メイン | 2004年11月 »

2004年01月23日

自宅サーバーを停止しました

2004/1/23 FreeBSD による自宅サーバーを停止しました。
自宅サーバーは、
OS: FreeBSD 4.6.2 ルーター:MN128-SOHO SL10 回線: ISDN
メールサーバ: qmail DNS: BIND9 ISP: Interlink 固定IP一個

でした。ポータルサイトには PHP-Nuke をインストールし、
初心者のための自宅サーバーの作り方
FreeBSD+bind9+qmail+MySQL+PHP-Nuke
の名称でした。

すべての情報を MOVABLE TYPE にコピーしました(本サイト)。
WWW,MySQLサーバーは Xrea com さんです。
Movable Type, Xrea.com については、
こちら をご覧下さい。

本カテゴリー FreeBSD のトラックバックURL:
http://medqa.net/mt3n/mt-tb.cgi/24

よろしくお願いいたします。

投稿者 support : 15:39 | コメント (0) | トラックバック

2004年01月22日

インターネットで利用できるグループウエアとセキュリティ勧告

[作成日 2003-04-02 21:51:15]
グループウエアとセキュリティ勧告について

アットマーク・アイティ社グループウェアリンク集 をご覧下さい。
ASP とは Application Service Provider の略称です。

また、フクミ・メディカルメディア 小菅 博之氏の グループウエア(WEBベース) の比較調査レポートは必見の価値があります。
パソコン館「新館」からもアクセスできます。

ASPとは、各種アプリケーションソフトによるサービスを提供する事業者のことで、グループウエアの他、電子商取引(EC)などの業務系アプリケーション、情報系アプリケーション、ERP ( Enterprise Resource Planning 統合業務パッケージ ) などをフリー、有償で提供しています。因みに、インターネットへの接続サービスを提供する事業者は ISP (Internet Service Provider) です。
最近の特徴として、グループウエアなどのアプリケーションソフトは Webサーバー上で作動し、クライアントはインターネット経由で Webブラウザにてアクセスできるものが増えていることです。よって、ソフトウエアにバグがあると、社外に(=全世界に) 企業情報や顧客情報が容易に漏えいします。実例の1つは、http://staff.aist.go.jp/takagi.hiromitsu/ 近況 2003.3.24 iOfficeとdesknet'sにパスワードなしでログインできるセキュリティ・ホール などです。

CERT/CC Vulnerability Disclosure Policy CERT/CC 脆弱性(セキュリティホール)公開ポリシー では、下記のとおり、修正パッチなどベンダーの対応状況にお構いなしに、第一報受付 45日後 には勧告文が発表されます。セキュリティホールの内容により、公開が早まる・遅くなることがあります。
All vulnerabilities reported to the CERT/CC will be disclosed to the public 45 days after the initial report, regardless of the existence or availability of patches or workarounds from affected vendors.
なお、本家 CERT/CC は米国の公的機関ですが、日本の JPCERT/CC コンピュータ緊急対応センター は、民間の非営利団体で、特定の政府機関や企業からは独立し、中立の組織として活動しているとのことです。



[作成日 2003-04-09 11:53:01]
情報セキュリティの国際規格 ISMS について

情報セキュリティのマネージメントにおいて現在最も信頼できる企業とは?
インターネット・ネットワークにおいて「セキュリティ対策は100%完璧である」と宣言できる個人・企業はあり得ませんが、第三者機構による情報セキュリティ監査 audit を受け、国際的な認証を取得している企業は実在します。セキュリティ管理・対策の重要性を企業トップが認識して、事業として継続していること、および、その体制が確立していることの証明でもあります。
情報セキュリティについては、経営システムの国際規格 ISMS Information Security Management System が有名です。
現在、BS 7799 Part 2:1999, ISO/IEC 17799:2000 とよばれる基準が採用されています。
国際的に認証されている企業名は、ISMS International User GroupINTERNATIONAL REGISTER DIRECTORY をご覧下さい。
日本も上記の国際基準に準拠しています( JIS X 5080 )。
2002年から、財団法人 日本情報処理開発協会 JIPDEC が中心となり、監査、認証などを実施しています。
2003年4月1日から、経済産業省は「情報セキュリティ監査制度」の運用を開始しています。
なお、前身の国内セキュリティ制度である旧安対事業者制度(情報処理サービス業情報システム安全対策実施事業所認定制度)は 2001年3月に廃止されてます。
国内での ISMS 認証取得事業者 は (2003年4月9日現在) 105社が登録されています。銀行では、ソニー銀行株式会社、りそな銀行グループの総合情報サービス会社など少数。ASP (Application Service provider), ISP (Internet Service provider) では、NTT,日本電気,富士通など・・・。

投稿者 support : 16:04 | コメント (0) | トラックバック

arp: *** moved from *** to *** について

[作成日 2004-01-21 15:04:40]

arp: %d.%d.%d.%d moved from %x:%x:%x:%x:%x:%x to %x:%x:%x:%x:%x:%x:
ARP (あーぷ:Address Resolution Protocol)
arp とはアドレス解決プロトコルとよばれ、MACアドレスとIPアドレスとの関連づけを行うためのプロトコルです。イーサネットにはIPアドレスとは別のMACアドレスというものがあり、世界中のイーサネットで他ノードとアドレスの競合が起こらないように、LANカードなどのインターフェースに割り当てられています。
MACアドレスとIPアドレスとの関連付け、つまり ARPテーブル(「ARPキャッシュ」ともいいます)の情報が変更されるとkernel log messages に以下のように表示されます。

arp: 192.168.0.%d. (1) moved from 00:%x:%x:18:94:00 (2) to 00:90:%x:%x:%x:%x:%x (3) on fxp0(4)

