背景 Dockerコンテナを立てたらマルウェアに感染したのでサイバーセキュリティの啓蒙を兼ねてメモ書きしてみました。 注意事項 マルウェアに感染した被害の対処方法を記述しています。マルウェア自体の機能や解析の解説ではなく一般利用者ユーザーの視点から感染経路と対応方法についての記述になります。 マルウェア感染状況 症状 Dockerコンテナを稼働させたホストのロードアベレージ(CPU負荷)が常時4を超える状況になっていました。つまり400%でホストがフル回転してた訳ですな。 例えるならエヴァンゲリオン初号機が暴走してマヤちゃんがコンソール画面に向かって叫んでいるところです(違) こうなるとクラウドサービスのAWSとかだと英文で警告アラートが飛んで来ますし毎日課金されで膨大な利用料金請求が来ることになります。恐ろしい!! 状況の調査 CPUの利用状況やメモリの使用量などを調査するツール類があり
CentOS 8 と CentOS 7 の違い、yum やミドルウェアにも要注意 - サーバー構築と設定 ~初心者にも分かりやすく解説~
2019年9月24日に CentOS 8 がリリースされます。 RedHat Enterprise Linux 8 の情報を元に、CentOS 8 で想定される変更点をまとめました。 PHP や MySQL といったミドルウェアのバージョン変更や、 サービスの追加・削除など数多くの変更が入ることになります。 RHEL 8・CentOS 8 に PHP 7.3 をインストールする(remi 使用) 2020-07-07 CentOS 8 のリリースは2019年9月24日 CentOS 8 はリリース前の状態で、現在コミュニティによる開発が行われています。 2019年7月時点では、ベースとなる「RHEL 8」のパッチ開発と検証作業が進行中です。 前回バージョンアップ時は、「RHEL 7」の27日後に「CentOS 7」がリリースされましたが、 今回の進捗を踏まえると 2019年8月~9月 頃の
Linuxにおける新たなパケットフィルタリングツール「nftables」入門 | さくらのナレッジ
たとえば、かつてiptablesで設定していたIPv4に関連するパケットフィルタリング設定は、nftablesにおいては「ip」というアドレスファミリに紐付けたテーブルを作成することで設定できる。同様に、ip6tablesやarptables、ebtablesで設定していたものはそれぞれ「ip6」や「arp」、「bridge」というアドレスファミリに紐付けたテーブルで設定する。 「inet」「および「netdev」アドレスファミリはnftablesで新たに導入されたもので、まず「inet」はIPv4およびIPv6の両方を対象にした設定を行えるアドレスファミリだ。従来IPv4とIPv6の両方にまたがったフィルタリングルールを設定したい場合はiptablesとip6tablesの両方で同じようなルールを追加する必要があったが、nftablesではinetアドレスファミリで指定することで単一の設
この記事はRed Hat DeveloperのWhat comes after ‘iptables’? Its successor, of course: nftablesを、許可をうけて翻訳したものです。 ::: By Florian Westphal October 28, 2016 ::: パフォーマンス: ユーザビリティ: nftablesとは何ですか? 何が置き換えられますか? なぜiptablesを置き換えるのか? nftablesでの高水準な機能 判断マップ(ジャンプテーブル) flow文 inetファミリー はじめる チェーンの追加 NAT 既知の制限 関連記事 nftablesは、既存のiptables、ip6tables、arptables、ebtablesを置き換えることを目指した、新たなパケット分類フレームワークです。これは、長く使われてきた ip/ip6table
ホスティング事業部MREチームでインフラエンジニアをやっている原口です。 先日、弊社の DNSサービスに対し、軽めの DDoS攻撃が来たので、その際に対応した手順を簡単にご紹介します。 DNSサービスに対する DDoS攻撃への対応について DNSサービスに対する DDoS攻撃は昔からあり、弊社でも対策を行っております。 拠点や回線を分け、冗長化を行うのはもちろんですが、各拠点で「DDoS軽減装置」と言われるアプライアンスを導入しています。これは、不正なパケットを DROP をするものですが、一般的なファイアウォールのようなルールベースではなく、学習結果をもとに、通常とは異なる傾向のアクセスがあると動作するものになっています。 今回紹介する対応は、この DDoS軽減装置をすり抜ける程度の、軽めの DDoS攻撃に対して行ったものです。 DNSサービスの構成 今回 DDoS攻撃が来たサービスでは
CentOSでOCNバーチャルコネクト
更新履歴 2023/02/19 CentOS8用のスクリプトを変更 2023/01/05 CentOS8用のスクリプトを変更 2021/10/25 2.5 性能に UDP の SNAT の動作を追記 2020/12/10 CentOS8.3で動作確認。CentOS8用のスクリプトを少し変更 2020/06/27 2.5 性能 を追加。CentOS8用のスクリプト注釈追記 2020/06/20 スクリプト修正、CentOS8用のスクリプト、ポートフォワード設定例追加等 2020/03/23 ポート数を間違っていたのでスクリプトを修正 まえおき 前回 IPv4(PPPoE) + IPv6(IPoE) の環境を作りました。今回はさらにIPv4 over IPv6を追加して、IPv4なインターネットもIPoEを使えるようにしたいと思います Linuxの知識もネットワークの知識もセキュリティの知識も
