GNU/Linux とネットワーク/セキュリティ
1 :login:Penguin :2006/06/20(火) 00:50:49 ID:TOCwtSsF.net Unix 系 OS にとってネットワーク/セキュリティ知識は必須ではないかと思い またそういったスレッドが見当たらないので建てました。 基礎的なネットワーク知識、セキュリティ それらを実現するサービス kernel 再構築によるセキュリティ確保など 関連団体などの情報も必須でしょう。 私のお薦め 初心者向け Network 講座 定番ですが Roads to Node http://www5e.biglobe.ne.jp/~aji/ フラッシュなどを用いて視覚的に解説がなされています また読みものとしても面白いです。 みなさんも情報提供していただけませんか? #蛇足ー個人の尊厳こそ Freedom
2 :login:Penguin :2006/06/20(火) 01:05:36 ID:h78XFNGn.net 爾
3 :login:Penguin :2006/06/20(火) 10:03:34 ID:inE/6ivp.net GNUが付くとDebianスレの派生かと思う
4 :login:Penguin :2006/06/21(水) 19:27:47 ID:/uqjxurW.net どこで質問しようかとスレ一覧眺めてたら、ちょうどこんなスレが出来てた。 借ります。 swatch + iptables で /var/log/secureを監視して不正(と見える)ログインを遮断するよう設定しました。 不正ログイン感知 → 該当アドレスを iptables で DROP → atで30分後に解除という一連のアクションを設定しています。 リアルタイムでの遮断動作自体はうまく行っているのですが、 なぜか不定期的に /var/log/secure に記録されている不正と見なされたアドレスが全部「再度」遮断されてしまいます。 つまり、「新規に」加わったログだけでなく、ログファイル上に残っている「すべての行」が何度もチェックされてしまい、 既に30分以上経過して遮断解除されていたアドレスが、その度に遮断されてしまうのです。 その結果「設定を間違っていて引っかかったユーザが、設定を修正した後も時々ログインできなくなる」 という困った状況になってしまっています。 (現在は手作業で /var/log/secure から該当する行を削除することで対応してます) swatchのバージョンは 3.1.1、 起動オプションは --config-file /etc/swatch.conf --tail-file /var/log/secure --use-cpan-file-tail --daemon です。 (実際には他に諸々のディレクトリ指定のオプションもありますが割愛) /etc/swatch.confには watchfor /proftpd.*\[(\d+\.\d+\.\d+\.\d+)\].*Maximum login attempts/ exec "/sbin/iptables -A INPUT -s $1 -j DROP" exec "echo '/sbin/iptables -D INPUT -s $1 -j DROP' | at now+30min" といった感じで13個程パターンが登録されています。 ぐぐってみましたが、類似した話は見つけられませんでした。 原因 & 対策が分かる方がいらっしゃったら、よろしくご教示ください。
5 :login:Penguin :2006/06/24(土) 21:06:11 ID:JDvjyGFc.net う〜む 返答なしか どこで聞こう
6 :login:Penguin :2006/06/24(土) 22:07:14 ID:m9/Mfs1J.net 2行目が実行されてないだけじゃないの?
7 :login:Penguin :2006/06/25(日) 03:46:25 ID:rU7/qJVV.net を、反応があった。 >>6 いや、iptables -F INPUT が実行されてるのは確認済みです。 ところが忘れた頃に /var/log/secure の中にある既に処理済みのやつが 同じ時間に再びダ〜〜〜〜っと DROP されてしまうのです。 >>4 では省略したのですが、watchfor のアクションでは最後に exec "echo `date '+%y-%m-%d %H:%M:%S'` $1 ftpd - maxmum attempts exceeded >> /var/log/swatch/`date +%y%m%d`.log" という感じで、日付別にログを残してるので、これと /var/log/secure とを見比べると 「実際の不正ログイン」がなかったとき、まったく同じ時刻で数十件もログが記録されてたりするわけです。 syslogのローテートが行われてる週末まで、どんどんその行数が増え続けるので、 チェックすると日を追ってどんとん嫌な気分になります。
8 :login:Penguin :2006/06/25(日) 03:47:58 ID:rU7/qJVV.net 書き間違えた。 × いや、iptables -F INPUT が実行されてるのは確認済みです ○ いや、iptables -D INPUT が実行されてるのは確認済みです
9 :login:Penguin :2006/06/25(日) 04:52:17 ID:0p4CcI7d.net 再起動してない?