インターフェース、エントリーの (1) IPアドレス (2) (3)MACアドレス (4) タイプ が表示されます。
ただし、sysctl にて、
net.link.ether.inet.log_arp_movements が 1 に設定されていなければ表示されません(デフォルト値です)。
確認方法⇒コマンド sysctl -a

http://www.freebsd.org/cgi/man.cgi?query=sysctl&apropos=0&sektion=8&manpath=FreeBSD+5.3-RELEASE&format=html
その原因については、
【FreeBSD Kernel Interfaces Manual】⇒【DIAGNOSTICS】
http://www.freebsd.org/cgi/man.cgi?query=arp&sektion=4&apropos=0&man
path=FreeBSD+5.3-RELEASE
では、
ARP had a cached value for the ethernet address of the referenced host, but received a reply indicating that the host is at a new address. This can happen normally when host hardware addresses change, or when a mobile node arrives or leaves the local subnet. It can also indicate a problem with proxy ARP. This message can only be issued if the sysctl net.link.ether.inet.log_arp_movements is set to 1, which is the system's default behaviour.
と説明がなされています。URLの一部 FreeBSD+5.3-RELEASE は使用中のOSバージョンに変換します(たぶん文章は同じです)。
ARP の情報は通常、動的なもの(一時的にキャッシュされただけ)であり、MAC アドレス変更後に旧情報は削除されます。但し、arp コマンドを利用し、静的に付加すると、変更できなくなります。
FreeBSDサーバと通信するハードウエア(イーサーネット)を交換した後やモーバイルノードであれば MACアドレスは変化しますが、他にローカルネットワーク侵入者の sniffing 操作の可能性もあります。
ネットワークのパケットモニターについては、シェアウエア network sniffer VIGILをおすすめいたします。
「Proxy ARP」などの詳細情報については、
http://www.atmarkit.co.jp/fnetwork/netcom/arp/arp.html
をご覧下さい。

最近(2004年)、FreeBSD関連のメーリングリストに投稿された質疑(参考)
http://docs.freebsd.org/cgi/mid.cgi?09bd01c3ddbc$9f829070$fa10fea9
(複数回答) Re: arp problem in /var/log/messages
(投稿)Jan 18 Spades arp problem in /var/log/messages
もご覧ください。
CATV, cable modem network と接続したインターフェース上では、起こりうるとの回答があります。

「FreeBSD: arp テーブル溢れに対するセキュリティアドバイザリの発行」
http://slashdot.jp/bsd/03/09/25/072212.shtml?topic=92
でお分かりのように、短時間に多くの arp 要求が送られると、システムのリソース不足を招きシステムが停止するとのことであり、kernel log messagesが多発するネットワーク環境であれば、速やかに、

1. セキュリティパッチによりarp テーブル溢れに対する対策を行う。
2. インターフェース、サーバへの負荷軽減を考える。
3. 移動先のMAC addressが sniffingなどの不正アクセスでないか確認する(たとえば、CATVなどのISPに問合わせる)。

などが必要と考えます。

参考:
「MACアドレス(イーサネット・アドレス)」のメーカ番号を照会するサイト
http://www.coffer.com/mac_find/
たとえば、Prefix 00:50:0fのベンダーは Cisco device 00:50:0f:%x:%x:%x
ですが、Cisco 製品は 00:03:31などのPrefixもあります。
http://www.cisco.com/japanese/warp/public/3/jp/

投稿者 support : 16:02 | コメント (0) | トラックバック

FreeBSD サーバで使用できるアンチウィルスソフトウェア

[作成日 2003-11-30 20:56:20]

FreeBSD サーバで使用できる有名なフリーのアンチウィルスソフトウェアは、
Sophos Anti-Virus for Unix
AntiVir FreeBSD Server
です。
しかし、Sophos Anti-Virus for Unix は FreeBSD 4.X 5.X に対応する正式評価版はなく、FreeBSD 3.X以降のOSでは、ライブラリー libc.so.* 等のインストールが別途必要となります。
よって、最近では、H+BEDV Datentechnik GmbH 社 サーバ用ソフトウエア「AntiVir FreeBSD Server」を紹介するページが多いようです。
下のリンクをクリックして下さい。使用方法を簡単に解説しました。




最新版 avfbsrv.tgz [Version 2.0.8-15 1.4 MB (2003-10-13)] をインストール後、オンラインでユーザー登録 Registration Form すると、ライセンスキー hbedv.key がメールに添付送信されます。1年間程無料でアップデート可能となります。
Registration Form の入力時、
* Herewith I confirm that I exclusively use AntiVir for Linux for private, non-commercial purposes.
に必ずチェックを入れます。
GZIP 圧縮の avfbsrv.tgz を コマンド pkg_add ではなく、以下のように展開後インストールします。
# gzip -cd avfbsrv.tgz | tar xvf -
(または # tar pzxvf avfbsrv.tgz)
# cd antivir-server-VERSION
# ./install
設定については、
fkimura's ほーむぺーじ
山本 道成さんのページ
を参照して下さい。初期設定終了後にアップデート等できます。
ライセンスキーをコピーします。
# cp -i hbedv.key /usr/lib/AntiVir/
実行コマンドとオプション
ウイルス定義ファイル antivir.vdf の更新、アップデート
# /usr/lib/AntiVir/antivir -q --update
サーバ内の全ファイルのウイルスチェック
(ルートディレクトリに戻り)
# cd /

