GNU/Linux とネットワーク/セキュリティ

Unix 系 OS にとってネットワーク/セキュリティ知識は必須ではないかと思い
またそういったスレッドが見当たらないので建てました。

基礎的なネットワーク知識、セキュリティ
それらを実現するサービス

kernel 再構築によるセキュリティ確保など

関連団体などの情報も必須でしょう。

私のお薦め
初心者向け Network 講座
定番ですが
Roads to Node
http://www5e.biglobe.ne.jp/~aji/
フラッシュなどを用いて視覚的に解説がなされています
また読みものとしても面白いです。

みなさんも情報提供していただけませんか？

#蛇足ー個人の尊厳こそ Freedom

爾

GNUが付くとDebianスレの派生かと思う

どこで質問しようかとスレ一覧眺めてたら、ちょうどこんなスレが出来てた。
借ります。


swatch + iptables で /var/log/secureを監視して不正(と見える)ログインを遮断するよう設定しました。
不正ログイン感知 → 該当アドレスを iptables で DROP → atで30分後に解除という一連のアクションを設定しています。

リアルタイムでの遮断動作自体はうまく行っているのですが、
なぜか不定期的に /var/log/secure に記録されている不正と見なされたアドレスが全部「再度」遮断されてしまいます。
つまり、「新規に」加わったログだけでなく、ログファイル上に残っている「すべての行」が何度もチェックされてしまい、
既に30分以上経過して遮断解除されていたアドレスが、その度に遮断されてしまうのです。
その結果「設定を間違っていて引っかかったユーザが、設定を修正した後も時々ログインできなくなる」
という困った状況になってしまっています。
(現在は手作業で /var/log/secure から該当する行を削除することで対応してます)

swatchのバージョンは 3.1.1、
起動オプションは --config-file /etc/swatch.conf --tail-file /var/log/secure --use-cpan-file-tail --daemon です。
(実際には他に諸々のディレクトリ指定のオプションもありますが割愛)
/etc/swatch.confには

watchfor　　　　/proftpd.*\[(\d+\.\d+\.\d+\.\d+)\].*Maximum login attempts/
　　　　exec "/sbin/iptables -A INPUT -s $1 -j DROP"
　　　　exec "echo '/sbin/iptables -D INPUT -s $1 -j DROP' | at now+30min"

といった感じで13個程パターンが登録されています。

ぐぐってみましたが、類似した話は見つけられませんでした。
原因 & 対策が分かる方がいらっしゃったら、よろしくご教示ください。

う〜む
返答なしか
どこで聞こう

2行目が実行されてないだけじゃないの？

を、反応があった。

>>6
いや、iptables -F INPUT が実行されてるのは確認済みです。

ところが忘れた頃に /var/log/secure の中にある既に処理済みのやつが
同じ時間に再びダ〜〜〜〜っと DROP されてしまうのです。
>>4 では省略したのですが、watchfor のアクションでは最後に

exec "echo `date '+%y-%m-%d %H:%M:%S'` $1 ftpd - maxmum attempts exceeded >> /var/log/swatch/`date +%y%m%d`.log"

という感じで、日付別にログを残してるので、これと /var/log/secure とを見比べると
「実際の不正ログイン」がなかったとき、まったく同じ時刻で数十件もログが記録されてたりするわけです。
syslogのローテートが行われてる週末まで、どんどんその行数が増え続けるので、
チェックすると日を追ってどんとん嫌な気分になります。

書き間違えた。

× いや、iptables -F INPUT が実行されてるのは確認済みです
○ いや、iptables -D INPUT が実行されてるのは確認済みです

再起動してない？

してません。
swatchを再起動させると当然 pid が変わるので、
(--script-dir で指示されたディレクトリにある)実行スクリプトも新しくなります。
古いものは消去されずに残りますので、
再起動されればその数だけスクリプトが残るはずです。

一日に数回は「謎のログ総点検」が行われますが、
そのような数のスクリプトは存在しません。
(つか、手動で再起動、あるいはlogrotate の際の自動再起動分しかありません)