10 :login:Penguin :2006/06/25(日) 06:09:21 ID:rU7/qJVV.net してません。 swatchを再起動させると当然 pid が変わるので、 (--script-dir で指示されたディレクトリにある)実行スクリプトも新しくなります。 古いものは消去されずに残りますので、 再起動されればその数だけスクリプトが残るはずです。 一日に数回は「謎のログ総点検」が行われますが、 そのような数のスクリプトは存在しません。 (つか、手動で再起動、あるいはlogrotate の際の自動再起動分しかありません)
11 :login:Penguin :2006/06/25(日) 06:10:22 ID:rU7/qJVV.net 昨日の 19時以降だけでも、19:16:55 と 19:51:19 の二度「謎のログ総点検」が行われました。 この二回だけで実に180行のログが残されています。 さきほどsyslogのローテイトが行われたところで、昨夜はログが一週間分貯まっていた訳です。 昨日は夕方に一旦ログを消去したので、こんな行数ですが、丸一日放置した後だと 1000行近くなってしまいます。 これをチェックするのは正直ウンザリな感じです。 皆さんのところでは swatch が「ログ総点検」を行うなどという現象は起きていないのでしょうか? 一体何がトリガーになってるのか、見当がつかなくて困ります。 どうすれば「トリガー」を調べられるか、そのヒントでも頂けるとありがたいです。
12 :login:Penguin :2006/06/25(日) 11:31:39 ID:T581Ntvh.net --tail-file=/var/log/secure
13 :login:Penguin :2006/06/25(日) 13:16:56 ID:0p4CcI7d.net 本人が関係ないと思って省略してるところに問題があることも多いかも知れません
14 :login:Penguin :2006/06/25(日) 16:21:05 ID:rU7/qJVV.net >>12 あ、本当だ。=が抜けてますね。 これで直るのかな。試してみます。 しかし、manを見るとオプションの指定で = あるのとないのとゴチャマゼですね。 --config-file では = 不要、tail file の指定も --tail あるいは -t の場合は不要となってる。 あれ? synopsisだと--restart-time は = 不要になってるのに、command line options では 必要となってる。 どっちでもいいのか?w
15 :login:Penguin :2006/06/25(日) 16:21:40 ID:rU7/qJVV.net >>13 省略……といっても、あと起動スクリプトの中身では swatchへのオプションを実際にはshell変数使って渡してることとか start/stop/restart の分岐処理とか それくらいです。 # start では重複起動と設定ファイル類の存在チェック→起動しかやってません
16 :login:Penguin :2006/06/26(月) 05:39:54 ID:bSdJbdKs.net その後 >>12 の修正を加えてみましたが変化なしで、やはり何度も「総点検」が発生しています。 /var/log/secure と見比べると、「謎の総点検」が行われるのは、 不正ログインではない通常のログインがあって、ログに行の追加があったときに一致しているようです。 ただ、もちろん「すべての正常ログイン」の場合に発生する訳ではないので、 何か別の要因が重なった場合のようです。 引き続き情報がありましたら、よろしくお願いします。
17 :login:Penguin :2006/07/01(土) 19:22:04 ID:7ibUZkIS.net eth0とeth1を使ってマスカレード組んでます。 iptables -t nat -A POSTROUTING -s 192.168.1.0/8 -o eth1 -j MASQUERADE ここまでは良いのですが、local側(eth0)のパケットをプログラムに取り込んで、 必要に応じてeth1に流したいのです・・・ Filterでは困難なので、プログラムを投入したいのですが、 raw socketでeth0から読んでeth1に書込んでみたのですが、 どうも、socket I/Fからの出力ではMASQUERADE経由しないようです。 (当たり前なの??) 何か良い方法ありますか? 宜しく御教示ください
18 :login:Penguin :2006/07/02(日) 01:33:05 ID:fHH/ns+1.net promisc ?