# /usr/lib/AntiVir/antivir -s --allfiles
圧縮ファイル内をスキャンする
# /usr/lib/AntiVir/antivir -z
ファイルを修復し、感染ファイルを削除する(可能ならば)
# /usr/lib/AntiVir/antivir -e -del
ファイルを修復し、感染ファイルを別名で保存する(可能ならば)
# /usr/lib/AntiVir/antivir -e -ren

投稿者 support : 16:00 | コメント (0) | トラックバック

セキュアなメール送受信とウイルスチェックサービス

[作成日 2003-11-30 15:54:57]
暗号・電子署名を用いるセキュアなメール送受信とウイルスチェックサービス

S/MIME、PGP/MIMEメールを利用すると、ウイルスチェックサービス対象外となってしまうというセキュリティ上の基本的な問題が発生します。電子署名など利用の際、ご注意ください。
フリーソフト GnuPG (03/11/30 MS-Windows版 最新バイナリ gnupg-w32cli-1.2.3.zip) の使用法について 補足 をアップロードいたしました。
Becky! Internet Mail のバージョン2には便利なプラグイン機能があります。Yasuhiro ARAKAWAさんのフリーソフトウェア BkGnuPG をインストール(2つのファイル BKGnuPG.dllとBKGNU.ini を指定プラグインフォルダにコピー)します。インストール、設定については GNU Privacy Guard Plug-in for Becky! 2 をご覧下さい。
GnuPGを先にインストールしますと、PGP/MIME メール利用可能となります。(注) 電子証明書(デジタルID)によるS/MIMEメールは、PGPないしGnuPG暗号化とは全く異なる方法で、GnuPG は使用しません。Becky用 S/MIMEプラグインは、Becky! S/MIME Plug-inのページ をご覧下さい。
[作成日 2004-01-25 11:38:14]
日本認証サービス株式会社 http://www.jcsinc.co.jp/ の電子証明書を利用する場合、クライアントPCのOS、メールソフトをご確認下さい。⇒対応可能なメールソフト(MUA)について

投稿者 support : 15:58 | コメント (0) | トラックバック

HTTP_REFERER を吐かない(サーバに送らない)方法

[作成日 2003-04-23 21:07:14]

ハイパーリンク部分をクリックすると、ブラウザは"リンク元ページのURL"を"リンク先のページを運営するサーバ"に送ります。このデータを環境変数 HTTP_REFERER (インターネット用語 :俗語 リファー) といいます。「このページを見る前はあのページを見ていましたね」ということが簡単に知られてしまいます。
Referer リクエストヘッダの除去のページ Referer を削除する具体的な方法? を参照して下さい。
Netscape 7.02 Windows版では、ブラウザを終了して、
C:¥Program Files¥Netscape¥Netscape¥defaults¥pref¥all.js をバックアップ保存後、テキストエディタで編集します。 ⇒ 解説ページは こちら です。

投稿者 support : 15:57 | コメント (0) | トラックバック

PostgreSQL 7.3 のオプション指定とセキュリティについて

[作成日 2003-04-16 20:41:37]

注: このエントリーの内容が原因となり、
http://feedvalidator.org/
による atom.xml のvalidity が得られません。よって、内容は、別ページ
http://medqa.net/archives/atom19.html
に移動いたしました。

投稿者 support : 15:56 | コメント (0)

PHP-Nukeのバージョンアップ手順

[作成日 2003-04-13 20:53:40]

PHP-Nukeのバージョンアップ手順 ( 6.0 ⇒ 6.9)
いろいろな理由で半年ほどホームページのファイル更新ができませんでした。
2003/11/30から編集を再開しました。
PHP-Nuke 6.9 ( 4.32MB) が公開されました ( 2003/9/27 )。
PHP-Nuke本家サイトには日本語モジュールはありませんので、日本語版を提供する国内サイトからダウンロード(または、言語ファイルなどを編集)します。
バージョンアップ(上書きインストール)の手順
アップグレードの基本操作 および
6.5⇒6.9 変更点 です。
その他のアップデートファイルは こちら でご覧下さい。

投稿者 support : 15:54 | コメント (0) | トラックバック

SQL Injection (SQL コードの注入) 攻撃

[作成日 2003-04-10 16:58:23]

SQL Injection Attacks について
データベースサーバーを利用するWebページでは、「SQL コードの注入攻撃に脆弱 SQL Injection Vulnerability 」であると、ブラウザの URL 欄やログイン欄などに(たとえば、シングルクオート(  '  )1つ入力する single quote trick )トリックを行なうだけで、データベースの顧客情報を奪取する、Webページを改竄する、などの不正アクセス行為が可能となります。実際には様々なトリックがありますので、
たとえば、http://www.securityfocus.com/ のメニューバー UNIX (ないし、Microsoft) VULNERABILITY をクリックして、discussion (解説)   exploit(攻撃コード)   solution (対策) などを毎日チェックします。⇒解説ページは こちら です

