カテゴリー: セキュリティ

saxa SS5000 UTMレビュー

2018年6月20日2018年6月20日 | by 優 | にコメントを残す

日本向け特化の中小向けUTM 管理がしやすく、優しい設計で保守がしやすいのが特徴。 GUIですべての機能が使えるのでシンプルでもあります。 saxa SS5000 国産UTMはどうだ寄稿しました。 ITに詳しくはないけれど、何かしないと不安だ。大げさな製品はいらないけど、しっかり防御したい中小規模の事業所に最適な製品です(۶•̀ᴗ•́)۶ …

の続きを読む

メール, セキュリティ

SPF設定 DKIM 送信する為の技術

2018年1月30日2019年4月27日 | by 優 | にコメントを残す

私的なメモ、 DNSは間違うと大変です、自己責任ですよ！ DKIM SPFはメールサーバの信頼性を担保するために利用します、後はDKIMですね。メルマガ配信スタンドだとかでなければSPFだけで大抵は良いでしょう。 Postfix DKIM, SPF, 送信暗号化, 逆引き google-site-verification Googleのドメイン認証 goo …

の続きを読む

セキュリティ

Intel CPU脆弱性『Spectre』『Meltdown』情報収集メモ

2018年1月24日2018年1月24日 | by 優 | にコメントを残す

Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ http://www.4gamer.net/games/999/G999902/20180105085/ LinuxコアメンバーによるMeltdownとSpectre 対応状況の説明（1/19更新） https://qiita.com/hogemax/items/008 …

の続きを読む

ネットワーク, セキュリティ

IP Spoofing 対策

2017年12月6日 | by 優 | にコメントを残す

Linux Iptables

# ip spoofing
-A INPUT -s 10.0.0.0/8 -j DROP
-A INPUT -s 172.16.0.0/12 -j DROP
-A INPUT -s 192.168.0.0/16 -j DROP

-A INPUT -d 0.0.0.0/8 -j DROP
-A INPUT -s 127.0.0.0/8 -j DROP
-A INPUT -s 169.254.0.0/16 -j DROP
-A INPUT -s 192.0.2.0/24 -j DROP

# ip spoofing

-A INPUT -s 10.0.0.0/8 -j DROP

-A INPUT -s 172.16.0.0/12 -j DROP

-A INPUT -s 192.168.0.0/16 -j DROP

-A INPUT -d 0.0.0.0/8 -j DROP

-A INPUT -s 127.0.0.0/8 -j DROP

-A INPUT -s 169.254.0.0/16 -j DROP

-A INPUT -s 192.0.2.0/24 -j DROP

IP Spoofingに対して、クラウド側のFWで対応していると明示している場合がある。その場合は設定する必要がない。外からのプライベートアドレスを拒否する設定はWAN側を持つルータ等のネットワーク機器でも必要。 IPスプーフィングとは、送信者のIPアドレスを詐称して別のI …

の続きを読む

Linux, セキュリティ

NTPリフレクション対策

2017年12月6日2017年12月6日 | by 優 | にコメントを残す

実はもとから対策されている…!!

# vi /etc/ntp.conf


# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
restrict default kod nomodify notrap nopeer noquery ←確認 ※ipv4、ipv6共に全てのアクセスを拒否
restrict -6 default kod nomodify notrap nopeer noquery ←確認


# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.centos.pool.ntp.org iburst
server 1.centos.pool.ntp.org iburst
server 2.centos.pool.ntp.org iburst
server 3.centos.pool.ntp.org iburst


↓変更



# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
#server 0.centos.pool.ntp.org iburst
#server 1.centos.pool.ntp.org iburst
#server 2.centos.pool.ntp.org iburst
#server 3.centos.pool.ntp.org iburst
server -4 ntp.nict.jp iburst
server -4 ntp.nict.jp iburst
server -4 ntp.nict.jp iburst




※最終行に追加

# NTP Dos攻撃対策※ リモートからmonilistをされないようにする。
disable monitor

# vi /etc/ntp.conf

# Permit time synchronization with our time source, but do not

# permit the source to query or modify the service on this system.

restrict default kod nomodify notrap nopeer noquery ←確認 ※ipv4、ipv6共に全てのアクセスを拒否

restrict -6 default kod nomodify notrap nopeer noquery ←確認

# Use public servers from the pool.ntp.org project.

# Please consider joining the pool (http://www.pool.ntp.org/join.html).

server 0.centos.pool.ntp.org iburst

server 1.centos.pool.ntp.org iburst

server 2.centos.pool.ntp.org iburst

server 3.centos.pool.ntp.org iburst

↓変更

# Use public servers from the pool.ntp.org project.

# Please consider joining the pool (http://www.pool.ntp.org/join.html).

#server 0.centos.pool.ntp.org iburst

#server 1.centos.pool.ntp.org iburst

#server 2.centos.pool.ntp.org iburst

#server 3.centos.pool.ntp.org iburst

server -4 ntp.nict.jp iburst

※最終行に追加

# NTP Dos攻撃対策※ リモートからmonilistをされないようにする。

disable monitor

# service ntpd restart

1	# service ntpd restart

# ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*ntp-b3.nict.go. .NICT.           1 u   15   64    1    2.545   -0.366   0.072
+ntp-a3.nict.go. .NICT.           1 u   14   64    1    2.160   -0.336   0.087

