ALL:ALL
はい、次の人
ALL : localhost : allow
(残りは全部削除)
はい、次の人
#
#すべてコメントアウトする。
#
はい、次の人。
rmmod ipchains
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe ip_conntrack
iptables --flush
iptables -F FORWARD
iptables -F INPUT
iptables -F OUTPUT
#
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
#
あと、debianを使うことか?
telnet、他使わないものコメントアウト
当然LinuxconfやSWATもだー
はい次の人
お次の御仁どうぞ
ん?/etc/servicesいじってどうすんだ?
ポート閉じるなら、
/etc/inetd.confを編集するなり、
daemonをkillする方がいいだろ?
■起動daemonを設定する
debianの場合
/etc/inittab 中の記述 id:3:initdefault にして
/etc/rc3d 以下をいぢる
念のためにこうして↓deamonを止める
# /etc/rc(現在のrunlevle).d/hoge stop
/etc/rc.d/rc3.d/S**sendmail をK**にmvしよう
それか、setupを起動してサービスでいらないサービスのXを外して再起動
Red Hat なら
http://www.redhat.com/apps/support/updates.html
Debian なら言うまでもない。
チョットワラタ
セキュリティー:まずこれをやれ/OpenBSD編
のスレを立ててください
chkconfig --level 12345 sendmail off
ってやるだろ
shutdown -h now
telnet,rlogin,ftp捨てて
ssh,sftp使う
>>16
ワラタ。
でも、激しく同意。
>>21
何で。キミ、sendmailが使えないからそういうこと言ってるのか。
OpenBSDセキュリティはココだ。
以前から勃ってたけどね。
OpenBSDセキュリティはココだ。
以前から勃ってたけどね。
http://ton.2ch.net/test/read.cgi?bbs=sec&key=988971132
んー
何をやるかがあんまり明記されてないね
つーか、
「セキュリティーの硬いインストール方/Linux編」
に変更した方が良いね>>1
Redhat系なら
rpm -e --nodeps telnet
sshならパスワードが第三者の手に渡っても、暗号化された状態だから
bit数によっては100万年間はクラックされないで済むこともある。
sshでも100%安全と言うわけじゃないけど、平文垂れ流すよりかマシだろ。
http://www.linux.or.jp/security/firststep.html
そうそう、だから
-e でtelnet を消してるの
つーか、in.telnetd
と、telnetクライアントが消えます
sshは当然ですね。
Apacheの鯖がやられたのって、sshがらみじゃなかったけ
>解明して、それから暗号を解きにかからねばならない。
http://www.hotwired.co.jp/news/news/Technology/story/2258.html
-telnetは使わない。
-Linuxを捨ててOpenBSDをインストールする。
-ファイルシステムごとcrypt()する。
↑リモートセキュリティのみならず、警察がある日突然押しかけてきて
HDDを物理的に押収されたときに強い。
-自分の実名、クレジットカード番号をネット上で絶対に明かさない。
微妙にすれ違いなので、どなたか添削お願いします。
(例:Y社のルータとか・・・・まぁ。。シリアルポートに行くとしても)
・Linuxで無いと動かないソフト多々>>BSD多々。。。
(それで良いなら、最初からBSD系でしょう)
・遅いわな。。。
=>やっすぅ〜〜い・壊れやっすぅ〜〜DISKを一杯揃えて置く
(暗号化するよりも壊れやすいDiskの方が安心)
まぁ。。やられて困る?ようなデータを持つPCなら、ネットに繋がない
のが正解ね。
FreeBSDと何が違うの?
つーか、これからはOS関係なしに使えないといかんと思いつつ…
まだ、Linuxはじめたばかりだったりする
OpenBSDのCDの付いた雑誌ってあるの?(この時点で厨房だな)
telnetはクライアントがあればOKでしょう。
Linuxバイナリが動くからOKでしょう
ディスクを持ち歩くの?趣旨が違うような気がするのですが。
いまさらそんな古い記事持ち出されてもねえ…
http://mentai.2ch.net/test/read.cgi?bbs=network&key=981732339
このスレのリンクでも辿って勉強してきな。
つーか、とりあえず、rm -rf *
ってことでやりなおし
はい次の人
確かにそれをやりゃセキュリティも気にしなくてもよいな(稾
(よいこのみんなはやっちゃだめだよ!)