投稿者 support : 15:54 | コメント (0) | トラックバック

rsync,ssh 暗号化送信によるミラーリング

[作成日 2003-03-28 13:47:37]

バックアップツール rsync は、特に同期機能に優れたオープンソースのフリーソフトです。リモート-ホスト間で ssh による暗号送信を利用し、rsync コマンド を cron で実行させると、複数サーバのファイルの同期( ミラーリング )が容易です( ssh 関連ファイルもご一読ください)。

rsync.samba.org のダウンロードサイトから、最新版を入手します (03/04/11 現在 rsync-2.5.6.tar.gz) 。
インストールはとても簡単です。⇒ こちら です。

投稿者 support : 15:51 | コメント (0) | トラックバック

OpenSSHによるセキュアなデータ転送

[作成日 2003-03-28 12:49:27]

セキュアなデータ転送のためにこちらをご一読下さい。
OpenSSH には以下のようなメリットもあります。
クライアントPC Windows に WinSCP をインストールすると、簡単に scp (secure copy) が利用できるようになります。scp はとても便利なコマンドですので、SSHサーバに対しては Windowsであっても ftp は不要となるはずです。

ssh, slogin, scp, sftp は、デフォルトでは接続時にパスフレーズの入力を必ず要求されます。しかし、SSH で使われる認証方法のうち、公開鍵認証ないしホストベース認証を利用すると、パスフレーズの入力を省略できます。

SSHのポートフォワーディング機能による強固なVPN
[作成日 2003-03-28 12:50:17]

インターネット上で無断傍受や改ざんができない仮想的なネットワークを VPN ( Virtual Private Network )といいます。SSH のポートフォワーディング機能を利用すれば フリーソフトだけで強固な VPN を簡単に構築することができます。今回、SSH のポートフォワーディングを利用し、メール受信(POP3 ポート),メール送信( SMTPポート) の双方向パケットを完全暗号化するための手順をお伝えいたします。
ローカルポート:8000(任意), リモートポート:80( Webポート)などと設定すれば、他ポートのフォワーディングも可能です。
Windows 用フリーソフト[ Tera Term Pro, TTSSH, TTSSH 1.5.4 日本語版, PortForwarder ]をインストール後、SSH1 を利用します。 ⇒ こちら です
よりセキュアーなプロトコル SSH2を利用する場合、PuTTY を実行します。 ⇒ こちら です

投稿者 support : 15:50 | コメント (0) | トラックバック

クロスサイトスクリプティング( XSS, CSS)の深刻な問題

[作成日 2003-03-09 16:10:19]

あなたの個人情報は、ホームページの画面に入力しただけで、巧妙な手口により、盗まれるかもしれません。
Webアプリケーションのセキュリティホール XSS 「クロスサイトスクリプティング」を狙った攻撃について、問題点を列記しました。
解説ページは こちら です。

投稿者 support : 15:49 | コメント (0) | トラックバック

カーネル再構築

[作成日 2003-03-07 11:30:09]

FreeBSD 5.0では、カーネルは /boot/kernel、バックアップは /boot/kernel.old となります。boot 関連のファイル、boot loader(8)、設定ファイルも /boot に保存されます。カスタムされたモジュールは /boot/modules に移動することがありますので、カーネルと同期していないと、不安定になります。 初心者が FreeBSD 5.0 のカーネルを運用するには、5-STABLE 開発ブランチが作成された後が無難です ので、たとえば、5.1-RELEASE ないし 5.2-RELEASE の公開頃に OSインストールをおすすめいたします。
FreeBSD 4.X 3.X 2.X の方は こちら です。

投稿者 support : 15:48 | コメント (0) | トラックバック

ポートスキャンで開始されるサーバー攻撃を予防するために

[作成日 2003-03-05 19:30:34]

ポートスキャンツールについて
Unix系においても作動する nmap をダウンロードします。本ツールは高性能、オープンソースのフリーソフトです。クラッカー行為 ないし 悪意のないハッカー行為として、他人や他社のネットワークを探査することも可能ですが、自宅・自社サーバーのセキュリティーチェックのために利用して下さい。
サーバー内の 65535個に及ぶ tcp ポートなどをスキャンし、オープンポートなど表示します。
インストール方法
% gzip -cd nmap-VERSION.tgz | tar xvf -
% cd nmap-VERSION
% ./configure
% make
% su root
# make install

使用方法は(たとえば、/home/user/にインストールしたとき)、
% /home/user/nmap-3.00/nmap -o portscan20030303.txt localhost

(txtファイルなどに書き込むときのオプションは、小文字のオー o )です。
オプションなどのヘルプは、

% /home/user/nmap-3.00/nmap -h
で一覧表示されます。

検出されたポートの説明 ⇒Internet Security Systems 邦訳されたサイト ⇒ 東陽テクニカ株式会社 「ポート・テーブル」と入力して下さい。

実際に改ざんされたサイトのOpenPort(TCP)ランキング ⇒ Eiji James Yoshida氏による penetration technique research site

