[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:26079] Re: CATV で DHCP クライアント



碇です。

Yuki Kamiya wrote:

> 神谷@私もJ-COMです。
>
> > 常時接続で、DebianでIPルータを作る上で、
> > セキュリティなどで注意した方がよいことなど、なにか
> > 参考になるHPなんかがありましたら、こちらも是非
> > 教えてもらえないでしょうか?
>
> IPマスカレーディングするんですよね。とりあえずJFなのでは?
> http://www.linux.or.jp/JF/JFdocs/IPCHAINS-HOWTO.html
> http://www.linux.or.jp/JF/JFdocs/IP-Masquerade.html
>
> あと [debian-users: 25011]、[debian-users:24085] から始まるスレッドが
> 参考になると思います。
>
> ipchainsを使うのでしたら、とにかくいらないポートにきたパケットは
> たたき落とすということなのではないでしょうか。
> これは必要のないサービスは止めろ、という考えにも通じますな。
>

debian-users:24085は私の書いたメールでした。
その後ですが

1) まず必要なサービスを考えます。

これが、このホストのポリシーになります。
ポリシーは十分考えないと後々後悔しますね。
一遍動き出したらとめるのは大変です。

2) その他の要らない物は、なるべくDeleteしてしまいます。
3) telnetは使わない(例えtcp wrapperで制限をかけていても)
4) iploggerとidentは入れておくべし。
                ^^^^を訂正します。
identは必要ないです。
なぜなら、送り先も管理者もこの情報を信用しないからです。
結局、inetd自体がいらなくなってしまいました(^^;
popperはtcpserverで起動しているからです。

5) ホストを構築後、一呼吸してrebootします。
6) netstat -lなどで何が提供されているか調べます。
7) わからないポートがあいていたらfuserで調べます。
                                                ^^^^
                                                netstat -plnでも調べられます。

8) 5,6が終わったら念のためrebootします。
9) 外部からnmap等でスキャンします。
10) 問題があったら5からやり直し。
11) 常にログオフしておくべし。
        (実行権限を持ったプログラムをコピーされる恐れがある)
12) web上の情報は、玉石混淆なので取捨選択する。
        (これがなかなか難しい)
13) ソフトは最新のものを使う。
        (これまた難しい)
14) 3の解決策としてはSSHが考えられるますが、常にリスクがある
        事を念頭に置く(sshdにバグが出るかもしれない)
15) コンパイラはやっぱりおかない方がいいできたらperlも

これも訂正します。
結局shellをのっとられれば一緒というご意見を頂いたので、
可用性をとりコンパイラとperlは入れてしまいました。

16) これは私がクラックされたと確信したログなのですが
        debianではsetuid gidのログを定期的にとっているので
        /bin/ls /bin/suなどが変更されたログがあったら
        即座にそのホストはThe internetから隔離する。

怪しいと思ったらとりあえず、静観ではなく隔離だと思います。

17) wtmt or lastコマンドが私の場合操作されていましたが、
        lastコマンドで誰がログインしたかたまに見るといい。
18) やっぱりログは定期的に見るようにする。
19) 余裕があったらtripwireやsnortを入れる。
                          ^^^^^^^
ここも訂正します。
tripwireは入れといたほうが無難です。
とりあえず、/etcの下だけでもチェックしておいたほうがいいと思います。
snortは、どっちでもいい気がしてきました。
ログの量が増えますし・・・・
ログの量が増えると見なくなるという悪循環が・・・

20) Xはちゃんとアクセス権などを設定できなければ立ち上げ
        無い方がいい

今日は物理的にHDが飛んでしまいました。
ファシリティの面も気をつけたほうがいいですね。
とりあえず、2,3年でリプレースするぐらいの方が安心できます。

--
****************************************
    碇 永志  PCA(株) ikari@xxxxxxxxx
****************************************