19 :login:Penguin :2006/07/03(月) 09:00:44 ID:03m/PJWz.net そう promisc で拾ってます。 拾うのはOKなんですけどね 書いた後にマスカレードされずにそのままでてってしまう・・・
20 :login:Penguin :2006/07/03(月) 18:49:41 ID:Dsl3dR/n.net 当たり前
21 :login:Penguin :2006/07/03(月) 20:25:49 ID:03m/PJWz.net ありがとうございます・・・ POSTROUTINGの前段をうまく捕まえる技があればと思ったのですが・・・ ソース読みます 失礼しましたm(-_-)m
22 :login:Penguin :2006/09/26(火) 23:15:29 ID:6d8a7QLm.net 「GPLは危険」 複数のLinuxカーネル開発者が共同声明 http://opentechpress.jp/opensource/article.pl?sid=06/09/26/0227202 --- TorvaldsはLKMLへのメールの中で、Bottomleyの意見に同意している。 「僕の個人的な意見を言うと、 公開議論の大部分が、 GPLに関して政治的な動機を持った人たちによって行なわれているなあということ。 だからとても声の大きなGPL支持者たちがいる。 だけど大量の開発を結局のところ実際にやってる人たちっていうのは 普通は彼らほど口が達者じゃないし、実際その意見はほとんど知られてないって気がする。 FSFの意見は実際の開発者の(しかも、かなり多数の)意見を必ずしも代弁してはいないっ てことを、 実際の作業をたくさんやる人たちが知らしめる手段だ。」
23 :login:Penguin :2006/09/26(火) 23:18:30 ID:APFX152O.net >>22 おまえはさっさと死ね
24 :login:Penguin :2006/09/27(水) 00:06:48 ID:GDpkbWDq.net 「GPLは瀕死の状態」--Linuxカーネルプログラマーの多くが低評価 http://japan.cnet.com/news/ent/story/0,2000056022,20248447,00.htm 貢献度の高いLinuxカーネルプログラマーの大半が、 「GNU General Public License(GPL)」に否定的であることがわかった。 GPLは多くのオープンソースプロジェクトに適用されている。 Linuxカーネルに関する情報を交換するメーリングリストに投稿した記事によれば、 カーネルプログラマーらに-3から+3の評価を求めた結果、最も高かった評価は、 可でも不可でもないことを意味する0で、平均は-2だったという。 この調査はLinuxを率いるLinus Torvalds氏が提起したもので、 Torvalds氏はこれまでにもGPLに反対の意見を表明していた。
25 :login:Penguin :2006/10/05(木) 11:29:41 ID:hGZwLmdO.net ↓のようなポートスキャンなどを行ってセキュリティリスクをレポートしてくれるサービスで linuxでも使えるものはないでしょうか? Symantec Security Check ttp://security.symantec.com/sscv6/default.asp?productid=symhome&langid=jp&venid=sym
26 :login:Penguin :2006/10/05(木) 16:27:26 ID:PqMrisKX.net あります。イジョ
27 :login:Penguin :2006/10/05(木) 18:49:07 ID:aVDRRJ2f.net >>26 知らないなら黙っていたほうがいいですよ。 誘導 http://pc8.2ch.net/test/read.cgi/linux/1159944380/l50
28 :login:Penguin :2006/10/05(木) 19:01:43 ID:cvNabUiA.net >>25 http://nessus.org/
29 :login:Penguin :2006/10/05(木) 19:14:58 ID:cvNabUiA.net 追加 http://usat.sourceforge.net/
30 :login:Penguin :2006/10/05(木) 21:49:42 ID:PqMrisKX.net hGZwLmdO=aVDRRJ2f 26 :login:Penguin :sage :2006/10/05(木) 16:27:26 ID:PqMrisKX あります。イジョ >>26 知らないなら黙っていたほうがいいですよ。
31 :login:Penguin :2006/10/07(土) 14:22:18 ID:vF2ja7d/.net (苦笑) 26 名前:login:Penguin[sage] 投稿日:2006/10/05(木) 16:27:26 ID:PqMrisKX あります。イジョ 30 名前:login:Penguin[sage] 投稿日:2006/10/05(木) 21:49:42 ID:PqMrisKX hGZwLmdO=aVDRRJ2f 26 :login:Penguin :sage :2006/10/05(木) 16:27:26 ID:PqMrisKX あります。イジョ >>26 知らないなら黙っていたほうがいいですよ。
32 :login:Penguin :2007/01/21(日) 17:35:17 ID:Tv8fxT9H.net FACK YOUR!!