サーバ上で "open" ポートがあれば、稼働しているサービス(サーバ・アプリケーション)を直ちに特定できます。
例)
Port State Service
80/tcp open http
です。
攻撃者は、各サービスのセキュリティホールを探し攻撃を考え、サーバ管理者は、迅速なセキュリティ対策に取り組みます。的確!? スピーディ!?であるか否かは、IT知識(能力)の勝負といえるでしょうが、大規模なサーバーであれば、管理側には、コスト面で多大な負担がかかります。
サーバーアプリケーションの設定ファイルの属性 パーミッション,バグやセキュリティ勧告の有無など、着実にチェックしましょう。

投稿者 support : 15:47 | コメント (0) | トラックバック

Perl Script によるCGIを使用するときの注意点

[作成日 2003-03-02 23:27:15]

こちら をご一読下さい。
Perlスクリプトで作成された 掲示板、送信フォーム、アクセスカウンター、アクセス解析、チャットなどのフリーソフトは、多くのサイトで容易に入手できます。これらスクリプトのインストールマニュアルには、通常「各ファイルをアップロード後、パーミッション CGI ⇒ [755]、 データファイル ⇒ [666] に変更する」と指定されていることが多いのですが、この設定では、データファイルは "すべて丸見え" となっています。
データファイル ⇒ [666](ないし [606])以外では作動しないサーバーでは、セキュリティ対策として、データファイルのファイル名やアップロード先のディレクトリ名を変更し、管理者以外の人に直接アクセスさせないようにしたり、平文で書かれた個人情報などをサーバー上に残さないなどの対策が必要です。
また、CGI本体ないし、設定ファイル(.dat ないし .cgi)の中に管理者専用パスワードを入力しますが、レンタルサーバーやプロバイダー(ISP)提供の Web サーバーを多くのユーザーが共有していると、パーミッション CGI ⇒ [755] では、同一サーバーの他ユーザーやグループのアクセスが何らかの理由で可能になると、パスワードまで読み取られてしまいます。パーミッション CGI ⇒ [700] ないし [701] で作動しなければ、サーバー管理会社やISPは信頼できるところを選びましょう。
他に、ログファイルを自動生成するタイプの掲示板などでは、ログ用ディレクトリにも書込み権限が必要ですので、パーミッション ⇒ [777] (ないし [757], [707] )とすることになります。もし、画像掲示板などで、悪意ある攻撃者により実行ファイル類が "添付ファイル"用、"ログ"用ディレクトリにアップロードされると、Web 改ざんも可能となります。
パーミッション CGI ⇒ [700],[701] データーファイル⇒ [600] で作動しないサーバーは、安全とはいえないので、
安全なパーミッションで動作させる方法
をお伝えします。

しかし、正しく設定されなかった「suEXEC」は、とても危険です。また、攻撃者が suidperl を悪用しパーミッションを設定すると同様のことがおこります。Unix 由来のオペレーティングシステムでは、通常 setuid (suid・sbit), setgid (sgid) 操作が可能です。setuid, setgid されたコマンドやプログラムでは、コマンド操作した者が、(それぞれ)所有者、所有グループの権限で実行できるようになります。
suidperlが実装されたサーバーにおいて、ホームディレクトリにアクセス後、
% chmod 04701 [perlスクリプト] (chmod u+s も使用可)
setuid すると、誰でも perlスクリプト(CGIなど)を実行できるようになります。
% ls -la
-rws-----x 1 所有者名 ------ [perlスクリプト]
setgid する方法は、
# chmod 02751 [perlスクリプト] (chmod g+s も使用可)
です。
# ls -la
-rwxr-s--x 1 所有者名 所有グループ名 ------ [perlスクリプト]
と「s」という文字で表示されるようになります。
なお、自宅サーバー内では、デフォルトで setuid, setgid されたコマンドなどチェックする方法として、
% find / -type f (-perm -u+s -o -perm -g+s ) -ls
または、
% find / -type f (-perm -04000 -o -perm -02000 ) -ls
があります。オプション -type f はファイルタイプがファイルのもののみ表示するようにしています。ルートディレクトリ以下のすべてをチェックしますが、検索のためにサーバーに負担をかけます。
また、
% ls -l /{,usr/,usr/local/}{,s}bin/ | grep 'r[-w]s'
でも /usr/以下の指定ディレクトリがチェックできます。
実際には、passwd,chpass,login,man,procmail,rcp,ping,traceroute,shutdown,crontab などが setuid されています。
owner 所有者 = root のファイルが setuid されると、最も危険な存在となることがお分かりいただけると思います。また、group グループ = 0 ないし wheel のファイルは FreeBSDでは コマンド su を使用できますので、setgid されると同様に危険です。
このため、Webサーバー管理のため、ファイルシステムのマウント時に、mount(8) の nosuid オプションを指定し、setuid / setgid を無効とする方法があります(下表 /usr/ports /var/www ⇒Webサーバーを設置したところ)。
フリーソフト CGI にセキュリティ上のバグがあると、setuid(suid・sbit) された perl スクリプトと同様に非常に危険なものとなります。攻撃者によって、Web ページ"改ざん"など可能となります。
# vi /etc/fstab
---------
# Device Mountpoint FStype Options Dump Pass#