昨日の 19時以降だけでも、19:16:55 と 19:51:19 の二度「謎のログ総点検」が行われました。
この二回だけで実に180行のログが残されています。
さきほどsyslogのローテイトが行われたところで、昨夜はログが一週間分貯まっていた訳です。
昨日は夕方に一旦ログを消去したので、こんな行数ですが、丸一日放置した後だと 1000行近くなってしまいます。
これをチェックするのは正直ウンザリな感じです。

皆さんのところでは swatch が「ログ総点検」を行うなどという現象は起きていないのでしょうか?
一体何がトリガーになってるのか、見当がつかなくて困ります。
どうすれば「トリガー」を調べられるか、そのヒントでも頂けるとありがたいです。

--tail-file=/var/log/secure

本人が関係ないと思って省略してるところに問題があることも多いかも知れません

>>12
あ、本当だ。=が抜けてますね。
これで直るのかな。試してみます。

しかし、manを見るとオプションの指定で = あるのとないのとゴチャマゼですね。
--config-file では = 不要、tail file の指定も --tail あるいは -t の場合は不要となってる。

あれ?
synopsisだと--restart-time は = 不要になってるのに、command line options では 必要となってる。
どっちでもいいのか?w

>>13
省略……といっても、あと起動スクリプトの中身では
swatchへのオプションを実際にはshell変数使って渡してることとか
start/stop/restart の分岐処理とか
それくらいです。

# start では重複起動と設定ファイル類の存在チェック→起動しかやってません

その後 >>12 の修正を加えてみましたが変化なしで、やはり何度も「総点検」が発生しています。

/var/log/secure と見比べると、「謎の総点検」が行われるのは、
不正ログインではない通常のログインがあって、ログに行の追加があったときに一致しているようです。
ただ、もちろん「すべての正常ログイン」の場合に発生する訳ではないので、
何か別の要因が重なった場合のようです。

引き続き情報がありましたら、よろしくお願いします。

eth0とeth1を使ってマスカレード組んでます。
iptables -t nat -A POSTROUTING -s 192.168.1.0/8 -o eth1 -j MASQUERADE
ここまでは良いのですが、local側(eth0)のパケットをプログラムに取り込んで、
必要に応じてeth1に流したいのです・・・
Filterでは困難なので、プログラムを投入したいのですが、
raw socketでeth0から読んでeth1に書込んでみたのですが、
どうも、socket I/Fからの出力ではMASQUERADE経由しないようです。
（当たり前なの？？）
何か良い方法ありますか? 宜しく御教示ください

promisc ?

そう
promisc
で拾ってます。
拾うのはOKなんですけどね
書いた後にマスカレードされずにそのままでてってしまう・・・

当たり前

ありがとうございます・・・
POSTROUTINGの前段をうまく捕まえる技があればと思ったのですが・・・
ソース読みます
失礼しましたm(-_-)m

「GPLは危険」 複数のLinuxカーネル開発者が共同声明
http://opentechpress.jp/opensource/article.pl?sid=06/09/26/0227202
---
TorvaldsはLKMLへのメールの中で、Bottomleyの意見に同意している。
「僕の個人的な意見を言うと、 公開議論の大部分が、
　GPLに関して政治的な動機を持った人たちによって行なわれているなあということ。
　だからとても声の大きなGPL支持者たちがいる。
　だけど大量の開発を結局のところ実際にやってる人たちっていうのは
　普通は彼らほど口が達者じゃないし、実際その意見はほとんど知られてないって気がする。
　FSFの意見は実際の開発者の（しかも、かなり多数の）意見を必ずしも代弁してはいないっ
　てことを、 実際の作業をたくさんやる人たちが知らしめる手段だ。」

>>22
おまえはさっさと死ね

「GPLは瀕死の状態」--Linuxカーネルプログラマーの多くが低評価
http://japan.cnet.com/news/ent/story/0,2000056022,20248447,00.htm

貢献度の高いLinuxカーネルプログラマーの大半が、
「GNU General Public License（GPL）」に否定的であることがわかった。
GPLは多くのオープンソースプロジェクトに適用されている。

Linuxカーネルに関する情報を交換するメーリングリストに投稿した記事によれば、
カーネルプログラマーらに-3から+3の評価を求めた結果、最も高かった評価は、
可でも不可でもないことを意味する0で、平均は-2だったという。
この調査はLinuxを率いるLinus Torvalds氏が提起したもので、
Torvalds氏はこれまでにもGPLに反対の意見を表明していた。

↓のようなポートスキャンなどを行ってセキュリティリスクをレポートしてくれるサービスで
linuxでも使えるものはないでしょうか?

