GNU/Linux とネットワーク/セキュリティ

1 :login:Penguin:2006/06/20(火) 00:50:49 ID:TOCwtSsF.net
Unix 系 OS にとってネットワーク/セキュリティ知識は必須ではないかと思い
またそういったスレッドが見当たらないので建てました。

基礎的なネットワーク知識、セキュリティ
それらを実現するサービス

kernel 再構築によるセキュリティ確保など

関連団体などの情報も必須でしょう。

私のお薦め
初心者向け Network 講座
定番ですが
Roads to Node
http://www5e.biglobe.ne.jp/‾aji/
フラッシュなどを用いて視覚的に解説がなされています
また読みものとしても面白いです。

みなさんも情報提供していただけませんか?

#蛇足ー個人の尊厳こそ Freedom

17 :login:Penguin:2006/07/01(土) 19:22:04 ID:7ibUZkIS.net

eth0とeth1を使ってマスカレード組んでます。
iptables -t nat -A POSTROUTING -s 192.168.1.0/8 -o eth1 -j MASQUERADE
ここまでは良いのですが、local側(eth0)のパケットをプログラムに取り込んで、
必要に応じてeth1に流したいのです・・・
Filterでは困難なので、プログラムを投入したいのですが、
raw socketでeth0から読んでeth1に書込んでみたのですが、
どうも、socket I/Fからの出力ではMASQUERADE経由しないようです。
(当たり前なの??)
何か良い方法ありますか? 宜しく御教示ください

46 :login:Penguin:2009/10/25(日) 22:45:48 ID:LbtqdK1A.net

sudoってコマンドが普及しているけど、これってかなり危険だよね?
なぜこんなにも普及しちゃったんだろうか。
シングルユーザで使っている人がほとんどのはずなのに。

73 :login:Penguin:2013/12/20(金) 19:17:49.06 ID:l2hrSU6+.net

マイクロソフト以外は信用できん。

56 :login:Penguin:2010/10/07(木) 17:31:10 ID:n1ueAS4v.net

まぁ分かりやすい代表例として;
水牛のルーターでOpenWrt動かすとWAN側ポートがeth1、LAN側がeth0になる。
加えてヤマハのRT5x系のルーターでも、WAN側向けポートをLAN2として、(スイッチ有りの)LAN側向けをLAN1として扱ってる。

俺の自作ルーターでは別サブネットのLAN構成用のIFを増設する可能性を睨んで逆にしてある(WAN=eth0, LAN=eth1)んだが、
Linux/Unix的にWAN側IFとLAN側IFの命名法にお作法があるなら、その手法と理由を
教えてくだされ…

79 :login:Penguin:2014/02/03(月) 01:13:02.11 ID:p6emkNr5.net

ファイヤーウォールルール
「DNSクエリ」
・そのまま通す。
「DNSリプライ」
・Netfilterキューにパケットを送る。
・判定プログラムでこれを一旦受け取る。
・libresolvライブラリでメッセージ解析。
・ダイアログ(Xdialog)で接続先のホスト情報を表示。
・問題のIPアドレスを、動的なホワイトゾーンか動的なブラックゾーンに登録。
・判定プログラムはパケットを改めて通す。
(したがって、アプリケーションはこのIPアドレスに接続要求を出す。)
「こちら(アプリケーション)側からインターネットへの接続要求」
上のリプライ解析でホワイトゾーンに入ったアドレスはACCEPT。ブラックゾーンはREJECT。

ってな感じで、(MacOSX環境でのHands Off!的な)外向き管理のファイヤーウォールが出来た・・もよう。
iptablesは直接叩いてないが、Shorewallいいよね。

材料:
・libnetfilter_queue(NETFILTER_NETLINK_QUEUEとその他諸々)
・libresolv
・libsqlite3

DNSリプライが予想以上にキューに(多分俺が止めてるから)流れ込んできて一悶着だったんだが、
もっとスマートな機構でも用意されてないのかな。
「このアプリがここに接続しますよ」ってカーネルさんが1つずつ優しく教えてくれるような・・・