>>40
BSD系はftpから取ってこれるYO!
BSD初めてならFreeBSDから始めるのがいいYO!
http://www.jp.FreeBSD.org/
カーネル消してどーする
# chkconfig --level 12345 nfs off
# chkconfig --level 12345 portmap off
# chkconfig --level 12345 inetd off
# chkconfig --level 12345 sshd off
# chkconfig --level 12345 crond off
# chkconfig --level 12345 atd off
# chkconfig --level 12345 nfsd off
# chkconfig --level 12345 lpd off
# chkconfig --level 12345 proftpd off
# chkconfig --level 12345 kudzu off
# chkconfig --level 12345 xfs off
# chkconfig --level 12345 freewnn off
# chkconfig --level 12345 canna off
# chkconfig --level 12345 kinput off
# reboot
最少容量でLinux使う場合はどー言ったインスコすりゃいいの?
Vineでカスタムインスコでチェック項目全部はずして入れても
300MBオーバーです
結局は入れて後から消すのか?
Xと開発環境いれなければだいぶ減る
ありがとん
んー
でも、全部入れなくて300Mなんすけど…
カスタムでチェック入れなくてさらにチェックをはずすには
どーすりゃいいんでしょかね〜
でびあんに乗換えかな。
結局、無限ループやんかーーー
> いまどきinetd?
ってどういう意味でしょうか?
今は他に何かあるんですか?
xinetdとかtcp_serverって話じゃないの?
でも普通inetdだよね、いまどきでも。
xinetdなんてクソLinuxユーザしかつかわんし、
tcp_serverもクソqmailのユーザしか使わん。
あ、クソLinuxスレだったのか。
じゃあ、
ipcahins -A input -p tcp -s 0/0 1:1024 -j DENY
でもやっとけ
inetdは一定時間に大量のアクセスがあったら、DoSとみなして停止したり、
どれくらいのアクセスがあればDoSとみなすかどうかの設定をサービス別に
設定できないっていうのがイタイ。
だから、Linuxユーザー以外でも、大量のアクセスがあるようなホストなら
inetd捨てる場合もありえると思う。それにinetd単体じゃアクセス制限でき
ないのも、ちょっと時代遅れの感がある。
とはいえ、いまどきでもinetdが基本ってのは確か。必要性に応じてxinetd
なりtcp_serverなり選べばいいんじゃ?
これで安心!
またループかい!
>ipcahins -A input -p tcp -s 0/0 1:1024 -j DENY
おい、おまえアホかゴルァ
1024までふさぐなボケ
特権ポートは1-1023だ
ipcahins -A input -p tcp -s 0/0 1:1023 -j DENY
どうでもいいじゃん
ttp://members.tripod.co.jp/casinoA1/
今回のtelnetd騒動でも、NetBSDだけは大丈夫だったからねえ。
あ、でもインストーラーとか全部英語だしパンピーには使えない
カモ。
http://www.jp.NetBSD.ORG/
test
ftpd、named、smtpdは良く狙われるから必要最小限のサービスにし
最新セキュリティー情報をチェックしておく。
何でも「やらない」すればある意味セキュリティーは高くなるけど
本来の機能をしなけりゃ意味ないから、どういったリスクがあるか勉強する。(いっぱいあるぞ)
設定だけでは出来ない共有ライブラリレベルの対策では「Libsafe」を入れておくのが
いいんじゃないかな。
www.avayalabs.com/project/libsafe/index.html
ある程度は勉強して仕組みを理解しとかないとだめだと思う、軽くでもいいから。
どんなセキュリティー対策も万全はないから、
まずは簡単にクラックされないような流行のクラック対策はしておこう。
シャドウウィング処理する。これ基本。
>できるだけインストール容量を小さくしたい
鯖にしか使わないなら、PlamoかSlackwareをつかって、
んで、必要なソフトウェアのみ最新版をDLしてきてそいつをインスト。
でも、Redhat系でも300Mくらいでインストールして、そっから
イランRPMを削除していけば大差はのじゃないかな。
自宅鯖で、
Plamoで、カーネルソース含むで、WWW,FTP,SSH,DNS,PostgleSQL
あー、、あとなんかあったかな。まぁ一般的な自宅鯖(Xやemacsは無い)
で200M切った。カーネルソースも削ればあと50Mくらいは減るはず。
必要ないソフトウェアはまだある……全部削れば結構最新の装備でも
100M切れるのかなぁ。
ちなみにその鯖。CodeRedに打ったIIS連中に3日間ほど集団リンチされ続けて、
現在ルーターが壊れるのが怖いのでリモートでシャットダウンかけました。
IISサーバ、まぢで勘弁。
ルータをLinuxで作ってしまえば?
