- ベストアンサー
セキュリティに関して
現在 専用サーバーでcentos4.6、webminを利用し、サイト運営を行っています。 専用サーバーlinux関連にあまり詳しくありません。 セキュリティに関してちょっと不安になったのでいろいろ調べてみたところ /var/log/secureに 3分おきにあるipからアクセスし、Failed password for invalid userになっているログがありました。 例えば同じipから、5回エラーが出ると自動的にブラックリスト入りし、ログインもアクセスもできないような設定はないのでしょうか? 特定のIPからのみのアクセス許可に設定すると自分が利用しているプロバイダが時々IPを変更しています。その為、自分がアクセスできなくなるのであきらめました。 現状は、webminはip設定(制限)は行っています。 sshなどのlinuxへのip設定(制限)は行っていません。 Linux ファイヤウォールの/etc/sysconfig/iptablesは設定していません。 又、サーバーのセキュリティ関連で/var/log/secure以外チェックするところはありますか? 他に良い案があれば教えてください。
- kenken8378
- お礼率67% (25/37)
- Linux系OS
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
>3分おきにあるipからアクセスし、Failed password for invalid userになっているログがありました。 大量にあるならSSH ブルートフォースアタック…でしょう。 パスワード認証で、たまたま辞書に載っていたユーザー名&パスワードだと突破される可能性がありますのでご注意を。 pamでのアカウントロックに関しては…数日前に試行してみました。 存在しないアカウントについては当然ロックできません。 # 存在しないからログインされることもありませんけど。 >例えば同じipから、5回エラーが出ると自動的にブラックリスト入りし、ログインもアクセスもできないような設定はないのでしょうか? 標準の方法ではありません。 syslogデーモンをsyslogd-ngに変えるか、swatchでログの監視をするようにした上で、 iptablesでブロックする方法ならありますが… Pythonスクリプトでブロックするものもあるようです。 http://www.google.co.jp/search?hl=ja&source=hp&q=SSH+%E3%83%96%E3%83%AB%E3%83%BC%E3%83%88%E3%83%95%E3%82%A9%E3%83%BC%E3%82%B9%E3%82%A2%E3%82%BF%E3%83%83%E3%82%AF%E5%AF%BE%E7%AD%96&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=&aq=f&oq= 私の方では…以前ログがうるさくなるのでSwatch+iptablesで対策したことはありますが… # ちなみに、AllowUsersで制限した上に公開鍵認証オンリーでしたが。 現在は外部向けは非標準ポートに変更しています。 こっちの方が無駄なログが出なくて済むので…。 >サーバーのセキュリティ関連で/var/log/secure以外チェックするところはありますか? Webサーバ起動しているのであれば、そちらのログも監視対象かと。
その他の回答 (1)
- pakuti
- ベストアンサー率50% (317/631)
pamでアカウントロックの設定は可能です。 sshへの対応は、ポートを変更してsshdを立ち上げる 鍵認証にする 等も可能かと思います。 ログに関してですが messagesにもssh関連は吐き出されるかと思います。
お礼
回答いただきありがとうございます。 ポートを変更は使えそうです。
関連するQ&A
- Windowsサーバでアクセス元のIPを制限したい。
Windows2003サーバ+Apache2.2を利用してWebサーバを構築します。 ただし、接続元のIPによってアクセスを制限かけたいのですが、やり方を教えていただけないでしょうか。 Linuxのiptablesのような機能を実現したいと思います。
- ベストアンサー
- ネットワーク
- iptables
iptablesの機能を利用するアクセス制限のシェルスクリプトを作りました。 それはだいたい以下のサイトの一番下の方のスクリプトのようなものです。 http://apollon.cc.u-tokyo.ac.jp/~watanabe/tips/nat.html これをLinux起動時に毎回実行したいので、このスクリプトのシンボリックリンクをrc5.dに作ればよいのですが、rc5.dにiptablesのシンボリックリンクがあるのでそれを利用しようと思いました。 そのリンク先はinit.d/iptablesで、init.d/iptablesを開くと/etc/sysconfig/iptablesという値が設定されていました。 自分が作成したシェルスクリプトを実行してからinit.d/iptables saveを実行すると/etc/sysconfig/iptablesが作成されました。 これで、次回Linuxを起動した時、init.d/iptablesが実行されて/etc/sysconfig/iptablesの内容も実行されると思いましたが、そうはなっていませんでした。 当たり前ですか? iptablesの自作のルールを記述したシェルスクリプトはinit.d/iptablesの処理が終わってから実行しなくてはならないものですか?