8 :login:Penguin:2006/06/25(日) 03:47:58 ID:rU7/qJVV.net

書き間違えた。

× いや、iptables -F INPUT が実行されてるのは確認済みです
○ いや、iptables -D INPUT が実行されてるのは確認済みです

20 :login:Penguin:2006/07/03(月) 18:49:41 ID:Dsl3dR/n.net

当たり前

54 :login:Penguin:2010/07/22(木) 11:05:36 ID:2mXZrTNi.net

ロードアベレージがある値を超えたら
Netfilterで特定のポートへのパケットをDROPする、
ということはできるのでしょうか?
iptables のモジュールで何か無いだろうかと
探したのですが見つけられませんでした。

14 :login:Penguin:2006/06/25(日) 16:21:05 ID:rU7/qJVV.net

>>12
あ、本当だ。=が抜けてますね。
これで直るのかな。試してみます。

しかし、manを見るとオプションの指定で = あるのとないのとゴチャマゼですね。
–config-file では = 不要、tail file の指定も –tail あるいは -t の場合は不要となってる。

あれ?
synopsisだと–restart-time は = 不要になってるのに、command line options では 必要となってる。
どっちでもいいのか?w

21 :login:Penguin:2006/07/03(月) 20:25:49 ID:03m/PJWz.net

ありがとうございます・・・
POSTROUTINGの前段をうまく捕まえる技があればと思ったのですが・・・
ソース読みます
失礼しましたm(-_-)m

76 :login:Penguin:2013/12/25(水) 21:38:59.48 ID:C/S2jqW/.net

OpenVASのセキュリティホールわろた。Debianパッケージがアップデートされてないからポートあいてたらドンなボットでかなり簡単に乗っ取れてしまう。

アップデートする気ないならOPENVASはしばらく停止させないかんね

61 :login:Penguin:2012/09/19(水) 20:36:00.10 ID:0aiFI4NW.net

もしかして、whoisコマンドを連続実行すると怒られる?

82 :login:Penguin:2014/02/14(金) 17:28:35.29 ID:NFMEganc.net

ウイルスに強いのか?
あまり対象にされないだけじゃないのか。

58 :login:Penguin:2010/10/07(木) 18:11:18 ID:n1ueAS4v.net

主にWAN向けとして使われる想定のIFと、同様にLAN向けとして使われる想定の
IFの主従関係(無論OSから見ればそんな物は存在しないが…)みたいなのが、上みた
いになる例が多いのは何故かなと思ったワケです。ちなみにFonera+もそうなってまして…

81 :login:Penguin:2014/02/14(金) 16:40:44.86 ID:fHcWoz/b.net

クライムウェアにかかればねw

13 :login:Penguin:2006/06/25(日) 13:16:56 ID:0p4CcI7d.net

本人が関係ないと思って省略してるところに問題があることも多いかも知れません

31 :login:Penguin:2006/10/07(土) 14:22:18 ID:vF2ja7d/.net

(苦笑)

26 名前:login:Penguin[sage] 投稿日:2006/10/05(木) 16:27:26 ID:PqMrisKX
あります。イジョ

30 名前:login:Penguin[sage] 投稿日:2006/10/05(木) 21:49:42 ID:PqMrisKX
hGZwLmdO=aVDRRJ2f
26 :login:Penguin :sage :2006/10/05(木) 16:27:26 ID:PqMrisKX
あります。イジョ
>>26 知らないなら黙っていたほうがいいですよ。

35 :login:Penguin:2007/06/14(木) 04:07:32 ID:wUl9Z8HR.net

いい趣旨のスレだと思うのでage。 

ちなみに関連スレ:
【鉄壁】iptablesの使い方 3【ファイアウォール】
http://pc11.2ch.net/test/read.cgi/linux/1136593433/

12 :login:Penguin:2006/06/25(日) 11:31:39 ID:T581Ntvh.net

–tail-file=/var/log/secure

92 :login:Penguin:2017/09/19(火) 00:10:35.36 ID:NKBfJRbw.net

そうか。書いてホスイ

69 :login:Penguin:2013/04/29(月) 19:08:09.64 ID:1QD4kptZ.net

設定するときだけ無効にするでしょ。

37 :login:Penguin:2007/09/05(水) 14:38:44 ID:N/xrp7oK.net

 