# ntpq -p

remote refid st t when poll reach delay offset jitter

==============================================================================

*ntp-b3.nict.go. .NICT. 1 u 15 64 1 2.545 -0.366 0.072

+ntp-a3.nict.go. .NICT. 1 u 14 64 1 2.160 -0.336 0.087

[crayon-5cea9a33aee9606076337 …

の続きを読む

Linux, セキュリティ

SYN Flood 対策

2017年12月6日2017年12月6日 | by 優 | にコメントを残す

# vi /etc/sysctl.conf

net.ipv4.tcp_syncookies=1

# vi /etc/sysctl.conf

net.ipv4.tcp_syncookies=1

# sysctl -p

1	# sysctl -p

または再起動を行います。 SYN Cookieの問題点 SYN cookies の問題点として、以下のようなものが指摘されている: クライアントが指定してきた MSS の値を正しく記憶できない (近似値のみ)。クライアントが指定してきた …

の続きを読む

セキュリティ

DoS 小規模レベル対策

2017年11月27日 | by 優 | にコメントを残す

サーバ側の対策 FW, IPS/IDS, DoS対策モジュールの導入, カーネルチューニング(SYN flood….etc), Rate Limiting クラウド側のFWでの遮断遮断後にログからサーバ側でのフィルタリング物理のスイッチでの遮断遮断後にログからサーバ側でのフィルタリング CDN導入クラウド型WAF DDoS対応のクラウドを使う IBM Bluem …

の続きを読む

WordPress, セキュリティ

WordPress 管理画面URL変更

2017年10月30日 | by 優 | にコメントを残す

管理画面URL変更画面キャプチャ認証パスワードをパスフレーズで設定 IP制限 IP制限については利便性が落ちるので、1～3だけでいいかな。 themes/テーマ_child/functions.php

// 管理画面URL切り替え
define( 'LOGIN_CHANGE_PAGE', 'dummy_admin.php' );
add_action( 'login_init', 'login_change_init' );
add_filter( 'site_url', 'login_change_site_url', 10, 4 );
add_filter( 'wp_redirect', 'login_change_wp_redirect', 10, 2 );
// 指定以外のログインURLは403エラーにする
if ( ! function_exists( 'login_change_init' ) ) {
  function login_change_init() {
    if ( !defined( 'LOGIN_CHANGE' ) || sha1( 'keyword' ) != LOGIN_CHANGE ) {
      status_header( 403 );
      exit;
    }
  }
}
// ログイン済みか新設のログインURLの場合はwp-login.phpを置き換える
if ( ! function_exists( 'login_change_site_url' ) ) {
  function login_change_site_url( $url, $path, $orig_scheme, $blog_id ) {
    if ( $path == 'wp-login.php' &&
      ( is_user_logged_in() || strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false ) )
      $url = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $url );
    return $url;
  }
}
// ログアウト時のリダイレクト先の設定
if ( ! function_exists( 'login_change_wp_redirect' ) ) {
  function login_change_wp_redirect( $location, $status ) {
    if ( strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false )
      $location = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $location );
    return $location;
  }
}

// 管理画面URL切り替え ここまで

// 管理画面URL切り替え

define( 'LOGIN_CHANGE_PAGE', 'dummy_admin.php' );

add_action( 'login_init', 'login_change_init' );

add_filter( 'site_url', 'login_change_site_url', 10, 4 );

add_filter( 'wp_redirect', 'login_change_wp_redirect', 10, 2 );

// 指定以外のログインURLは403エラーにする

if ( ! function_exists( 'login_change_init' ) ) {

function login_change_init() {

if ( !defined( 'LOGIN_CHANGE' ) || sha1( 'keyword' ) != LOGIN_CHANGE ) {

status_header( 403 );

exit;

}

// ログイン済みか新設のログインURLの場合はwp-login.phpを置き換える

if ( ! function_exists( 'login_change_site_url' ) ) {

function login_change_site_url( $url, $path, $orig_scheme, $blog_id ) {

if ( $path == 'wp-login.php' &&

( is_user_logged_in() || strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false ) )

$url = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $url );

return $url;

}

// ログアウト時のリダイレクト先の設定

if ( ! function_exists( 'login_change_wp_redirect' ) ) {

function login_change_wp_redirect( $location, $status ) {

if ( strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false )

$location = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $location );

return $location;