/dev/ad0s1b none swap sw 0 0
/dev/ad0s1a / ufs rw 1 1
/dev/ad0s1c /usr ufs rw 2 2
/dev/ad0s1d /usr/ports ufs rw,nosuid 2 2
/dev/ad0s1f /var ufs rw 2 2
/dev/ad0s1g /var/www ufs rw,nosuid
2 2
/dev/acd0c /cdrom cd9660 ro,noauto 0 0
proc /proc procfs rw 0 0
-----------
マウント時に、mount コマンドでマウントオプション
# mount -o nosuid device mountpoint
でも設定可能です。

投稿者 support : 15:46 | コメント (0) | トラックバック

バックドア型 Trojan Horse 「トロイの木馬」 検出ツールについて

[作成日 2003-02-26 00:55:41]

最近のサーバー攻撃の特徴は、「ポート」から侵入し、秘密の「バックドア」を作ることです。
セキュリティのためにポートチェックはもちろん大事ですが、たとえば、UNIX用のバックドア検出ツールの1つ chkrootkit をインストールし、定時的なチェックを行いましょう。
本ツールはソース Tarballを展開したディレクトリ内で作動しますので、展開先をまず決めます・・・⇒ インストール解説
必ず最新バージョンを使用しましょう。

投稿者 support : 15:44 | コメント (0) | トラックバック

修正パッチなどのPGP署名確認方法

[作成日 2003-02-16 10:41:39]

サーバーのメインテナンスでは、セキュリティのため修正パッチはとても重要です。FreeBSD のホームページなどでは、
"修正パッチと PGP 署名を以下の場所からダウンロードし,PGP ユーティリティを使って署名を確認してください."と注意書きがあります。
ファイル改ざんの有無をチェックすることを主目的とし、署名による確認手順を簡単に解説いたします。

PGP暗号化・電子署名フリーソフト GnuPG を利用しましょう。
この解説文のコピーはこちらです。
メール暗号化などいろいろ応用できますので、解説は Windows版 で行います。
GnuPGのダウンロードサイトにて、Windows版 (2003/2/15最新バイナリー GnuPG 1.2.1-1 compiled for Microsoft Windows) w32cli-1.2.1-1.zip を選択し、ダウンロードします。 C:¥gnupg を作成します。すべての操作は MS-DOS プロンプトで行いますので、バイナリファイルの展開先は、C:¥gnupgからディレクトリ移動の少ないところにしましょう(例 C:¥gpg)。
MS-DOS窓にて
gpg.exe を実行します。
   C:¥WINDOWS> cd .. [Enterキー]
   C:¥> cd gpg [Enterキー]
   C:¥GPG> gpg [Enterキー]

C:¥gnupg 内に必要ファイルが作成されます。

   C:¥GPG> exit [Enterキー]

MS-DOS プロンプトを一度終了します。
再度 C:¥GPG> に移動します。
秘密鍵と公開鍵を作成します。

   C:¥GPG> gpg --gen-key [Enterキー]
(暗号アルゴリズム) 1 ⇒(暗号強度) 2048 ⇒(有効期限:無期限) 0 ⇒(無期限 okey) y ⇒個人情報設定⇒(password) パスフレーズ入力⇒自動乱数発生(キーボードやマウスを動かすことを推奨)

Security Officer 公開鍵を入手
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/public_key.asc

をダウンロードします。
http://www.freebsd.org/ja/security/index.html PGP鍵 をクリックすると、ダウンロードできます。

公開鍵 public_key.asc を C:¥GPG にコピーします。

   C:¥GPG> gpg --import public_key.asc [Enterキー]

なお、一般公開鍵サーバーなどでは、公開鍵の指紋 fingerprint がホームページ上で表示されていますので、入手した pubkey.asc のfingerprint

   C:¥GPG> gpg --fingerprint | more

と同一であることを確認します。

   C:¥GPG> q [Enterキー](または、終了まで下スクロールする)

さて、"修正パッチと PGP 署名を以下の場所からダウンロードし,PGP ユーティリティを使って署名を確認してください." では、

ABCD.patch.asc および ABCD.patch を同時にダウンロードして、C:¥GPG にコピーします。

   C:¥GPG> gpg ABCD.patch.asc

gpg: Signature made **/**/** **:**:** using DSA key ID ********
gpg: Good signature from "FreeBSD Security Officer <security-officer@freeBSD.org>"
の2行があれば、「改ざん」なしと判断できます。

簡単作成・強固な電子署名 MD5
[作成日 2003-02-19 12:28:03]

ハッシュ関数 MD5 (Message Digest 5) は、「一方向要約関数」ともよばれ、サイズ・長さの異なる文字列データを、固定長の数値(半角英数字32文字)に変換します。異なる文字列が同じ数値に変換されることはなく、また、数値から入力元の文字列を生成することも不可能です。
原文(テキスト)、配布ファイル(アーカイブ、圧縮ファイル、画像など)、通信データの”改ざん”の有無を検証する目的で使用されます。”原本作成者を問わない”電子署名とお考え下さい。
実際には、配布ファイルなどをダウンロード後、MD5による演算処理(MD5 チェックサム)にて得られた数値を、添付ファイル(ないしHTML表示)の数字と比較し、同一であることを確認します。
[例 MD5 checksum: e63add33e010b4245ba0841b21fe0bfe]
MD5 プログラムの入手こちらです