26 :login:Penguin:2006/10/05(木) 16:27:26 ID:PqMrisKX.net

あります。イジョ

72 :login:Penguin:2013/12/20(金) 19:05:11.35 ID:BeCEkC11.net

>>71
前者はそのアプリがアクセスできる範囲にある情報全て。
後者は送信した情報のみ。

これが同じ運用をしてるってことか。

67 :login:Penguin:2013/04/27(土) 08:29:48.66 ID:oZTkQdLm.net

自分で判断できない人がサーバなんか立てちゃだめです。

5 :login:Penguin:2006/06/24(土) 21:06:11 ID:JDvjyGFc.net

う〜む
返答なしか
どこで聞こう

36 :login:Penguin:2007/06/14(木) 10:58:27 ID:OEvSVDY+.net

ネットワークセキュリティなら・・・・

そう、OpenBSDです。

93 :login:Penguin:2017/12/29(金) 13:49:55.78 ID:S/CsVkMC.net

誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。

グーグル検索⇒『宮本のゴウリエセレレ』

KAIFYLUYV5

23 :login:Penguin:2006/09/26(火) 23:18:30 ID:APFX152O.net

>>22
おまえはさっさと死ね

51 :login:Penguin:2009/11/04(水) 17:28:54 ID:fE4/9RbV.net

後学のために
どのように「かえって危険度が増す」のか
詳しく解説して欲しい。

suしたりrootアカウントでログインした方が安全なの?

74 :login:Penguin:2013/12/23(月) 00:51:49.76 ID:K1QKUFhF.net

debianの本スレはよ

84 :login:Penguin:2017/09/18(月) 10:48:39.80 ID:/8qljawN.net

自ホストのNICに、
Ubuntuなら/etc/network/interfacesで、
CentOSなら /etc/sysconfig/network-scripts/ifcfg-xxx で、
サブネットマスク定義しているけど、
これって何故定義するんだろうって思う。
と言うのは、「宛先ネットワークアドレス」とか、サブネットって、
送信元やルータが「このホストはこのネットワークに所属しているから
ここに転送する」って認識しているのであって、そのホストが
自身で決めるというよりは、外部のホスト毎に認識されるものなんじゃ
ないか?
ARPで問い合わせられたときに、「私のマスクはこの範囲です」って
言う感じで、「私のIPは1.2.3.4です(1点)」だけでなくて、範囲も返答
してるってこと?
そしてARPの返答を受け取った側が、受け取ったサブネットマスク値で
ルーティングテーブルを動的に登録してくれるってことでいいのかな。
(そうなると、ルータ側で、統一的にサブネット区分けをしているのが
容易に変更可能になってしまうが… staticなルートのほうが優先??)

同様に、DNSのドメイン名をホスト側のNICに設定するのもよくわからない
これってDNSサーバ側のリソースレコードで定義される情報なんじゃない
のかなって思う。しかもDNSの方は、ARPみたいな全てのホストに問い合わせる
仕組みじゃないはずだし。

41 :login:Penguin:2008/06/04(水) 18:12:45 ID:iQKswejH.net

自分の選択でフリーターはともかくとして、
フリーターしか選択肢がないというのはよほど問題がある人だろう。
先天や事故で身体的に無理というならばまだしも、
精神的にとかは、もう笑うしかないな。
どれだけ甘えているのだと。
そういうのはバイトで当然だよ。
むしろ金をやる必要すら無い。

60 :login:Penguin:2012/09/07(金) 09:55:58.15 ID:IeH0FKbw.net

上げます。
WiMAXですが、NECのWM3600Rというモバイルルーターをお使いの方はいませんか?
無線LANではなくてUSBで接続して充電しながら占有したいのですが、
同メーカーのWM3500Rと違ってネットでは動作報告が見つかりません。
USBに直接接続した場合に、cdc_etherドライバーで認識されるか試せる方いらしたらお願いします。
ちなみに今のところLinuxでUSB接続できるのは、WM3500RとMobileCubeの2機種のようです。