33 :login:Penguin :2007/02/13(火) 00:01:27 ID:yjsD2NqE.net ここって、debianのネットワークセキュリティーの話でいいのかな。 今、sidでseeditか、TOMOYOのどっちかを導入しようと思ってるんだけど、 どっちが簡単かな。
34 :login:Penguin :2007/02/13(火) 11:16:22 ID:M3BPWPHj.net デブは隔離スレで
35 :login:Penguin :2007/06/14(木) 04:07:32 ID:wUl9Z8HR.net いい趣旨のスレだと思うのでage。 ちなみに関連スレ: 【鉄壁】iptablesの使い方 3【ファイアウォール】 http://pc11.2ch.net/test/read.cgi/linux/1136593433/
36 :login:Penguin :2007/06/14(木) 10:58:27 ID:OEvSVDY+.net ネットワークセキュリティなら・・・・ そう、OpenBSDです。
37 :login:Penguin :2007/09/05(水) 14:38:44 ID:N/xrp7oK.net
38 :login:Penguin :2007/10/03(水) 18:04:30 ID:DelxZpX5.net GPL採用はわずか6% http://www.atmarkit.co.jp/news/200709/26/gpl.html Evans Dataが9月25日に発表した調査報告書によると、 オープンソースソフトウェアに取り組んでいる開発者の中で 「GNU General Public License(GPL)」を採用しているのは、 わずか6%に過ぎないという。 同社の「Evans Data Open Source Software Development Survey」では、 調査を行った開発者の3分の2が2008年にGPLを採用する予定はないと答え、 同43%がこれからも同ライセンスを利用しないと述べた。 また、GPLを採用したプロジェクトに参加する可能性はないと回答した人数は、 可能性があるとした人数の約2倍に達している。 同調査は、約400人の開発者を対象に行われた。
39 :login:Penguin :2007/10/03(水) 18:15:22 ID:avyt7u9Z.net >>38 記事は正確に引用しましょう。 その記事で触れられているのはGPLが6%では無くてGPLv3が6%です。 また引用文を改変する事は法的に禁じられているはずです。
40 :login:Penguin :2007/10/03(水) 21:53:28 ID:X5CWK/w7.net そんなことより釣りなら上げなきゃ駄目だろ
41 :login:Penguin :2008/06/04(水) 18:12:45 ID:iQKswejH.net 自分の選択でフリーターはともかくとして、 フリーターしか選択肢がないというのはよほど問題がある人だろう。 先天や事故で身体的に無理というならばまだしも、 精神的にとかは、もう笑うしかないな。 どれだけ甘えているのだと。 そういうのはバイトで当然だよ。 むしろ金をやる必要すら無い。
42 :login:Penguin :2008/12/28(日) 10:56:11 ID:SJubIa5c.net ほしゅ
43 :login:Penguin :2009/05/18(月) 13:27:21 ID:zBbprzQU.net ifconfigでIPv6を割り振ってみたいんだけど IPエイリアスでeth0:1とかにIPv6をどうやってつければいいの?
44 :login:Penguin :2009/06/10(水) 02:02:08 ID:VBAqSZYu.net つまりどういうことです?
