iptablesで鉄壁?の守りを実現する3つのTips|TechRacho by BPS株式会社
iptablesでサーバを守るときに知っておくと良いことを3つ紹介します 1. 接続回数を制限する(IPアドレスごと) hash_limitを使います これにより特定ホストからの大量アクセス、DoS攻撃を緩和することが可能です 例 2. 接続回数を制限する(サービスごと) limitを使って制限します これにより多数のホストからの攻撃、DDoS攻撃を緩和します limitを使った制限は全ホストが等しく制限を受けるため、ssh等に設定すべきではありません。 (攻撃を受けている間は自分たちも制限されるため) Webサーバが大量アクセスで落ちそうな場合は使えるんじゃないでしょうか? 例 3. 接続IPアドレスを限定する IPアドレスの国別割り当てをAPNIC等から取得してコマンドを作ります この手のルールは長くなるので、ユーザー定義チェインにしたほうが見やすくなります 例 あとはこんな感じのスク
CentOS で行なっておきたいセキュリティ設定: ある SE のつぶやき
はじめに Linux のセキュリティ設定ってなかなかまとまったものがないので、いろんなサイトを参考にしながら設定をまとめてみました。想定はWeb サーバーで、使用している Linux は CentOS 6.2 です。 設定内容は以下のようになります。 全パッケージのアップデート リモートからの root ログインを無効にする 公開鍵暗号方式を使用した SSH ログイン設定 iptables 設定 SSH ポート番号の変更 不要なサービスを停止 ログ監視設定 ファイル改ざん検知ツール設定 ウィルス対策ソフト設定 Apache の設定 全パッケージのアップデート 最初に以下のコマンドを実行して、全パッケージを最新の状態にする。 # yum –y update 後は脆弱性が発見された時、または定期的にパッケージのアップデートを行う。 リモートからの root ログインを無効にする リモートからメ
仙石浩明の日記: Android 端末 IS01 のカーネルを入れ替えてみた 〜 さよならデッカード LSM
先週末 IS01 で root 権限が必要なアプリが使えるようになったばかりなのに、 そのわずか 4日後、 スマートフォン@2ch掲示板に以下の書き込みがあり、 カーネル空間への侵入口が明らかにされてしまった。 一番乗りを果たした goroh_kun さんに敬意を表しつつも、 IS01 のプロテクトがこの程度だったことが残念でもある。 「root を取られても大丈夫な作りになっている」 と開発者が豪語し、 しかも IS01 の発売から 5ヶ月間も破られなかったのだから、 さぞかし鉄壁の守りなのだろうと思っていたのに、 こんな分かりやすい穴があったとわ... (負け惜しみ ^^;)。 【ROM焼き】au IS01 root2 〜わたくし達も未来へ〜 ... 317 :goroh_kun:2010/12/01(水) 03:14:21 ID:LGLTLBmZ 自動起動仕込むところを大体見つけまし
Exec-Shieldの設定
Exec-Shieldとはバッファオーバーフロー攻撃を防御する仕組みです。 プログラムのバグを利用してプロセスを乗っ取る攻撃はいくつか存在しますが、 バッファオーバーフローはそのうちの1つの手法です。 プログラムのバグを狙った攻撃を回避する一番の方法は、パッチを適用することです。 ただ、まだ見つかっていないバグに対する攻撃に対しては、パッチはもちろん提供されていないので 回避することはできません。このような潜在的な攻撃への対処として、力を発揮するのが Exec-Shieldです。 ただ、Exec-Shieldは万能ではありませんので、Exec-Shieldがあるからと言って、パッチの適用を 放置したりとかは絶対にしないでください。またバッファオーバーフローの防御に関しても 確実に防げるわけでは無いので、これまた安心してはいけません。 Exec-Shieldを有効にする 実
Linuxカーネル2.6系にroot権限を奪われる脆弱性が発見される | スラド Linux
Linuxカーネル2.6.17が公開されたのが、まぁぐぐると一瞬で分かるのですが 昨年……じゃないや一昨年の2006年6月17日ですね。(いまだに2007年脳) 2.6.24.1は今年の2月8日(ってまだ3日前か)にリリースされた最新版。 で、The Linux Kernel Archives [kernel.org]を見ると2.6.25 RC版が出ている模様。 参考:2.6.25 RC版のChangelog [kernel.org] これには本件の修正も含まれているようです。 以下にChangelogから該当部分と思われる部分を、メールアドレス等の行は削除して引用。 >commit 8811930dc74a503415b35c4a79d14fb0b408a361 >Date: Fri Feb 8 08:49:14 2008 -0800 > > splice: missing user p
仙石浩明の日記: chroot されたディレクトリから脱出してみる
要約すれば、 「chrootなんて簡単に抜けられるからセキュリティ目的で使っても意味ないよ。」 ってことね。そうだったのか。 そうだったのか orz Note that this call does not change the current working directory, so that `.' can be outside the tree rooted at `/'. In particular, the super-user can escape from a `chroot jail' by doing `mkdir foo; chroot foo; cd ..'. chroot するときは、そのディレクトリへ chdir しておくのが常識と 思っていたので気づいていなかった。 つまり、 故意にカレントディレクトリを chroot 外へもっていけば、 chroot された
SELinuxの出自とキソのキソ - @IT
第1回 SELinuxの出自とキソのキソ 古田 真己 サイオステクノロジー株式会社 インフラストラクチャービジネスユニット Linuxテクノロジー部 OSSテクノロジーグループ 2005/11/25 SELinuxのアーキテクチャは、もともとアメリカの国家安全保障局(NSA:National Security Agency)とSCC(Secure Computing Corporation)において、強制アクセス制御(MAC:Mandatory Access Control)の研究のためにFlukeというOS上で開発されました。1992年に始まったこの研究を経て2000年にGPLで一般公開されたSELinuxは、いまセキュアOSとして非常に注目を集めています。 この連載ではSELinuxの最新動向を追っていく予定です。1回目となる今回はSELinuxの出自と基礎の確認からしていきます。 S
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IBM Developer