71 :login:Penguin:2013/12/20(金) 15:10:21.59 ID:SBamnEmQ.net

「プロプライエタリのアプリケーションは何をやっているか見えない。
もし個人情報をどこかに勝手に送信していたら、どうするんだ?」

「君はいつも何をやっているか見えないクラウドに
個人情報を自ら送信しているじゃないか」

86 :login:Penguin:2017/09/18(月) 12:29:24.43 ID:/8qljawN.net

>>85
めっちゃスッキリしました。ありがとう。
保存版にしたいわ。
そうか、NICで設定しているサブマスによってそもそも範囲内
ならルータに送らないのな。
ARPについては仰るとおりです。勘違いしていました。
DNSは気にしなくていいのね。

4 :login:Penguin:2006/06/21(水) 19:27:47 ID:/uqjxurW.net

どこで質問しようかとスレ一覧眺めてたら、ちょうどこんなスレが出来てた。
借ります。

swatch + iptables で /var/log/secureを監視して不正(と見える)ログインを遮断するよう設定しました。
不正ログイン感知 → 該当アドレスを iptables で DROP → atで30分後に解除という一連のアクションを設定しています。

リアルタイムでの遮断動作自体はうまく行っているのですが、
なぜか不定期的に /var/log/secure に記録されている不正と見なされたアドレスが全部「再度」遮断されてしまいます。
つまり、「新規に」加わったログだけでなく、ログファイル上に残っている「すべての行」が何度もチェックされてしまい、
既に30分以上経過して遮断解除されていたアドレスが、その度に遮断されてしまうのです。
その結果「設定を間違っていて引っかかったユーザが、設定を修正した後も時々ログインできなくなる」
という困った状況になってしまっています。
(現在は手作業で /var/log/secure から該当する行を削除することで対応してます)

swatchのバージョンは 3.1.1、
起動オプションは –config-file /etc/swatch.conf –tail-file /var/log/secure –use-cpan-file-tail –daemon です。
(実際には他に諸々のディレクトリ指定のオプションもありますが割愛)
/etc/swatch.confには

watchfor    /proftpd.*¥[(¥d+¥.¥d+¥.¥d+¥.¥d+)¥].*Maximum login attempts/
    exec “/sbin/iptables -A INPUT -s $1 -j DROP”
    exec “echo ‘/sbin/iptables -D INPUT -s $1 -j DROP’ | at now+30min”

といった感じで13個程パターンが登録されています。

ぐぐってみましたが、類似した話は見つけられませんでした。
原因 & 対策が分かる方がいらっしゃったら、よろしくご教示ください。

32 :login:Penguin:2007/01/21(日) 17:35:17 ID:Tv8fxT9H.net

FACK YOUR!!

11 :login:Penguin:2006/06/25(日) 06:10:22 ID:rU7/qJVV.net

昨日の 19時以降だけでも、19:16:55 と 19:51:19 の二度「謎のログ総点検」が行われました。
この二回だけで実に180行のログが残されています。
さきほどsyslogのローテイトが行われたところで、昨夜はログが一週間分貯まっていた訳です。
昨日は夕方に一旦ログを消去したので、こんな行数ですが、丸一日放置した後だと 1000行近くなってしまいます。
これをチェックするのは正直ウンザリな感じです。

皆さんのところでは swatch が「ログ総点検」を行うなどという現象は起きていないのでしょうか?
一体何がトリガーになってるのか、見当がつかなくて困ります。
どうすれば「トリガー」を調べられるか、そのヒントでも頂けるとありがたいです。

80 :login:Penguin:2014/02/12(水) 21:51:30.75 ID:razmMZEi.net

ウィルスには強いよ。それは認めよう。

でもクライムウェアに掛かれば、BiOSの設定を変えられたり、時刻を変えられたり
そういう現象はトラブルとして起きるからね。
例の通信速度設定パラメータもいじられたりする。
鈍感なLinuxユーザーは気づかない。