- ベストアンサー
- Linux系OS
- Linux:iptablesの設定を保持する方法
Linux CentOS 6 の専用サーバーでwebサイトを立ち上げているのですが、 iptbelesの設定方法(設定を保持する)についてアドバイスいただけますでしょうか。 必要なポートを開放し、一時的にはポート開放に成功するのですが、一日、二日経つと、設定が初期状態に戻ってしまいます。(開放したポートの記述が消えている。) 実際にやってみたのは、 /sbin/iptables-save > iptables_rule(現在の設定をファイルにファイルに保存) 設定が初期状態に戻った場合に /sbin/iptables-restore < /etc/sysconfig/iptables_rule(オリジナルの設定を保存したファイルを適用) ↓ /sbin/iptables-save -c > /etc/sysconfig/iptables(現在のiptablesの状態を/etc/sysconfig/iptablesに保存 ) これで一応動くのですが、数日で初期状態に戻ってしまいます。 /etc/sysconfig/iptables をcat で確認しても設定したポートの記述がなくなっています。 ※設定後 /etc/sysconfig/iptables を確認するとちゃんと記述されてます。 質問1 起動時の自動設定に適用されるファイルは、 /etc/sysconfig/iptables で間違いないでしょうか? 質問2 そもそも、サーバーは稼働しつづけており、終了も再起動もしていない中で設定が初期値に変更されるのが不思議です。 自動起動時に読み込むファイルが間違っていたとしても、サーバーが再起動しないかぎりは初期状態に戻らないような気がするのですが・・・ 何時間毎に設定ファイルを読み直す、メモリを開放する、などの機能が元々あるのでしょうか。 ご存知の方がいれば、お教えいただけませんでしょうか。 宜しくお願いします。
- ベストアンサー
- ハードウェア・サーバー
- LinuxのAccessログはどこにあるんでしょうか?
お世話になります。 現在、WindowsとLinuxをイントラネットでつないでて、Sambaを利用してWIndowsからLinuxにアクセスしようとしています。 Windowsからサーバの存在が確認できるところまではいくのですが、それをクリックしてみると、"\\<サーバ名>にアクセスできません。 ~"と表示されてしまいます。 このとき、Linuxのアクセスログを確認したいのですが、/var/logのどのファイルを見ても更新日付が古いので、別の場所にあるのでは?と 思っているのですが、ご存知のかたいないでしょうか?
- ベストアンサー
- Linux系OS
- Apache、DNSに外部から接続ができない
環境 CentOS 5.2 apache 2.2.2.9 bind 9.5.0 貸与されているIPアドレス変更のため サーバのルーターとサーバの設定を行いました。 IPアドレス変更前は外部からの参照ができていましたが IPアドレス変更後外部からの参照ができなくなりました。 IPアドレスの変更は /etc/sysconfig/network-scripts/ifcfg-eth1 を手動で変更し新しいIPアドレスを設定しました。 apacheでは特別にアクセス制限していないようでしたので 設定は変更していません。 /etc/hosts.allowを適切に変更しservice nerwork restartで再起動しました。 ifconfigで確認すると設定された内容が設定されています。 iptablesはすべての条件をクリアしたためiptablesでの アクセスの遮断はなさそうです。 プロセスを確認するとプロセスが存在しているのでプロセスが落ちているわけではなさそうです。 tcpdumpでdumpしているとパケット自体は外部から届いていると思われます。 同じサブネット内からのアクセスは処理されます。 ですが外部から接続するとタイムアウトになります。 これは、ApacheもBINDも処理されます。 どこに設定のミスがあるのか検討がつきません。 このような状況で考えられるミスをどんなことでも構いませんので教えてください。 よろしくお願いします。
- 締切済み
- その他(ITシステム運用・管理)
- access.log , error.log の置き場所について
現在、専用サーバで複数ドメイン運用しています。 Red Hat 8.0です。 ユーザファイル等を/var/www/以下においておりますが、 アクセスログが多量にたまり、/var/以下は90%近くになっております。 このアクセスログ[access.log ,error.log]は/var以外に 置いても良い物なのでしょうか? また、そのような事は可能でしょうか? 設定は他者にお願いしておりましたので初心者です。 今回、自分で設定してみようと思っております。 宜しくお願い致します。
- ベストアンサー
- その他(ITシステム運用・管理)
- webminが利用できない
お世話になります。 CentOS に以下のようにしてwebminをインストールしました # yum -y install perl-Net-SSLeay # wget http://download.webmin.com/download/yum/webmin-1.580-1.noarch.rpm # rpm -Uvh webmin-1.580-1.noarch.rpm その後、https://(サーバーIP):10000/ (http://(サーバーIP):10000/でもアクセスできません) とアクセスしましたが、ログイン画面すら出ない状態になっています。 # perl -e 'use Net::SSLeay' (何も表示されない) # rpm -qa | grep openssl openssl-0.9.8e-22.el5 の状態です。apacheの再起動もしました。 その後、# /etc/init.d/webmin start で起動し、 # /etc/init.d/webmin status とすると Webmin (pid 30856) is running と表示されますが、webminの起動はちゃんとしていると言う解釈で良いでしょうか。 # vi /etc/webmin/miniserv.conf では port=10000 root=/usr/libexec/webmin mimetypes=/usr/libexec/webmin/mime.types addtype_cgi=internal/cgi realm=Webmin Server logfile=/var/webmin/miniserv.log errorlog=/var/webmin/miniserv.error pidfile=/var/webmin/miniserv.pid logtime=168 ppath= ssl=1 env_WEBMIN_CONFIG=/etc/webmin env_WEBMIN_VAR=/var/webmin atboot=1 logout=/etc/webmin/logout-flag listen=10000 denyfile=\.pl$ log=1 blockhost_failures=5 blockhost_time=60 syslog=1 session=1 premodules=WebminCore server=MiniServ/1.580 userfile=/etc/webmin/miniserv.users keyfile=/etc/webmin/miniserv.pem passwd_file=/etc/shadow passwd_uindex=0 passwd_pindex=1 passwd_cindex=2 passwd_mindex=4 passwd_mode=0 preroot=blue-theme passdelay=1 のようになっています。 このような状態でログイン画面すら出てこないのですが、 考えられる原因としてどのような事がございますでしょうか。 もし何か原因がわかるようでしたら、当方、サーバーの知識はほとんど無いため、 お手数をおかけしてしまいますが、 出来る限り具体的な手順をご教授いただけますと大変助かります。 原因追及のために他に必要な情報などございましたら、ご教授いただけますと幸いです。 サーバー会社側の都合で急きょ移転が必要となり、OSのみからの状態で渡されまして 試行錯誤でやっておりますが、webminがどうしても稼働することができず困っております。 何卒よろしくお願い致します。
- ベストアンサー
- Linux系OS
- インターネット上のファイルサーバー構築方法
インターネット上に、CentOS(Linux)専用サーバーを借りて、 これに、ファイルをアップロードして、関係者が自宅でダウンロードするようにしたいと思っています。 ・・・と、口で言うのは簡単なのですが、ここからが問題です。 このサーバーは、 OSをクリーンインストールしたものに、Webminを設定しただけのものです。 大昔、UNIX設定やRed Hat LinuxのWebサーバーを構築したことはあるのですが、大昔過ぎて忘れてしまって、Webminも記憶にありません。 今は、私の職場は、私だけしかシステム的に知るものがいないので、非常に困惑しています。もう、長くWindows系ばかり管理してきたのに・・・。 ということで、このあたりの情報があるWebサイトや書籍など、役立つもの(スキルが高い資料でない方が助かります)をお教えください。 サーバー自体の設定方法や使い方、ファイルダウンロード用Webの構築、セキュリティーのアドバイスなど、この、未熟者を助けてくださいませ。 どうか、宜しくお願いします。
- ベストアンサー
- ハードウェア・サーバー
- さくらでLinuxサーバーを借りています。
さくらでLinuxサーバーを借りています。 突如、外部への攻撃はあるとの連絡でじたばたしています。 iptablesの設定をみなし、外部からのアクセスを制限したりしましたが また、さくらより連絡があり攻撃が見つかりました。 下記メールの内容を見ると、UDPの攻撃らしいですが、この攻撃を防ぐ手立てはどういったことになりますでしょうか? 対応して /sbin/iptables -A OUTPUT -p udp -j DROP /sbin/iptables -A FORWARD -p udp -j DROP 上記のコマンドを実行しました。これで、不都合はありますでしょうか? DNSサーバーの運用はありません。 ~~~~~~~~~~ メールの内容 ~~~~~~~~~~~~~~~ 大変恐れ入りますが、2010年XX月XX日にお客さまの専用サーバより 外部ネットワークに対して攻撃が再発されたことを確認いたしました。 [Fri Sep 3 18:54:12 2010] 18:53:45.000000 IP XXX.94.198.105.56883 > XXX.86.19.53.0: UDP, length 15 18:53:45.000000 IP XXX.94.198.105.56883 > XXX.86.19.53.0: UDP, length 15 18:53:45.000000 IP XXX.94.198.105.56883 > XXX.86.19.53.0: UDP, length 15 18:53:46.000000 IP XXX.94.198.105.56883 > XXX.86.19.53.0: UDP, length 15
- 締切済み
- ネットワーク
- inetdでのアクセス制限とiptablesのアクセス制限とapacheのアクセス制限
恐れ入ります。 inetdでのアクセス制限とiptablesのアクセス制限とapacheのアクセス制限についてお聞きしたいのですが、これはどういう風な順序で働いているのでしょうか?恐らくまずiptablesが働いて、inetdが働いてapacheという順だと思うのですが、これらのlinux内での通信の仕組みについて教えて下さい。 よろしくお願い致します。
- ベストアンサー
- Linux系OS
お礼
Swatch+iptablesは自分も調べていて対応策になるのかと考えていました。 非標準ポートに変更が妥当そうですね。 詳しく解説いただきありがとうございます。 もう一度お二人の内容を踏まえ、対応したいと思います。