45 :login:Penguin :2009/08/26(水) 23:26:04 ID:fTY2u3XK.net https://mikamail.dyndns.org/pukiwiki/?Linux%B4%D8%CF%A2%2FOS%2FCentOS%2F%A5%BB%A5%AD%A5%E5%A5%EA%A5%C6%A5%A3%B4%D8%CF%A2%2Fiptables を参考に、ブラックリストファイルに登録された接続先をiptablesで弾くスクリプトを作ってみましたが、合っているのでしょうか? #!/bin/sh #初期設定 ### IPフォワードの停止 ### echo 0 > /proc/sys/net/ipv4/ip_forward IPTABLES=/sbin/iptables #iptable初期化 $IPTABLES -F $IPTABLES -X $IPTABLES -Z #ブラックリストアクセスは、ログを吐いてdrop $IPTABLES -N b_log_drop $IPTABLES -A b_log_drop -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES Blacklist log] : ' $IPTABLES -A b_log_drop -j DROP ################################################## # ブラックリスト読み込み ################################################## while read LINE do iptables -I INPUT 1 -s $LINE -j b_log_drop iptables -I INPUT 1 -d $LINE -j b_log_drop iptables -I INPUT 1 -p icmp -s $LINE -j b_log_drop iptables -I INPUT 1 -p icmp -d $LINE -j b_log_drop done < /etc/iptables/blacklist.txt ################################################## # Initialize ################################################## ### 設定内容の保存 ### /etc/rc.d/init.d/iptables save ### IPフォワードの開始 ### echo 1 > /proc/sys/net/ipv4/ip_forward
46 :login:Penguin :2009/10/25(日) 22:45:48 ID:LbtqdK1A.net sudoってコマンドが普及しているけど、これってかなり危険だよね? なぜこんなにも普及しちゃったんだろうか。 シングルユーザで使っている人がほとんどのはずなのに。
47 :login:Penguin :2009/10/26(月) 01:04:34 ID:kbU6EIBx.net 何言ってんの?
48 :login:Penguin :2009/10/31(土) 20:08:55 ID:WFBh0DC7.net sudo なら、どのコマンドは誰が使えるか 設定できるんだよ。 使えるコマンドに制限つけなければそりゃ危険だ。 もっとも、シングルユーザーで root ログインの 奴にはどっちでも同じことだけどな。
49 :login:Penguin :2009/11/04(水) 11:31:04 ID:EfP2LvBc.net 個人一人だけでパーソナルコンピュータとして使っている人がほとんどのはず。 複数ユーザーで使っている人は少ないと思うのに、sudoが標準化されてしまった。 複数ユーザーで一つのパソコンなりサーバなりを共有してでもいないかぎり、 sudoを使わなければ不便ということもないし、sudoを入れることによって かえって危険度が増すと思うけど、どうなんだろう。
50 :login:Penguin :2009/11/04(水) 13:59:55 ID:YO73TQNX.net >>49 ユーザが一人か複数かが何か関係あんの?
51 :login:Penguin :2009/11/04(水) 17:28:54 ID:fE4/9RbV.net 後学のために どのように「かえって危険度が増す」のか 詳しく解説して欲しい。 suしたりrootアカウントでログインした方が安全なの?
52 :login:Penguin :2009/12/25(金) 11:34:22 ID:NtXOxghi.net それが必要な時だけrootログイン/su/sudoの何が危険なんだろう
53 :login:Penguin :2009/12/26(土) 01:24:33 ID:0iElouT+.net >>50 さすがにそれは関係あるでしょう。 それぞれのユーザーが勝手に自分の方針でシステムの中核をいじくるといずれ破綻する。 シングルユーザーの場合のsuもsudoも気を引き締めるためのひとつの儀式なのだと思う。
54 :login:Penguin :2010/07/22(木) 11:05:36 ID:2mXZrTNi.net ロードアベレージがある値を超えたら Netfilterで特定のポートへのパケットをDROPする、 ということはできるのでしょうか? iptables のモジュールで何か無いだろうかと 探したのですが見つけられませんでした。
55 :login:Penguin :2010/07/22(木) 11:22:35 ID:2mXZrTNi.net xinetd の max_load でできそうな気がしてきました。