57 :login:Penguin:2010/10/07(木) 17:59:33 ID:OoscnR6n.net

そもそも「WAN側/LAN側」って区別はないだろう。
単に「異なる二つのネットワーク」でしかないと思うが。

77 :login:Penguin:2013/12/26(木) 14:32:17.28 ID:w3iaz9Uz.net

iptables とか pf とか、ゴリゴリ掻くかね?
あたしゃ、もうそんなに若くないよ

94 :login:Penguin:2018/05/22(火) 11:03:54.25 ID:Czl6p0FW.net

僕の知り合いの知り合いができた副業情報ドットコム
関心がある人だけ見てください。
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』

KX34O

50 :login:Penguin:2009/11/04(水) 13:59:55 ID:YO73TQNX.net

>>49
ユーザが一人か複数かが何か関係あんの?

3 :login:Penguin:2006/06/20(火) 10:03:34 ID:inE/6ivp.net

GNUが付くとDebianスレの派生かと思う

68 :login:Penguin:2013/04/29(月) 17:00:54.98 ID:sHMYg9rN.net

>>66
「初心者なのでなにが正しいのか判断が難しい」のに
「一台一台セキュリティ設定すると手間が大変」
と感じるほど大量のサーバを管理してるの?

一体どんな状況なのか想像がつかない

38 :login:Penguin:2007/10/03(水) 18:04:30 ID:DelxZpX5.net

GPL採用はわずか6%
http://www.atmarkit.co.jp/news/200709/26/gpl.html

Evans Dataが9月25日に発表した調査報告書によると、
オープンソースソフトウェアに取り組んでいる開発者の中で
「GNU General Public License(GPL)」を採用しているのは、
わずか6%に過ぎないという。
同社の「Evans Data Open Source Software Development Survey」では、
調査を行った開発者の3分の2が2008年にGPLを採用する予定はないと答え、
同43%がこれからも同ライセンスを利用しないと述べた。

また、GPLを採用したプロジェクトに参加する可能性はないと回答した人数は、
可能性があるとした人数の約2倍に達している。

同調査は、約400人の開発者を対象に行われた。

45 :login:Penguin:2009/08/26(水) 23:26:04 ID:fTY2u3XK.net

https://mikamail.dyndns.org/pukiwiki/?Linux%B4%D8%CF%A2%2FOS%2FCentOS%2F%A5%BB%A5%AD%A5%E5%A5%EA%A5%C6%A5%A3%B4%D8%CF%A2%2Fiptables
を参考に、ブラックリストファイルに登録された接続先をiptablesで弾くスクリプトを作ってみましたが、合っているのでしょうか?
#!/bin/sh
#初期設定
### IPフォワードの停止 ###
echo 0 > /proc/sys/net/ipv4/ip_forward
IPTABLES=/sbin/iptables
#iptable初期化
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
#ブラックリストアクセスは、ログを吐いてdrop
$IPTABLES -N b_log_drop
$IPTABLES -A b_log_drop -j LOG –log-tcp-options –log-ip-options –log-prefix ‘[IPTABLES Blacklist log] : ‘
$IPTABLES -A b_log_drop -j DROP
##################################################
# ブラックリスト読み込み
##################################################
while read LINE
do
iptables -I INPUT 1 -s $LINE -j b_log_drop
iptables -I INPUT 1 -d $LINE -j b_log_drop
iptables -I INPUT 1 -p icmp -s $LINE -j b_log_drop
iptables -I INPUT 1 -p icmp -d $LINE -j b_log_drop
done < /etc/iptables/blacklist.txt
##################################################
# Initialize
##################################################
### 設定内容の保存 ###
/etc/rc.d/init.d/iptables save
### IPフォワードの開始 ###
echo 1 > /proc/sys/net/ipv4/ip_forward

75 :login:Penguin:2013/12/25(水) 19:23:52.05 ID:9Oa/hQjQ.net

セキュリティ対策はめんどくせ

30 :login:Penguin:2006/10/05(木) 21:49:42 ID:PqMrisKX.net

hGZwLmdO=aVDRRJ2f
26 :login:Penguin :sage :2006/10/05(木) 16:27:26 ID:PqMrisKX
あります。イジョ
>>26 知らないなら黙っていたほうがいいですよ。

参考になったらSNSでシェアお願いします!