概要 ネットワーク周りでたまに触るiptablesですが、たまになせいで度々忘れてググり直すことが多いので理解しやすいよう図を作ってみました。 iptablesの仕組みを図解 iptablesの構成図 iptablesは以下のように iptables -> Tables -> Chains -> Rules という構成をとっています。 なのでCLIの書き方も # iptables -t {テーブル名} -コマンド {チェーン名} {ルール} といった形で順に指定するフォーマットで書きます。 テーブル テーブルには以下の4つ種類があります。 filterテーブル natテーブル mangleテーブル rawテーブル 各テーブルでは図のようにそれぞれがチェインを持っています。チェインはユーザが独自に定義することも可能です。 それぞれのチェインは初期状態では特にルールを持っておらず、基本ポリシー
iptables から理解する Istio 1.10 から変更された Inbound Forwarding | メルカリエンジニアリング
表を見ていただくと分かるように今回の変更によって Istio 1.10 以降は Istio なしの場合と挙動も変わらないため、認知負荷も減り今までよりも Istio を採用しやくなったのではないでしょうか。 ここまで Istio 1.10 から変更になった Inbound Fowarding の内容を見てきました。 次にこの変更によって私達のサービスに起きた問題を共有していきます。 起きた問題 今回の変更によってアプリケーションが動かなくなるケースとしては、アプリケーションが lo にのみ bind している場合です。 Istio ではこれを事前にチェックするためのコマンドを用意しており istioctl experimental precheck を実行します。 該当する Pod がある場合には IST0143 という message code が出力されます。 該当する Pod があっ
さくらインターネットのSRE室で室長を務めている長野です。 前編の記事では、DNSサーバへの攻撃手法や、実際に発生したさくらのクラウドのDNSアプライアンスへの攻撃の様子を紹介しました。それに続く本記事では、このような攻撃に対してどのような対策を行ってきたかを紹介します。 水責め攻撃への対応と対策 ではここから、最初の攻撃が去年の夏にあってから、どういう対応と対策をしてきたのかを紹介したいと思います。 スタンバイ側のVRRPデーモンの停止 初回を思い出すと、CPU負荷が非常に上がり、100%近いCPUを使うようになって名前解決が遅延し、タイムアウトしたというのが、最初のアラートとして上がりました。 その中でよくよく調べると、VRRPで冗長化をしているのですけれども、その切り替えがパタパタ発生していたんですね。PowerDNSが落ちてしまった、タイムアウトしたというので切り替わります。ところ
【OSS】ファイアウォール設定管理ツール「Firewall Builder」---シンプルGUI、高度な抽象化機能 OSS×クラウド最新TOPICS 2019年5月29日 11:08 オープンソースのファイアウォール設定管理ツール「Firewall Builder」を紹介。 「Firewall Builder」とは 「Firewall Builder」は、GUIベースのファイアウォール設定および管理ツール。 単一アプリケーションで複数のファイアウォールを管理できる。 http://fwbuilder.sourceforge.net/ 動作環境 Firewall Builderは以下の主要なOS上で動作する。 ・Red Hat ・SUSE ・FreeBSD ・MacOS X ・Windows など シンプルGUI Firewall Builder GUIはシンプルなインターフェースを提供する
This article uses Istio's official bookinfo example to explain how Envoy performs routing forwarding after the traffic entering the Pod and forwarded to Envoy sidecar by iptables, detailing the inbound and outbound processing. For a detailed analysis of traffic interception, see Understanding Envoy Sidecar Proxy Injection and Traffic Interception in Istio Service Mesh. NOTE: This blog is mostly tr
はじめに netfilterについて少し調べてみました。 いろいろと認識の相違があったことがわかったので、記録します。 認識の相違 CentOS8(に限らずだけど)では、以下のことがわかった。 iptablesはiptablesではなくnftablesである firewall-cmdで設定したルールはiptablesでは表示されない すべてのルール確認はnftを使う Linuxでのパケットの流れについて netfilterはLinuxでパケットの処理をする基本ルール インタフェイスで受信したパケットがどんな処理をされていくか、というやつです。 netfilter.orgによると、 netfilterは、カーネルモジュールがネットワークスタックにコールバック関数を登録できるようにするLinuxカーネル内の一連のフックです。登録されたコールバック関数は、ネットワークスタック内の各フックを通過す