}

// 管理画面URL切り替えここまで

[crayon-5cea9a33afe2383842824 …

の続きを読む

Linux, セキュリティ

Vuls+VulsRepoのインストール CentOS7 パッケージ脆弱性スキャナ

2017年9月28日2017年9月29日 | by 優 | にコメントを残す

VulsでRedHat系OSの脆弱性をスキャンする定期更新スクリプト寄稿しました。会社内のESXi上にVulsサーバを設置し、外部のサーバ群の脆弱性を管理しています…(๑❛ᴗ❛๑ ) Vulsサーバのインストール+設定開発系+基本インストール

# yum groupinstall "Development Tools"

# yum groupinstall "Base"
 
# yum install gcc gcc-c++ pcre-devel zlib-devel make wget openssl-devel libxml2 libxml2-devel libxslt-devel libxslt libxslt-devel gd-devel perl-ExtUtils-Embed GeoIP-devel gperftools-devel flex libmcrypt libtool-ltdl libtidy libXpm libtiff gd-last autoconf automake gmp gmp-devel libgmp.so.3 libssl.so.6

# yum install curl-devel expat-devel gettext-devel openssl-devel zlib-devel perl-ExtUtils-MakeMaker

# yum install sqlite git gcc make yum-plugin-changelog

# yum groupinstall "Development Tools"

# yum groupinstall "Base"

# yum install gcc gcc-c++ pcre-devel zlib-devel make wget openssl-devel libxml2 libxml2-devel libxslt-devel libxslt libxslt-devel gd-devel perl-ExtUtils-Embed GeoIP-devel gperftools-devel flex libmcrypt libtool-ltdl libtidy libXpm libtiff gd-last autoconf automake gmp gmp-devel libgmp.so.3 libssl.so.6

# yum install curl-devel expat-devel gettext-devel openssl-devel zlib-devel perl-ExtUtils-MakeMaker

# yum install sqlite git gcc make yum-plugin-changelog

…

の続きを読む

セキュリティ

rkhunterのインストール Rootkit検知

2017年9月26日2018年10月3日 | by 優 | にコメントを残す

今回はRootkitを検知するrkhunterをインストールするTipsです。 Rootkitは不正侵入したサーバに、クラッカーがまず行うことはRootkitのインストール。Rootkitはバックドアやボットを設置、セキュリティを無効化するクラッキング用のツールがまとめられた一揃いの嫁入り道具です。 rkhunterはそのRootkitの痕跡を検知して教えてくれます。 …

の続きを読む

セキュリティ

AIDE ファイル改竄検知

2017年9月26日2018年10月3日 | by 優 | にコメントを残す

AIDEでファイルの改ざんチェック寄稿しました。 AIDEのインストール

# yum install aide

1	# yum install aide

# vi /etc/aide.conf

# 監視対象ディレクトリの指定
/var/www/vhosts NORMAL

#追加設定 対象除去
!/var/log/.*~
!/dev
!/tmp
!/proc
!/sys
!/root

# vi /etc/aide.conf

# 監視対象ディレクトリの指定

/var/www/vhosts NORMAL

#追加設定対象除去

!/var/log/.*~

!/dev

!/tmp

!/proc

!/sys

!/root

データファイル作成 ※初期インストール状態で 1～2分程度かかる [crayon-5cea9a33b2ae02652454 …

の続きを読む

Linux, セキュリティ

TCP Wrapper

2017年9月20日 | by 優 | にコメントを残す

FTPとSSHのIP制限を行う場合、TCP Wrapperが簡単です。

# vi /etc/hosts.allow

#
# hosts.allow This file contains access rules which are used to
# allow or deny connections to network services that
# either use the tcp_wrappers library or that have been
# started through a tcp_wrappers-enabled xinetd.
#
# See 'man 5 hosts_options' and 'man 5 hosts_access'
# for information on rule syntax.
# See 'man tcpd' for information on tcp_wrappers
#

ALL : 127.0.0.1
sshd : 222.xxx.yyy.133, 155.aaa.bbb.121
vsftpd : 222.xxx.yyy.133, 155.aaa.bbb.121

# vi /etc/hosts.allow

# hosts.allow This file contains access rules which are used to

# allow or deny connections to network services that

# either use the tcp_wrappers library or that have been

# started through a tcp_wrappers-enabled xinetd.

# See 'man 5 hosts_options' and 'man 5 hosts_access'

# for information on rule syntax.

# See 'man tcpd' for information on tcp_wrappers

ALL : 127.0.0.1

sshd : 222.xxx.yyy.133, 155.aaa.bbb.121

vsftpd : 222.xxx.yyy.133, 155.aaa.bbb.121

# vi /etc/hosts.deny

sshd : all
vsftpd : all

# vi /etc/hosts.deny

sshd : all

vsftpd : all

…

の続きを読む