レスを投稿する(名前省略可)

この記事を読んだ方へのおすすめ

  • 最強のエミュレーター(PS編)10

    元スレ 1 :名無しんぼ@お腹いっぱい:2012/11/15(木) 22:12:23.29 ID:kIv4BJrY0.net 前スレ 最強のエミュレーター(PS編)9 http://anago.2ch.net/test/…

  • Antergos Linux

    元スレ 1 :login:Penguin:2014/08/13(水) 14:32:12.42 ID:fB5FlRhf.net Antergos (アンテルゴス)は、Arch Linux の派生ディストリ。 GUIインスト…

  • 気軽に「こんなソフトありませんか?」Part.183

    元スレ 1 :名無しさん@お腹いっぱい。 :2018/12/24(月) 09:53:54.46 ID:LvWQYQwA0EVE.net ◆こんな機能のソフトが無いかな〜と思ったらここで聞こう。   質問テンプレは用意しま…

  • Windows標準のデフラグソフトの完全版Diskeeper 8

    元スレ 1 :名無しさん@お腹いっぱい。:2013/10/22(火) 13:20:20.15 ID:NnUvwqbC0.net Windows 2000・XPのデフラグソフトの完全版Diskeeperについて語るスレです…

  • ▼2chでディストリビューションを作ろう!Part3

    元スレ 1 :login:Penguin:04/06/25 21:38 ID:JMJZx75J.net 2chでディストリビューションを作ろうというプロジェクトです。 sourceforge.net内のサイト ttp:/…

  • 【HELP】会社のWeb鯖がWindowsになりそうです

    元スレ 1 :login:Penguin:2006/06/23(金) 18:07:21 ID:9exBnASB.net 漏れはLinux鯖にしろと言っているんだけど ↓以下説得方法 73 :login:Penguin:2…

  • V2Cをいじってみた

    元スレ 1 :名無しさん@お腹いっぱい。:2015/01/02(金) 19:32:08.39 ID:t6PD2DDt0.net たてた 436 :名無しさん@お腹いっぱい。:2017/02/19(日) 13:59:24.…

  • 【Raspberry Pi】ラズベリー・パイ part11 【ARM】

    元スレ 1 : 【東電 74.7 %】:2015/02/08(日) 16:33:12.64 ID:yckzEZ4D.net Raspberry Piシリーズはクレジットカードサイズのコンピュータ。いろいろな用途に使えます…

  • SRWare Iron Part20

    元スレ 1 :名無しさん@お腹いっぱい。:2019/04/05(金) 10:04:12.03 ID:6nmzFviO0.net Google Chromeと同じオープンソースChromiumをベースとした ウェブブラウザ…

  • テキストエディタ gPad

    元スレ 1 :名無しさん@お腹いっぱい。:2012/03/15(木) 19:44:53.55 ID:ck2l6e/z0.net 遅れてきた大本命のテキストエディタ「gPad」 昨日Unicodeにも対応されたV2がリリー…

  • Mozilla Thunderbird Part25

    元スレ 1 :名無しさん@お腹いっぱい。:2018/06/29(金) 13:10:20.54 ID:LvQNBC6R0.net ■公式サイト 日 https://www.mozilla.org/ja/thunderbir…

  • 秀丸ファイラーClassic Part5

    元スレ 1 :名無しさん@お腹いっぱい。(エーイモT SEff-jO4j):2016/06/23(木) 06:47:41.71 ID:R9LHE6irE.net 公式 http://hide.maruo.co.jp/so…

最近のコメント

匿名 : 合同会社グラウンドステップ 被害者の会 part2
 吉川利幸さんが社長を務めるランサーズでの評価 すご... (5/05)
匿名 : Opera12(Presto) Part8
 Dragonflyが使えなくなったorg (6/25)
匿名 : あえてコマンドライン禁止のLinux
 いまではほとんどのディストリのインストで日本語環境までコマン... (6/15)
ページTOPへ↑