Ciliumのkube-proxy置き換えをGKEで試してみた | GRIPHONE ENGINEER'S BLOG
SREの徳田です。 今回はCiliumのv1.7からGAになったKubernetes without kube-proxyのタイトルで出てる、Ciliumによるkube-proxyの置き換えの機能をGKE上で試してみようと思います。 Ciliumとは こちら の記事の後半を見てみると若干書いてあります😌 要はBPFを使いこなし、Blazing Performanceで処理するぞ💪というProductです。 概要についてはこの記事からそれるのでリンクだけおいておきます。 https://cilium.io/ クラスタの準備 それではGKEのクラスタの準備をしましょう。 google-cloud-sdk とGCPに対しての認証とプロジェクトの指定は終わらせているものとします。 CLUSTER_NAME=cilium-cluster CLUSTER_ZONE=asia-northeast1-
iptablesでNATする - Qiita
iptablesでNAPTする TRexのDUTとしてUbuntu 18.10を選び、いろいろと試そうとしたときのメモ。TRexでNAPTでの戻り通信がどう処理されるのか検証するため、iptablesでのNAPT手法を調査した。 そもそものTRex環境構築はこちらを参照. 基本的なところ Statusを見る -L 現行の設定を表示。ただし、tableを指定しないとfilter tableが表示される。natを見たいなら、-t natもつけてあげる必要がある。 $ sudo iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy
はじめに タイトルについてのトラブルシュートに際して調査を行ったところ、案外本件にクリティカルに言及する記事が少なかったため記事にさせていただきました。 事象 CentOS7にLinux Bridgeを作成し、配下にdockerコンテナをアサインして疎通確認したところ疎通を行うことができなかった。 結論 Linux Bridgeはbridgeというカーネルモジュールを使って動作しているが、そののセキュリティはbr_netfilter(bridgeと依存関係)というカーネルモジュールで管理されており、br_netfilterはiptalesの設定を見て通信を制御している。そのため以下いずれかを行うことで疎通が行えるようになる。 ①Bridge Netfilterを無効化する ②iptablesに許可設定を行う 検証環境 OS:CentOS 7.5 Kernel Ver:3.10.0-862.
2019-05-02 TL;DR IPVSはデフォルトでconntrack(標準のconnection tracking)を利用しない そのせいでIPVSに処理させるパケットをNATしたりすると期待通り動かないことがある 必要があれば /proc/sys/net/ipv4/vs/conntrack (net.ipv4.vs.conntrack) を設定しよう 背景 iptablesの DNAT targetと IPVS(LVS/NAT構成)を共存させると上手く行かない PREROUTING chainにおいて REDIRECT target によりポート番号をIPVSのvirtual serviceのものに変換するように設定した場合, REDIRECTされるポートに対し接続すると, 戻り通信(SYNに対するSYN+ACK)の送信元ポートがvirtual serviceのものになる(期待され
Docker実践〜dockerコンテナに外部からアクセスするためにポートフォワード設定を追加する - sagantaf
はじめに コンテナを構築した後、アプリケーションを追加したりして、 「新たなポートを使って外部からコンテナにアクセスしたい!」 「でもコンテナを作り直したくない!」 となった時、コンテナを止めずにポートフォワード設定を追加する方法を書きます。 また、誤って設定してしまった時の設定削除方法も最後の方に記載しています。 Dockerのポートフォワードの設定 Dockerのポートフォワードの設定は、コンテナ起動時などに-pオプションを使って設定できますが、裏ではiptablesで実現されています。 そのため、今回のように稼働しているコンテナのポートを追加する時もiptablesのNATとFilteringの設定を編集します。 1. まずはコンテナのIPアドレスを確認する 設定を追加したいコンテナ名をhogeとすると、 $ docker inspect --format '{{ .NetworkS
こんにちは。次世代システム研究室のM.Mです。 現在、Kubernetes, Docker構成で作られたWebアプリの開発を担当しているのですが、そのWebアプリの開発ではあまり環境構築周りを担当していなかったため、Kubernetesについてあまり理解できていませんでした。 そして今回、古くなった他のWebアプリをKubernetes, Docker構成に移行するプロジェクトを担当することになり、現在担当しているWebアプリのKubernetesの設定を確認しつつ理解を深めていくことにしました。 まず気になっていたKubernetesのServiceについて調べてみることにしました。 今回、利用しているのはNodePort Serviceです。 目次 KubernetesのServiceの何が気になっていたのか? Serviceの動きについて Serviceの動きの制御について Kube