Symantec Security Check
ttp://security.symantec.com/sscv6/default.asp?productid=symhome&langid=jp&venid=sym

あります。ｲｼﾞｮ

>>26 知らないなら黙っていたほうがいいですよ。
　誘導　http://pc8.2ch.net/test/read.cgi/linux/1159944380/l50

>>25
http://nessus.org/

追加
http://usat.sourceforge.net/

hGZwLmdO=aVDRRJ2f
26 ：login:Penguin ：sage ：2006/10/05(木) 16:27:26 ID:PqMrisKX
あります。ｲｼﾞｮ
>>26 知らないなら黙っていたほうがいいですよ。

（苦笑）

26 名前：login:Penguin[sage] 投稿日：2006/10/05(木) 16:27:26 ID:PqMrisKX
あります。ｲｼﾞｮ


30 名前：login:Penguin[sage] 投稿日：2006/10/05(木) 21:49:42 ID:PqMrisKX
hGZwLmdO=aVDRRJ2f
26 ：login:Penguin ：sage ：2006/10/05(木) 16:27:26 ID:PqMrisKX
あります。ｲｼﾞｮ
>>26 知らないなら黙っていたほうがいいですよ。

ＦＡＣＫ　ＹＯＵＲ！！

ここって、debianのネットワークセキュリティーの話でいいのかな。
今、sidでseeditか、TOMOYOのどっちかを導入しようと思ってるんだけど、
どっちが簡単かな。

デブは隔離スレで

いい趣旨のスレだと思うのでage。　

ちなみに関連スレ：
【鉄壁】iptablesの使い方 3【ファイアウォール】
http://pc11.2ch.net/test/read.cgi/linux/1136593433/

ネットワークセキュリティなら・・・・

そう、OpenBSDです。

　

GPL採用はわずか6％
http://www.atmarkit.co.jp/news/200709/26/gpl.html

Evans Dataが9月25日に発表した調査報告書によると、
オープンソースソフトウェアに取り組んでいる開発者の中で
「GNU General Public License（GPL）」を採用しているのは、
わずか6％に過ぎないという。
同社の「Evans Data Open Source Software Development Survey」では、
調査を行った開発者の3分の2が2008年にGPLを採用する予定はないと答え、
同43％がこれからも同ライセンスを利用しないと述べた。

また、GPLを採用したプロジェクトに参加する可能性はないと回答した人数は、
可能性があるとした人数の約2倍に達している。

同調査は、約400人の開発者を対象に行われた。

>>38
記事は正確に引用しましょう。
その記事で触れられているのはGPLが6%では無くてGPLv3が6%です。
また引用文を改変する事は法的に禁じられているはずです。

そんなことより釣りなら上げなきゃ駄目だろ

自分の選択でフリーターはともかくとして、
フリーターしか選択肢がないというのはよほど問題がある人だろう。
先天や事故で身体的に無理というならばまだしも、
精神的にとかは、もう笑うしかないな。
どれだけ甘えているのだと。
そういうのはバイトで当然だよ。
むしろ金をやる必要すら無い。

