日本向け特化の中小向けUTM 管理がしやすく、優しい設計で保守がしやすいのが特徴。 GUIですべての機能が使えるのでシンプルでもあります。 saxa SS5000 国産UTMはどうだ 寄稿しました。 ITに詳しくはないけれど、何かしないと不安だ。 大げさな製品はいらないけど、しっかり防御したい中小規模の事業所に最適な製品です(۶•̀ᴗ•́)۶ …
saxa SS5000 UTMレビュー
カテゴリー: セキュリティ
SPF設定
私的なメモ、 DNSは間違うと大変です、自己責任ですよ! SPFチェッカー http://www.kitterman.com/spf/validate.html https://mxtoolbox.com/spf.aspx こっちをよく使う バリュードメインでの設定 1つの場合 [crayon-5c971644dfd5f107559452/ …
Intel CPU脆弱性 『Spectre』『Meltdown』情報収集メモ
Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ http://www.4gamer.net/games/999/G999902/20180105085/ LinuxコアメンバーによるMeltdownとSpectre 対応状況の説明 (1/19更新) https://qiita.com/hogemax/items/008 …
IP Spoofing 対策
Linux Iptables
|
1 2 3 4 5 6 7 8 9 |
# ip spoofing -A INPUT -s 10.0.0.0/8 -j DROP -A INPUT -s 172.16.0.0/12 -j DROP -A INPUT -s 192.168.0.0/16 -j DROP -A INPUT -d 0.0.0.0/8 -j DROP -A INPUT -s 127.0.0.0/8 -j DROP -A INPUT -s 169.254.0.0/16 -j DROP -A INPUT -s 192.0.2.0/24 -j DROP |
IP Spoofingに対して、クラウド側のFWで対応していると明示している場合がある。その場合は設定する必要がない。 外からのプライベートアドレスを拒否する設定はWAN側を持つルータ等のネットワーク機器でも必要。 IPスプーフィングとは、送信者のIPアドレスを詐称して別のI …
NTPリフレクション 対策
実はもとから対策されている…!!
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 |
# vi /etc/ntp.conf # Permit time synchronization with our time source, but do not # permit the source to query or modify the service on this system. restrict default kod nomodify notrap nopeer noquery ←確認 ※ipv4、ipv6共に全てのアクセスを拒否 restrict -6 default kod nomodify notrap nopeer noquery ←確認 # Use public servers from the pool.ntp.org project. # Please consider joining the pool (http://www.pool.ntp.org/join.html). server 0.centos.pool.ntp.org iburst server 1.centos.pool.ntp.org iburst server 2.centos.pool.ntp.org iburst server 3.centos.pool.ntp.org iburst ↓変更 # Use public servers from the pool.ntp.org project. # Please consider joining the pool (http://www.pool.ntp.org/join.html). #server 0.centos.pool.ntp.org iburst #server 1.centos.pool.ntp.org iburst #server 2.centos.pool.ntp.org iburst #server 3.centos.pool.ntp.org iburst server -4 ntp.nict.jp iburst server -4 ntp.nict.jp iburst server -4 ntp.nict.jp iburst ※最終行に追加 # NTP Dos攻撃対策※ リモートからmonilistをされないようにする。 disable monitor |
|
1 |
# service ntpd restart |
|
1 2 3 4 5 |
# ntpq -p remote refid st t when poll reach delay offset jitter ============================================================================== *ntp-b3.nict.go. .NICT. 1 u 15 64 1 2.545 -0.366 0.072 +ntp-a3.nict.go. .NICT. 1 u 14 64 1 2.160 -0.336 0.087 |
[crayon-5c971644e0bdc61144150 …
SYN Flood 対策
|
1 2 3 |
# vi /etc/sysctl.conf net.ipv4.tcp_syncookies=1 |
|
1 |
# sysctl -p |
または再起動を行います。 SYN Cookieの問題点 SYN cookies の問題点として、以下のようなものが指摘されている: クライアントが指定してきた MSS の値を正しく記憶できない (近似値のみ)。 クライアントが指定してきた …
DoS 小規模レベル対策
サーバ側の対策 FW, IPS/IDS, DoS対策モジュールの導入, カーネルチューニング(SYN flood….etc), Rate Limiting クラウド側のFWでの遮断 遮断後にログからサーバ側でのフィルタリング 物理のスイッチでの遮断 遮断後にログからサーバ側でのフィルタリング CDN導入 クラウド型WAF DDoS対応のクラウドを使う IBM Bluem …
WordPress 管理画面URL変更
管理画面URL変更 画面キャプチャ認証 パスワードをパスフレーズで設定 IP制限 IP制限については利便性が落ちるので、1~3だけでいいかな。 themes/テーマ_child/functions.php
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 |