もしかして、PCじゃ捌けないくらい
リンチされたの?
必ずパッチを当てる。それもできるだけ早く。
不必要ならinetdを上げない。と言うか、不要なデーモンは上げない。
不必要なユーザーアカウント、コマンドをなどを削る。(rootへのメールのmtreeで不整合になるけど、そこは自分でやれ)
不必要なsetuidビットを削る。
ファイルのパーミッションは可能な限り落とす。
ログは他のマシンに飛ばす。(シリアルがお勧め)
カーネルセキュリティレベルを1以上に。デフォルトは1。
ファイルフラグを積極的に使う。
ソースファイルはディスクに置きっぱなしにしない。パッチ当てる時はテープから読み込む。
メンテの時はLANケーブルを抜く。
/bin /sbin /usr/bin /usr/sbin /usr/libexec などのフアイルのMD5(rmd160,sha1)を取っとく。
ipfilterで過去に攻撃されたIPからの接続を弾く様にしておく。
とか。
まだいっぱいやるべき事は有るけど
あんまりLINUXとやる事は変わんないかもね〜
main ()
{
char a='H',b='e',c='l',d='l',e='o';
printf("%c%c%c%c%c\n",a,b,c,d,e);
}
:w
:q
#cc hello.c
#./a.out
+ +
なんかまともになりかけ・・・てるかな?
あげ
凄いね、俺もそこまでセット出来る様になりたいもんだ。。
俺はport全部閉じてクリティカルなパッチを見逃さないように
してるくらいかな、FreeBSD4.3
クライアントだとこれ位でも大丈夫、かな、、
Address: 202.247.157.137
http://ton.2ch.net/test/read.cgi?bbs=sec&key=991578544&st=5&to=10&nofirst=true
DOS>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>WinNT/2k(藁
>>7
削除依頼でも出しとく?
セキュアという点ではSolarisやHP-UXなんか穴だらけだけどね。
すんごく気になるんですが・・・
すんごく放置されてるんですが・・・
OS/400がトップとはまたマニアックなもの持ってきたな。
えい! GO TCPADM
ついでにPro-ftpに入れ替え
クライアントならこれが簡単。やっとけよ。
firewall_enable="YES"
firewall_type="CLIENT"
BSD sage
昨日ばっちりクラックされてたYO!
/var/ftp にうぷされていたクラックツールとっておけばよかったかな。
rpm -e を実行したんですが依存性の欠如とかって出て消せませんなぜでしょう
ってそーじゃない
エラーはなんて出てるん代?
何の依存だい?
とりあえず、詳しいこと書かないとわからんぞ
まぁそんなものを考えずにガシガシ消すことも可能だけどね
rpm -e --nodeps 引数をつかう
どうやってやるの?