はじめに Docker上で開発や検証を行っている時に、後からこのポート使いたかったのに既にコンテナをrunしちゃったから削除して新規に立ち上げなきゃみたいな経験がおありでしょうか。自分は何度もありまして、Dockerは裏側ではポートフォワーディングしているだけだから、後から追加で設定が出来てもおかしく無いのにと思いながらも、恥ずかしい話、毎回毎回コンテナを作り直しておりました。結論から言うとポートフォワード を後から追加設定する方法はあります。 ※ホスト8001をコンテナ8888に転送する場合 # docker inspect --format '{{ .NetworkSettings.IPAddress }}' 【コンテナ名】 172.17.0.2 # NAT設定 # iptables -t nat -A DOCKER ! -i docker0 -p tcp -m tcp --dport
iptables-persistent / netfilter-persistent を理解する - j3iiifn’s blog
Ubuntu 18.04.2でNetfilterルールを自動でリストアするために、iptables-persistent / netfilter-persistentを使うことにした。 その内部処理を調べたのでまとめてみる。 動作確認環境 Ubuntu 18.04.2 $ dpkg -l | grep persistent ii iptables-persistent 1.0.4+nmu2 all boot-time loader for netfilter rules, iptables plugin ii netfilter-persistent 1.0.4+nmu2 all boot-time loader for netfilter configuration インストール方法 sudo apt install iptables-persistent 依存関係で netfilter
Japanese translation v.1.0.1 Copyright © 2001-2006 Oskar Andreasson Copyright © 2005-2008 Tatsuya Nonogaki この文書を、フリーソフトウェア財団発行の GNU フリー文書利用許諾契約書バージョン1.1 が定める条件の下で複製、頒布、あるいは改変することを許可する。序文とその副章は変更不可部分であり、「Original Author: Oskar Andreasson」は表カバーテキスト、裏カバーテキストは指定しない。この利用許諾契約書の複製物は「GNU フリー文書利用許諾契約書」という章に含まれている。 このチュートリアルに含まれるすべてのスクリプトはフリーソフトウェアです。あなたはこれを、フリーソフトウェア財団によって発行された GNU 一般公衆利用許諾契約書バージョン2の定める条件の
環境 設定するところ : CentOS release 6.9 (Final) iptables v1.4.7 転送先 : AWS上の他のLinuxインスタンス 何?iptablesって? iptablesはファイアウォールとパケット転送ができる NATはプライベートIPアドレスとパブリックIPアドレスを組合せで変換してくれる CentOS7からはiptablesではなくてfirewalldになった iptablesからfirewalldへ | CentOS7ではじめるサーバー構築入門 とはいえ今回はCentOS6なのでiptablesに設定する 準備 iptablesが有効になっていることを確認する 参考 : しがないプログラマーの備忘録: iptablesサービスの起動状態を確認する方法 # こんな感じに表示されると起動されているらしい $ sudo /etc/rc.d/init.d/
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Dockerコンテナのpostgresqlがマルウェアに感染した件について - Qiita
iptablesの後に来るものは何か?: nftables - 赤帽エンジニアブログ
特定ドメインに対する大量の DNSクエリを DROP する - Pepabo Tech Portal
iptablesの仕組みを図解 - Carpe Diem
DNS権威サーバのクラウドサービス向けに行われた攻撃および対策 〜後編〜 | さくらのナレッジ
【OSS】ファイアウォール設定管理ツール「Firewall Builder」---シンプルGUI、高度な抽象化機能
Understanding How Envoy Sidecar Intercept and Route Traffic in Istio Service Mesh
netfilterとfirewalldとiptablesとnftablesの関係 - Qiita
Linux Bridgeを介した通信ができない - Qiita
IPVS (LVS/NAT) とiptables DNAT targetの共存について調べた - ntoofu
KubernetesのServiceの動きを調べてみた - GMOインターネットグループ グループ研究開発本部
iptablesでfirewall設定~Dockerのポートフォワードを後から変える方法~ – 百蔵の部屋
Iptablesチュートリアル 1.2.2
iptablesを使ってポートフォワードをする - Qiita