// 管理画面URL切り替え define( 'LOGIN_CHANGE_PAGE', 'dummy_admin.php' ); add_action( 'login_init', 'login_change_init' ); add_filter( 'site_url', 'login_change_site_url', 10, 4 ); add_filter( 'wp_redirect', 'login_change_wp_redirect', 10, 2 ); // 指定以外のログインURLは403エラーにする if ( ! function_exists( 'login_change_init' ) ) { function login_change_init() { if ( !defined( 'LOGIN_CHANGE' ) || sha1( 'keyword' ) != LOGIN_CHANGE ) { status_header( 403 ); exit; } } } // ログイン済みか新設のログインURLの場合はwp-login.phpを置き換える if ( ! function_exists( 'login_change_site_url' ) ) { function login_change_site_url( $url, $path, $orig_scheme, $blog_id ) { if ( $path == 'wp-login.php' && ( is_user_logged_in() || strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false ) ) $url = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $url ); return $url; } } // ログアウト時のリダイレクト先の設定 if ( ! function_exists( 'login_change_wp_redirect' ) ) { function login_change_wp_redirect( $location, $status ) { if ( strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false ) $location = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $location ); return $location; } } // 管理画面URL切り替え ここまで |
[crayon-5c971644e123339510937 …
Vuls+VulsRepoのインストール CentOS7 パッケージ脆弱性スキャナ
VulsでRedHat系OSの脆弱性をスキャンする 定期更新スクリプト 寄稿しました。 会社内のESXi上にVulsサーバを設置し、外部のサーバ群の脆弱性を管理しています…(๑❛ᴗ❛๑ ) Vulsサーバのインストール+設定 開発系+基本インストール
|
1 2 3 4 5 6 7 8 9 |
# yum groupinstall "Development Tools" # yum groupinstall "Base" # yum install gcc gcc-c++ pcre-devel zlib-devel make wget openssl-devel libxml2 libxml2-devel libxslt-devel libxslt libxslt-devel gd-devel perl-ExtUtils-Embed GeoIP-devel gperftools-devel flex libmcrypt libtool-ltdl libtidy libXpm libtiff gd-last autoconf automake gmp gmp-devel libgmp.so.3 libssl.so.6 # yum install curl-devel expat-devel gettext-devel openssl-devel zlib-devel perl-ExtUtils-MakeMaker # yum install sqlite git gcc make yum-plugin-changelog |
…
rkhunterのインストール Rootkit検知
今回はRootkitを検知するrkhunterをインストールするTipsです。 Rootkitは不正侵入したサーバに、クラッカーがまず行うことはRootkitのインストール。Rootkitはバックドアやボットを設置、セキュリティを無効化するクラッキング用のツールがまとめられた一揃いの嫁入り道具です。 rkhunterはそのRootkitの痕跡を検知して教えてくれます。 …
AIDE ファイル改竄検知
AIDEでファイルの改ざんチェック 寄稿しました。 AIDEのインストール
|
1 |
# yum install aide |
|
1 2 3 4 5 6 7 8 9 10 11 12 |
# vi /etc/aide.conf # 監視対象ディレクトリの指定 /var/www/vhosts NORMAL #追加設定 対象除去 !/var/log/.*~ !/dev !/tmp !/proc !/sys !/root |
データファイル作成 ※初期インストール状態で 1~2分程度かかる [crayon-5c971644e42383619475 …
TCP Wrapper
FTPとSSHのIP制限を行う場合、TCP Wrapperが簡単です。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
# vi /etc/hosts.allow # # hosts.allow This file contains access rules which are used to # allow or deny connections to network services that # either use the tcp_wrappers library or that have been # started through a tcp_wrappers-enabled xinetd. # # See 'man 5 hosts_options' and 'man 5 hosts_access' # for information on rule syntax. # See 'man tcpd' for information on tcp_wrappers # ALL : 127.0.0.1 sshd : 222.xxx.yyy.133, 155.aaa.bbb.121 vsftpd : 222.xxx.yyy.133, 155.aaa.bbb.121 |
|
1 2 3 4 |
# vi /etc/hosts.deny sshd : all vsftpd : all |
…