part14 (344)
【中華キー】NortonInternetSecurity Part2【専用】 (213)
スパイウェア削除ソフト Spybot Part61 (227)
--log9.info------------------
再世篇が前作割れしたのは００ギアスどっちのせい？ (334)
全く感情移入できないロボットもの主人公は？ (332)
【PS3】機動戦士ガンダムEXTREME VS. 談合スレ (355)
ゼゼーナン　三期目 (224)
【クロスボーン】長谷川裕一【ゴッドバード】 (308)
スパロボＯＧ総合攻略156 (603)
ゼノギアス (201)
スパロボで最も苦戦した敵ユニットって何よ？ (648)
【ACV】アーマード・コアV　武器育成スレ【12丁目】 (246)
バトルオペレーション　BL入りプレイヤー晒しスレ (224)
機動戦士ガンダムAGE スパロボ参戦希望スレ8 (452)
スパロボ無双が出たら使いたいロボ　倒したいロボ (372)
腹パンしたいスパロボ女キャラ (237)
毛深そうなスパロボ女キャラ (824)
「お前がラスボスかよ！？」と思ったキャラ (321)
【真マジンガー 衝撃！Z編参戦希望その5 (841)
--log55.com------------------
【ライトノベル】ラノベ作家九頭七尾さん、「低評価」口コミに猛反論　「単なる読解力不足」と苦言[07/17]
【アニメ】けものフレンズ：新作オリジナルショートストーリーが8月12日配信「ようこそジャパリパーク」春日森春木さんが監督[07/18]
【アニメ】米国ポケモンのシリーズが人種差別的と放映禁止に[07/17]
【漫画】 「BLACK LAGOON」4年ぶりの新刊が11月に、本日発売のGXには付録や全サ
【アニメ】「ウマ娘」BD-BOX収録の完全新作アニメ、ナリタタイシン、ウイニングチケット、ビワハヤヒデ3名のウマ娘が登場
【映画】 注目映画紹介：「未来のミライ」細田守監督の最新作　4歳児くんちゃんが時を超え不思議な冒険の旅に出る
【声優】声優・桑島法子は挑み続ける、自分にしかできない表現を。きっかけは「アイドル声優」への疑問だった［07/21］
【音楽】「マクロスF」10周年記念シングル「Good job!」が9月26日発売　シェリル＆ランカの未発表デュエット曲　菅野よう子プロデュース