Computerworld Japanの記事によると、今年上半期のLinuxベースWebサイトの
改竄被害数がすでに昨年の総件数を上回ったという調査結果があるそうです
(Windowsベースサイトは20%減、全てのOSの合計は27%増)。
調査会社によれば、Linux利用の急増とセキュリティ修正の適用の遅れによって
既知のセキュリティホールをついた攻撃が成功するケースが目立つ模様です。
-----
「Windowsベースサイトは20%減」
「全てのOSの合計は27%増」
Linuxユーザはセキュリティ意識が低いのぉ(ワラワラ
あれまずいよね。
「Linuxは無料です」
「世界中のサーバーがLinuxを使っています」
とかLinux自慢をつらつらと書きまくってある上、ご丁寧にlinuxを添付してあんの。
んなことしたら、思わずインストールしちゃうじゃん。
「第2章 viの使い方を覚えよう」とか書いてあんの。もう見てらんない。
せめてクライアントとして一年間は遊ばせろと。
Linux初心者にいきなりオープンなサーバーを作らせんなと。
テスト
Linux をクライアントで使用しています。
つまり、オープンなサーバとして使用するには、LAN等でファイルサーバなどとして
使いこなせてからと言うことですか?
>>141の言っていることは論理的ではないけど、
まあいろいろやって慣れてからの方がいいっちゃいい。
いきなり全世界に大公開しておいて「さて、viのコマンドは…」とやられては確かに困る。
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
はい、次
とりあえずxinetdで自分のクライアントのIP以外は弾いてるんですが
これでもヤヴァイですか?
家から出るときは恐くて電源落してますけど・・・
あ、自分はヤフーベイベーなのでグローバル2つ(鯖・クライアント用)あります。
稼動時間帯のログも見てみる。
自分のクライアント以外からの不審なアクセスをちゃんと弾いていればよし、
弾いてなければ・・・・。
外部からのセキュリティテストサイトなんかもあるから
そういった物を利用してチェックしてみるのも一興かと。
これ何ですか?
( ^^ )< ぬるぽ(^^)
ピュ.ー ( ^^ ) <これからも僕を応援して下さいね(^^)。
=〔~∪ ̄ ̄〕
= ◎――◎ 山崎渉
ソース嫁
R
__∧_∧_
|( ^^ )| <寝るぽ(^^)
|\⌒⌒⌒\
\ |⌒⌒⌒~| 山崎渉
~ ̄ ̄ ̄ ̄
ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。
=〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
= ◎――――――◎ 山崎渉&ぼるじょあ
│ ^ ^ │<これからも僕を応援して下さいね(^^)。
⊂| |つ
(_)(_) 山崎パン
EMERGENCYと書かれた魅惑の赤いボタン
を設置。
Linux板(http://pc5.2ch.net/linux/)へ
皆様、セキュリティホールは埋めとけよ
http://pc5.2ch.net/test/read.cgi/linux/1012625735/
もっともセキュリティが弱いOSはLinux
http://pc5.2ch.net/test/read.cgi/linux/1038385575/
ま、こっちと同じぐらいちゃんとLinuxの話題をやってるなら板違いじゃないな
そうじゃないなら、Linux板にでも行け、その方が話が早い
H+BEDV Antivir Personal Edition
デュアルブートのhda2パーティションにインスコしてある
Debian GNU/Linux (Woody3) で起動したときはネットに
接続していません。必要なファイルはFATパーティションを
ROMっています。上記の2種類のフリーソフトを使っていま
す。VDFの更新は手動です。最低限のセキュリティ対策です。
LinuxをNetにつないで使ってる人は、攻撃されまくり?
スパイソフトに勝手に通信され放題?
不安じゃないんですか?
"Linux Firewall free"でググると結構出てきますが何か
あっ、「ZoneAlarmみたいな」かどうかまではわからんけど
「ZoneAlarmみたいな」というのは、多分アプリケーション毎の外部へのアクセスを
プロトコルやポート、接続先によって許可・不許可にできるものじゃないかと。
例えば、
mozillaはすべて不許可
firefoxはリモートポートがTCPの80だけ許可
の様に。
http://eazyfox.homelinux.org/Firewall/Firewall3.htm
の表のPersonal Firewallの欄に書いてあることが当てはまると思います。
SELinux使えば、アプリレベルまで制限できる。
Linuxの場合、サーバ用途が多いので、>>187が書いているようにiptablesで--sport指定するか、--uid-ownerや--gid-ownerでプロセスのオーナーで制限かけるだけで事は足りると思う。
×>>187が書いて
○>>189が書いて
Thank you!