上位ディレクトリをftpアクセスさせないために
[作成日 2003-02-23 13:03:55]

ftpでアクセスしたユーザーに ホームディレクトリ /home/ユーザー名/ より上位のディレクトリを見せない(アクセスさせない)方法
各ユーザーにホームページの開設サービスを許可していないサーバーであっても、メールアカウントのパスワードが通常の popアカウント であれば(apop認証やsmtp認証でない)、ユーザーはftpでアクセスし、サーバー内をほとんどすべて見てまわることが可能です。
パッケージ wu-ftpd-VERSION.tgz を入手します。
インストール手順は こちら です。

投稿者 support : 15:41 | コメント (0) | トラックバック

インストール後の各種設定について

[作成日 2003-01-05 16:06:52]
インストール後の各種設定について

qmailでリレーを制限、許可する方法は? ⇒例1 < qmail設定 >
PHPでqmailを使うには?⇒例2 <クリック> バックアップファイルはあるけれど、どのように使うの?" ⇒例3 < sqlファイル >
ホームページの中にアクセス制限ページ(顧客、会員専用など)を作成したい? ⇒例4 < クリック >
CGIも使いたいが、安全な方法は?" ⇒例5 < クリック >

投稿者 support : 15:33 | コメント (0) | トラックバック

セキュリティに優れたメールサーバーを構築するため

[作成日 2002-12-22 17:49:17]

qmail のインストールをおすすめいたします。
メールを受信するための設定 ⇒ こちらです。
// 解説書のご案内 //
インストール、設定方法について分かりやすい解説がなされています。
「ステップ式サーバー構築入門
はじめての qmail 」
著者 中村文則
出版所 技術評論社

qmailをpop before smtpで使いましょう!!
[作成日 2003-02-12 12:29:31]
qmail専用 tcpserver 自動起動スクリプト(run file)などお伝えいたします。
実際には apop+pop befor smtpで運用しています。
"apop before smtp"(私の造語です)をおすすめいたします。
フリーソフト relay-ctrl(バージョン3以上では daemontools 絶対必要) インストールによる設定例です。
relay-ctrl-3.1.1.tar.gz
daemontools-0.76.tar.gz
インストールの詳細は こちら です。
[daemontools ⇒ relay-ctrl の順にマニュアル通りインストールして、relay-ctrl設定, crontab 編集]
qmail専用tcpserver 自動起動スクリプト(run file)
////tcpserver_smtpd.sh////
#!/bin/sh
echo -n 'qmail-smtpd starting.'
/usr/local/bin/envdir /etc/relay-ctrl relay-ctrl-chdir
/usr/local/bin/tcpserver -x /etc/tcpserver/smtpd_rules.cdb -v -u [qmail uid] -g [nofiles gid] 0 smtp
relay-ctrl-check /var/qmail/bin/qmail-smtpd 2>&1 |
/var/qmail/bin/splogger smtpd 3 &

////tcpserver_apopd.sh////
#!/bin/sh
echo -n 'qmail-apopd starting.'
/usr/local/bin/envdir /etc/relay-ctrl relay-ctrl-chdir
/usr/local/bin/tcpserver -x /etc/tcpserver/pop3d_rules.cdb 0 pop3 /var/qmail/bin/qmail-popup [qmailのホスト名] /bin/checkapoppw
relay-ctrl-allow /var/qmail/bin/qmail-pop3d Maildir 2>&1 |
/var/qmail/bin/splogger apop 3 &

////tcpserver_pop3d.sh////
#!/bin/sh
echo -n 'qmail-pop3d starting.'
/usr/local/bin/envdir /etc/relay-ctrl relay-ctrl-chdir
/usr/local/bin/tcpserver -x /etc/tcpserver/pop3d_rules.cdb 0 pop3 /var/qmail/bin/qmail-popup [qmailのホスト名] /bin/checkpassword
relay-ctrl-allow /var/qmail/bin/qmail-pop3d Maildir 2>&1 |
/var/qmail/bin/splogger pop3d 3 &

qmail-smtpとrelay
[作成日 2003-02-13 15:27:02]
qmail-smtpで、中継 "relay" するアドレス


["@"を含まないアドレス]では、

[作成日 2003-01-29 21:57:04]
 SPAMメールの中には、メールクライアント(携帯電話やPC端末など)に不正なリレーで送信されるものがあります。これは、不適切な設定となっているメールサーバーを悪意で利用されたものです。不正な”第三者中継”といいます。
長崎ネットワークサービス
http://www.nanet.co.jp/rlytest/index.html
などのページで、”第三者中継を許可しない"設定となっていることをご確認下さい。
また、ソースルーティング によるメールについてもチェックする場合、Network Abuse Clearinghouse のページをおすすめいたします。
ただし、これらサイトの検査は実際に不正中継を行わせていませんので、もしMTAサーバー設定に自信がなければ ORDB.org の「DB - 検査申し込み」のフォームを使って、検査を申し込んでください。
因みに、ORDB Databaseによる検査結果は以下のとおりです。
このホストは ORDB.org に不正中継ホストとして登録されていません。
データベースの検索結果: このサーバーです ⇒ medqa.net (219.***.***.2)
ORDB.org 以外の RBL での登録状況:登録なし
ホスト medqa.net は ORDB.org のデータベースに登録されていません。
右記ホストの登録状態: medqa.net (219.***.***.2)
最終の検査依頼ホスト: 61.***.***.67
検査待ちリストへの最終登録日時: 2002-12-26 05:00 GMT
検査申し込みは認証されています。
検査の進捗状況: 全ての検査用プローブが送出完了しました。