ほしゅ

ifconfigでIPv6を割り振ってみたいんだけど
IPエイリアスでeth0:1とかにIPv6をどうやってつければいいの？

つまりどういうことです？

https://mikamail.dyndns.org/pukiwiki/?Linux%B4%D8%CF%A2%2FOS%2FCentOS%2F%A5%BB%A5%AD%A5%E5%A5%EA%A5%C6%A5%A3%B4%D8%CF%A2%2Fiptables
を参考に、ブラックリストファイルに登録された接続先をiptablesで弾くスクリプトを作ってみましたが、合っているのでしょうか？
#!/bin/sh
#初期設定
### IPフォワードの停止 ###
echo 0 > /proc/sys/net/ipv4/ip_forward
IPTABLES=/sbin/iptables
#iptable初期化
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
#ブラックリストアクセスは、ログを吐いてdrop
$IPTABLES -N b_log_drop
$IPTABLES -A b_log_drop -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES Blacklist log] : '
$IPTABLES -A b_log_drop -j DROP
##################################################
# ブラックリスト読み込み
##################################################
while read LINE
do
iptables -I INPUT 1 -s $LINE -j b_log_drop
iptables -I INPUT 1 -d $LINE -j b_log_drop
iptables -I INPUT 1 -p icmp -s $LINE -j b_log_drop
iptables -I INPUT 1 -p icmp -d $LINE -j b_log_drop
done < /etc/iptables/blacklist.txt
##################################################
# Initialize
##################################################
### 設定内容の保存 ###
/etc/rc.d/init.d/iptables save
### IPフォワードの開始 ###
echo 1 > /proc/sys/net/ipv4/ip_forward

sudoってコマンドが普及しているけど、これってかなり危険だよね？
なぜこんなにも普及しちゃったんだろうか。
シングルユーザで使っている人がほとんどのはずなのに。

何言ってんの？

sudo なら、どのコマンドは誰が使えるか
設定できるんだよ。
使えるコマンドに制限つけなければそりゃ危険だ。


もっとも、シングルユーザーで root ログインの
奴にはどっちでも同じことだけどな。

個人一人だけでパーソナルコンピュータとして使っている人がほとんどのはず。
複数ユーザーで使っている人は少ないと思うのに、sudoが標準化されてしまった。

複数ユーザーで一つのパソコンなりサーバなりを共有してでもいないかぎり、
sudoを使わなければ不便ということもないし、sudoを入れることによって
かえって危険度が増すと思うけど、どうなんだろう。

>>49
ユーザが一人か複数かが何か関係あんの?

後学のために
どのように「かえって危険度が増す」のか
詳しく解説して欲しい。

suしたりrootアカウントでログインした方が安全なの?

それが必要な時だけrootログイン/su/sudoの何が危険なんだろう

>>50
さすがにそれは関係あるでしょう。
それぞれのユーザーが勝手に自分の方針でシステムの中核をいじくるといずれ破綻する。
シングルユーザーの場合のsuもsudoも気を引き締めるためのひとつの儀式なのだと思う。

ロードアベレージがある値を超えたら
Netfilterで特定のポートへのパケットをDROPする、
ということはできるのでしょうか？
iptables のモジュールで何か無いだろうかと
探したのですが見つけられませんでした。

xinetd の max_load でできそうな気がしてきました。

まぁ分かりやすい代表例として；
水牛のルーターでOpenWrt動かすとWAN側ポートがeth1、LAN側がeth0になる。
加えてヤマハのRT5x系のルーターでも、WAN側向けポートをLAN2として、(スイッチ有りの)LAN側向けをLAN1として扱ってる。

俺の自作ルーターでは別サブネットのLAN構成用のIFを増設する可能性を睨んで逆にしてある(WAN=eth0, LAN=eth1)んだが、
Linux/Unix的にWAN側IFとLAN側IFの命名法にお作法があるなら、その手法と理由を
教えてくだされ…

そもそも「WAN側/LAN側」って区別はないだろう。
単に「異なる二つのネットワーク」でしかないと思うが。

主にWAN向けとして使われる想定のIFと、同様にLAN向けとして使われる想定の
IFの主従関係(無論OSから見ればそんな物は存在しないが…)みたいなのが、上みた
いになる例が多いのは何故かなと思ったワケです。ちなみにFonera+もそうなってまして…

ふむ

上げます。
WiMAXですが、NECのWM3600Rというモバイルルーターをお使いの方はいませんか?
無線LANではなくてUSBで接続して充電しながら占有したいのですが、
同メーカーのWM3500Rと違ってネットでは動作報告が見つかりません。
USBに直接接続した場合に、cdc_etherドライバーで認識されるか試せる方いらしたらお願いします。
ちなみに今のところLinuxでUSB接続できるのは、WM3500RとMobileCubeの2機種のようです。

