[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:26079] Re: CATV で DHCP クライアント
碇です。
Yuki Kamiya wrote:
> 神谷@私もJ-COMです。
>
> > 常時接続で、DebianでIPルータを作る上で、
> > セキュリティなどで注意した方がよいことなど、なにか
> > 参考になるHPなんかがありましたら、こちらも是非
> > 教えてもらえないでしょうか?
>
> IPマスカレーディングするんですよね。とりあえずJFなのでは?
> http://www.linux.or.jp/JF/JFdocs/IPCHAINS-HOWTO.html
> http://www.linux.or.jp/JF/JFdocs/IP-Masquerade.html
>
> あと [debian-users: 25011]、[debian-users:24085] から始まるスレッドが
> 参考になると思います。
>
> ipchainsを使うのでしたら、とにかくいらないポートにきたパケットは
> たたき落とすということなのではないでしょうか。
> これは必要のないサービスは止めろ、という考えにも通じますな。
>
debian-users:24085は私の書いたメールでした。
その後ですが
1) まず必要なサービスを考えます。
これが、このホストのポリシーになります。
ポリシーは十分考えないと後々後悔しますね。
一遍動き出したらとめるのは大変です。
2) その他の要らない物は、なるべくDeleteしてしまいます。
3) telnetは使わない(例えtcp wrapperで制限をかけていても)
4) iploggerとidentは入れておくべし。
^^^^を訂正します。
identは必要ないです。
なぜなら、送り先も管理者もこの情報を信用しないからです。
結局、inetd自体がいらなくなってしまいました(^^;
popperはtcpserverで起動しているからです。
5) ホストを構築後、一呼吸してrebootします。
6) netstat -lなどで何が提供されているか調べます。
7) わからないポートがあいていたらfuserで調べます。
^^^^
netstat -plnでも調べられます。
8) 5,6が終わったら念のためrebootします。
9) 外部からnmap等でスキャンします。
10) 問題があったら5からやり直し。
11) 常にログオフしておくべし。
(実行権限を持ったプログラムをコピーされる恐れがある)
12) web上の情報は、玉石混淆なので取捨選択する。
(これがなかなか難しい)
13) ソフトは最新のものを使う。
(これまた難しい)
14) 3の解決策としてはSSHが考えられるますが、常にリスクがある
事を念頭に置く(sshdにバグが出るかもしれない)
15) コンパイラはやっぱりおかない方がいいできたらperlも
これも訂正します。
結局shellをのっとられれば一緒というご意見を頂いたので、
可用性をとりコンパイラとperlは入れてしまいました。
16) これは私がクラックされたと確信したログなのですが
debianではsetuid gidのログを定期的にとっているので
/bin/ls /bin/suなどが変更されたログがあったら
即座にそのホストはThe internetから隔離する。
怪しいと思ったらとりあえず、静観ではなく隔離だと思います。
17) wtmt or lastコマンドが私の場合操作されていましたが、
lastコマンドで誰がログインしたかたまに見るといい。
18) やっぱりログは定期的に見るようにする。
19) 余裕があったらtripwireやsnortを入れる。
^^^^^^^
ここも訂正します。
tripwireは入れといたほうが無難です。
とりあえず、/etcの下だけでもチェックしておいたほうがいいと思います。
snortは、どっちでもいい気がしてきました。
ログの量が増えますし・・・・
ログの量が増えると見なくなるという悪循環が・・・
20) Xはちゃんとアクセス権などを設定できなければ立ち上げ
無い方がいい
今日は物理的にHDが飛んでしまいました。
ファシリティの面も気をつけたほうがいいですね。
とりあえず、2,3年でリプレースするぐらいの方が安心できます。
--
****************************************
碇 永志 PCA(株) ikari@xxxxxxxxx
****************************************