投稿者 support : 15:32 | コメント (0) | トラックバック

ネームサーバーはbind9で構築します

[作成日 2002-12-16 17:00:11]

FreeBSDでのBINDインストール、設定などこちらでお伝えします。
リモートPCから ドメイン・正引きチェック, ping, tracerouteできます。

投稿者 support : 15:31 | コメント (0) | トラックバック

ドメイン名を取得する

[作成日 2002-12-15 20:38:48]
一部のプロバイダー(ISP)は、ドメイン名持ち込み禁止となっています。

レジストリ registry ⇒ ドメイン名を管理しているところ
レジストラ registrar ⇒ ドメイン登録をしてくれるところ
ドメイン名 Domain ⇒ ホームページやメールアドレスに使用できる名前 (自宅の表札や経営している会社の商標のようなもの
ホスト名  host ⇒ ドメイン名をインターネット上で使用するための任意の名前。 たとえば、dns.ドメイン名
ネームサーバー名 Nameserver ⇒ サーバーを世界中に公開するために必要な名前。 ホスト名を使うことが多い。
IPアドレス  ⇒ グルーバルIPアドレスをネームサーバーに指定すると、世界中からアクセス可能となります。 ASDLなどで接続したサーバーの住所(アドレス)のこと。
  IPとネームサーバーが1対1に対応していないと、アクセスできません。 レジストラでの登録が必要
ルートサーバー  ⇒ このサーバーに登録されるまでの時間(最長3日ほど)、正しいアクセスはできないことになります。
  LANなどのローカルな環境では、ホスト名、プライベートIPアドレスは自由に設定できます。ケーブルTVなどでは、プライベートIPアドレスを使用することが多いので、インターネットに接続した状態でも自宅サーバーを構築できないようです。
レジストラのホームページでドメインを登録する時、
1つのドメインに、


を登録します。
ドメインについては、登録者がすべての責任を持ち、権限があります。ドメインの保有権を変更するとき(登録者変更、譲渡)は、法的な書類が必要となります。

の順に登録することになります。ホスト名登録を優先しないと、オンラインでの作業ができなくなるようです。

投稿者 support : 15:29 | コメント (1) | トラックバック

ルーターの設定

[作成日 2002-12-15 23:22:48]

フレッツISDNに対応するルーター
MN128-SOHO-SL10 ver2.41(NTT-TE東京)
IPオプションによるフィルター、NATの 設定例です。
最終チェックとして、たとえば、Sygate Technologies, Inc.Quick Scan などをクリックすると、ポートチェックが可能です。特に、DNS運用のためには udp ポート(53) が OPEN となっていることを確認します。セカンダリーネームサーバーを外部に設置するときは、さらに tcp ポート(53) も OPEN にする必要であるので、サーバーのセキュリティ強化がより大切です。 また、必ずルーターのDHCPサーバー機能はOFFとします。

投稿者 support : 15:17 | コメント (0) | トラックバック

Server公開に必要なもの

[作成日 2002-12-15 20:20:47]
自宅にWebサーバーを設置するとき

を準備します。
いつも同じアドレスでホ-ムページにアクセスできるためには、<フリーのダイナミックIPアドレス>を利用する方法もありますが、
最近、固定IPアドレスサービスの利用料はかなり低価格となってきましたので、今回 似非専用線接続 (えせ・せんようせん・せつぞく)を提供するプロバイダ (ISP) の中で、
 インターリンク
をおすすめいたします。
なお、上記プロバイダについては、担当者のメール対応は迅速・親切ですが、いくつかのページで辛辣な批評がなされています。サーバーを構築する目的でユーザー登録する場合、当該プロバイダに限らず契約内容や定款を熟読され、またspamに加担しないよう希望します。

投稿者 support : 15:15 | コメント (0) | トラックバック

Apache PHP OpenSSL MOD_SSL MySQL PostgreSQL osCommerce Skyboard 他オープンソースのインストールまで

[作成日 2002-12-23 10:30:49]

備忘録 をご覧下さい。

投稿者 support : 12:23 | コメント (0) | トラックバック

オープンソースすべて

[作成日 2002-12-23 10:43:13]

オープンソースすべて PukiWiki ページ
 "Open-source-software" からリンクしています。

Apache  PHP  OpenSSL
MOD-SSL  PostgreSQL  MySQL
osCommerce  Skyboard  XOOPS XOOPS2
Nuke  BIND9  qmail  など

投稿者 support : 12:19 | コメント (0) | トラックバック



 Modified by Toshiaki YAMAMURA    Powered by Movable Type
 ■シックス・アパート株式会社より「個人用ライセンス」を取得し、Movable Type にて情報提供中です. ■ハンドル名とメールアドレスを入力すると、自由にコメント投稿できます. 但し、15歳未満のお子供は必ず保護者の指導・監督下で行って下さい. ■本ウエブログでは、サイト管理・運営者が著しく不利益と判断するコメントや他人を誹謗中傷するコメントは、直ちに削除いたします.