Linux使おうという気になってきつつあります。
アンチウイルスソフトは AntiVir Workstation Linux を試してみようかと思ってるが
アンチスパイウェアの方はWindows版ばかりで Linux で使えるものが見つからない…。
あとはファイアウォールが必要かな。
とおそレスしてみる。
tp://www.avast.com/eng/avast-for-linux-workstation.html
スパイウェアやウィルスだらけのWindowsが(´・ω・`)ウラヤマシス
サーバ系アプリなら穴たくさんでウハウハ。
Windows を越える豊富な話題。
SELinux は俺たちの敵だ。
ここで検査するとsecureにならないんだけど
他のサイトではstealthになる
みんなどうよ?
ウイルスソフト自体がほとんどないし、
ウイルスソフト入れてる奴がいないから、ウイルスに感染しても気づかないやつ多いんじゃねーの
[姉妹スレ - セキュリティ板]
Linux セキュリティソフト 総合スレ
http://pc10.2ch.net/test/read.cgi/sec/1169473828/
入れ方分かんなくて、(apt-getでは最新版は自動では入らなかったです。)
諦めてavastにした。
問題なくインストールできて良かったです。
どのみち自分は不定期的にフォルダまとめてスキャンしか
しないのでclamavでもavastでもどっちでもOKでした。
,r"´¨`゙} ..|:| {ニニ コ 7 /Tコ .7./コT '-' l.」:::|:|:
{ { `) } ☆..|:| { o ノ二) /./ (`.コ .~{ o.ノニ). :O:::|:|:
ヾ_`ーy" |:| |:| . ,r"´`゙、...|:|/:|:|::::::|:|::::::|:|::::::|:|:
}ノ |:| |:| .{ (´ } }:|:|::::::|:|::::::|:|::::::|:|::::::|:|:
☆ {.( ヾ_,r",,ノ.:::::::::::::::::::::::::::::::::::::::::::::
. / L_ /{.(~::::::::::::::::ぉ::::::::::::::::::::::::::
../\_ / z`__7 /::::::::)}::::::::::::::::::終わった:::::::::
⌒⌒^/`ー-.{@ /::::<'"'"'ーz:::::::::::::::なにもかも::::::
!\/, -、.F|' /:::::::,;''⌒ヾzニ^_, - 、;_;;__;;;:::::,__,:::::::::::
`ゞ{_且且、 ./:::::::y‐'‐""}}ヾ 〉::||ァ::::::::::::::《ェfュヒ_>:::::::
/::::::::::::::` ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄´::::::::::::::::::::::
http://pc11.2ch.net/test/read.cgi/software/1181387720/
Wubi便利よWubi
http://pc11.2ch.net/test/read.cgi/sec/1116257694/
http://pc11.2ch.net/test/read.cgi/sec/1169473828/
板が違うと思います。こちらでやってください
http://pc11.2ch.net/linux/
セキュ板はWindows専用ではないですよ?
それだったらWindowsのセキュリティもWindows板って事になりますから
緊急度は最悪の「クリティカル」、最新版へのアップデートを
http://itpro.nikkeibp.co.jp/article/NEWS/20090225/325493/
テスト
TLS/SSL の脆弱性により、なりすましが行われる
http://internet.watch.impress.co.jp/docs/news/20100210_348215.html?ref=rss
マイクロソフトでは、この脆弱性はTLS/SSLプロトコル自体に起因する問題のため、マイクロソフト製品以外にも広く影響があると説明。
∧_∧
( ・∀・) 人 ガッ
( つ―-‐-‐-‐-‐-‐○ < >__Λ∩
人 Y ノ. V`Д´)/
し(_) / ←>>162