もしかして、whoisコマンドを連続実行すると怒られる？

netstat 使うと、今現在使用中のプログラムが一覧できるけど
一瞬使って終了するプログラムは見れないです。

ネットワークを使った瞬間を捕まえる方法はありますか？

ネット回りのソースから改変して自分でビルドしてハックするとか

libpcapとか使って出来ないですかね

>>62
audit

サーバーのselinuxやiptablesを無効にしていいのですか？
サーバーを一台一台セキュリティ設定すると手間が大変だと思うので、
サーバーは無防備にしてファイアウォールで外部からのアクセスをフィルタするのがいいと感じました
初心者なのでなにが正しいのか判断が難しいです
間違っていたら教えてください

自分で判断できない人がサーバなんか立てちゃだめです。

>>66
「初心者なのでなにが正しいのか判断が難しい」のに
「一台一台セキュリティ設定すると手間が大変」
と感じるほど大量のサーバを管理してるの?

一体どんな状況なのか想像がつかない

設定するときだけ無効にするでしょ。

つか、複数のサーバに全部同じ設定するなら
同じ設定ファイルを全部のサーバにコピーするだけでいいと思うんだが

何が大変なのかな

「プロプライエタリのアプリケーションは何をやっているか見えない。
もし個人情報をどこかに勝手に送信していたら、どうするんだ？」

「君はいつも何をやっているか見えないクラウドに
個人情報を自ら送信しているじゃないか」

>>71
前者はそのアプリがアクセスできる範囲にある情報全て。
後者は送信した情報のみ。

これが同じ運用をしてるってことか。

マイクロソフト以外は信用できん。

debianの本スレはよ

セキュリティ対策はめんどくせ

OpenVASのセキュリティホールわろた。Debianパッケージがアップデートされてないからポートあいてたらドンなボットでかなり簡単に乗っ取れてしまう。

アップデートする気ないならOPENVASはしばらく停止させないかんね

iptables とか pf とか、ゴリゴリ掻くかね?
あたしゃ、もうそんなに若くないよ

メンドくさくて shorewall から乗り換えらんねー

ファイヤーウォールルール
「DNSクエリ」
・そのまま通す。
「DNSリプライ」
・Netfilterキューにパケットを送る。
・判定プログラムでこれを一旦受け取る。
・libresolvライブラリでメッセージ解析。
・ダイアログ（Xdialog）で接続先のホスト情報を表示。
・問題のIPアドレスを、動的なホワイトゾーンか動的なブラックゾーンに登録。
・判定プログラムはパケットを改めて通す。
（したがって、アプリケーションはこのIPアドレスに接続要求を出す。）
「こちら（アプリケーション）側からインターネットへの接続要求」
上のリプライ解析でホワイトゾーンに入ったアドレスはACCEPT。ブラックゾーンはREJECT。

ってな感じで、（MacOSX環境でのHands Off!的な）外向き管理のファイヤーウォールが出来た・・もよう。
iptablesは直接叩いてないが、Shorewallいいよね。

材料：
・libnetfilter_queue（NETFILTER_NETLINK_QUEUEとその他諸々）
・libresolv
・libsqlite3

DNSリプライが予想以上にキューに（多分俺が止めてるから）流れ込んできて一悶着だったんだが、
もっとスマートな機構でも用意されてないのかな。
「このアプリがここに接続しますよ」ってカーネルさんが１つずつ優しく教えてくれるような・・・

ウィルスには強いよ。それは認めよう。

でもクライムウェアに掛かれば、BiOSの設定を変えられたり、時刻を変えられたり
そういう現象はトラブルとして起きるからね。
例の通信速度設定パラメータもいじられたりする。
鈍感なLinuxユーザーは気づかない。

クライムウェアにかかればねｗ

ウイルスに強いのか？
あまり対象にされないだけじゃないのか。

質問させてください。
wLANアダプタ+hostapdによるPC-Wifiルータを作っているのですが、

・Wiredなら見える
・Wi-FiクライアントはDHCPはとれている
・Wi-Fi経由だとホストからもクライアントからもpingでもsshでも見えない
・それぞれが自己のwLAN NICにpingを投げると返ってくる
・firewallでないことは確認済み

何をみれば良いのでしょうか?アドバイスくださると幸いです。