~自分のところは大丈夫と思ったら、大間違い!~
<こんなちっちゃなサイトなのにハッキングされるの?>
ハッキングされます。なぜなら今のハッキングはプログラムによっ
てまずセキュリティの弱いサイトを探し、その後アタックをおこな
うからです。一度に何万件ものサイトをサーチして犠牲者を洗い出
すというわけです。
<対策その1~パスワードについて>
①パスワードの作成
パスワードの作成はとても単純に思えますがとても大切です。
ほんの少しですが、以下のことに気をつけてみて下さい。
a.8文字以上のパスワードにしましょう。
b.辞書に載っていない単語を使いましょう。
c.数字、記号、大文字、小文字を混ぜて作りましょう。
| ex. P,4<gAc& |
②シャドウパスワード
パスワードファイルを盗まれても、暗号化しておけば少しは違います。
パスワードのシャドウ化はとても簡単で、
| root>pwconv5 |
パスワードを変更したり、ユーザーを追加したら、pwconv5す
る癖をつけてください。
<対策その2~Tcp Wrapperの使い方
①telnetについて
telnetを使えばリモートから端末のコンソールにログインできます。
したがってもしもパスワードが破られたら非常に危険です。また、
telnetでpop3その他のサービスにもアクセルできてしまいます。smtp
にアクセスすればSPAM対策のされてない端末ならそこからメールが送れ
てしまうのです。
②telnetの受付の制御
では、ほかのサイトからのtelnetは受け付けなくすれば
ひとまず安全です。それにはどうしたらいいのでしょうか?
そのためにはTcp Wrapperについてみていきましょう。
③Tcp Wrapperってなあに?
Tcp Wrapperとは、サーバプログラムと外部の接続要求の
取次ぎをするプログラムです。このサーバープログラム
には、telnet,ftp,pop3,smtp,ipap4などがあります。
http,telnet接続要求→tcp-wrapper(ok?>yes)→サーバプログラム起動
http,telnet接続要求→tcp-wrapper(ok?>no)→接続拒否
④設定その1~inetd.conf
inetdでは/etc/inetd.confという設定ファイルで
監視するポート
起動するプログラム、について設定します。
書式は下記のとおりです。
service type protocol flag user server args
telnetの例でいくと、
telnet stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.telnetd
となります。この意味は、
a.telnetというserviceを
b.streamというソケットタイプで
c.TCPプロトコルで
d.直ちに要求を受け付け(nowait)
e.root権限で起動し
f./usr/sbin/tcpdというserverプログラムを、
g./usr/sbin/in.telnetdというargs引数で起動します。
この設定ファイルで、使わないサービスについては行頭に#
を入力してコメントアウトしてしまいましょう。
⑤設定その2~hosts.allowとhosts.deny
Tcp-Wrapperでは/etc/hosts.allowと/etc/hosts.deny
によってアクセスのポリシーを決めます。
たとえば、ローカルネットワークからのアクセス要求のみ
受け付ける設定は以下のようになります。
| /etc/hosts.allow→ALL:210.xxx.xxx.xxx/255.255.255.240 /etc/hosts.deny→ALL:ALL |
| /etc/hosts.denyに ALL:ALL:spawn=(/usr/sbin/safe_finger -l @%h | /bin/mail xxx@pba.co.jp) |
メールでしらせてくれます。
※Tcp-Wrapperのマニュアルはこちらにあります。
お問い合わせは info@micrordcore.jp
(株)マイクロアールアンドディコア
Copyright (C) 2015 Micro R&D Core All rights reserved.
MICRO R&D CORE
|
|