56 :login:Penguin :2010/10/07(木) 17:31:10 ID:n1ueAS4v.net まぁ分かりやすい代表例として; 水牛のルーターでOpenWrt動かすとWAN側ポートがeth1、LAN側がeth0になる。 加えてヤマハのRT5x系のルーターでも、WAN側向けポートをLAN2として、(スイッチ有りの)LAN側向けをLAN1として扱ってる。 俺の自作ルーターでは別サブネットのLAN構成用のIFを増設する可能性を睨んで逆にしてある(WAN=eth0, LAN=eth1)んだが、 Linux/Unix的にWAN側IFとLAN側IFの命名法にお作法があるなら、その手法と理由を 教えてくだされ…
57 :login:Penguin :2010/10/07(木) 17:59:33 ID:OoscnR6n.net そもそも「WAN側/LAN側」って区別はないだろう。 単に「異なる二つのネットワーク」でしかないと思うが。
58 :login:Penguin :2010/10/07(木) 18:11:18 ID:n1ueAS4v.net 主にWAN向けとして使われる想定のIFと、同様にLAN向けとして使われる想定の IFの主従関係(無論OSから見ればそんな物は存在しないが…)みたいなのが、上みた いになる例が多いのは何故かなと思ったワケです。ちなみにFonera+もそうなってまして…
59 :login:Penguin :2012/06/07(木) 00:01:20.15 ID:7nZsB6R1.net ふむ
60 :login:Penguin :2012/09/07(金) 09:55:58.15 ID:IeH0FKbw.net 上げます。 WiMAXですが、NECのWM3600Rというモバイルルーターをお使いの方はいませんか? 無線LANではなくてUSBで接続して充電しながら占有したいのですが、 同メーカーのWM3500Rと違ってネットでは動作報告が見つかりません。 USBに直接接続した場合に、cdc_etherドライバーで認識されるか試せる方いらしたらお願いします。 ちなみに今のところLinuxでUSB接続できるのは、WM3500RとMobileCubeの2機種のようです。
61 :login:Penguin :2012/09/19(水) 20:36:00.10 ID:0aiFI4NW.net もしかして、whoisコマンドを連続実行すると怒られる?
62 :login:Penguin :2012/10/22(月) 09:54:55.87 ID:GDZy0hyz.net netstat 使うと、今現在使用中のプログラムが一覧できるけど 一瞬使って終了するプログラムは見れないです。 ネットワークを使った瞬間を捕まえる方法はありますか?
63 :login:Penguin :2012/10/23(火) 00:39:03.52 ID:XJ4Ig0yE.net ネット回りのソースから改変して自分でビルドしてハックするとか
64 :login:Penguin :2012/10/23(火) 11:46:22.19 ID:0oB+osl5.net libpcapとか使って出来ないですかね
65 :login:Penguin :2012/12/29(土) 02:03:40.56 ID:sdAWpDdh.net >>62 audit
66 :login:Penguin :2013/04/27(土) 08:22:44.04 ID:Fbbvorob.net サーバーのselinuxやiptablesを無効にしていいのですか? サーバーを一台一台セキュリティ設定すると手間が大変だと思うので、 サーバーは無防備にしてファイアウォールで外部からのアクセスをフィルタするのがいいと感じました 初心者なのでなにが正しいのか判断が難しいです 間違っていたら教えてください
67 :login:Penguin :2013/04/27(土) 08:29:48.66 ID:oZTkQdLm.net 自分で判断できない人がサーバなんか立てちゃだめです。
68 :login:Penguin :2013/04/29(月) 17:00:54.98 ID:sHMYg9rN.net >>66 「初心者なのでなにが正しいのか判断が難しい」のに 「一台一台セキュリティ設定すると手間が大変」 と感じるほど大量のサーバを管理してるの? 一体どんな状況なのか想像がつかない
69 :login:Penguin :2013/04/29(月) 19:08:09.64 ID:1QD4kptZ.net 設定するときだけ無効にするでしょ。
70 :login:Penguin :2013/05/03(金) 12:27:00.72 ID:haPQerqG.net つか、複数のサーバに全部同じ設定するなら 同じ設定ファイルを全部のサーバにコピーするだけでいいと思うんだが 何が大変なのかな
71 :login:Penguin :2013/12/20(金) 15:10:21.59 ID:SBamnEmQ.net 「プロプライエタリのアプリケーションは何をやっているか見えない。 もし個人情報をどこかに勝手に送信していたら、どうするんだ?」 「君はいつも何をやっているか見えないクラウドに 個人情報を自ら送信しているじゃないか」
72 :login:Penguin :2013/12/20(金) 19:05:11.35 ID:BeCEkC11.net >>71 前者はそのアプリがアクセスできる範囲にある情報全て。 後者は送信した情報のみ。 これが同じ運用をしてるってことか。
73 :login:Penguin :2013/12/20(金) 19:17:49.06 ID:l2hrSU6+.net マイクロソフト以外は信用できん。
74 :login:Penguin :2013/12/23(月) 00:51:49.76 ID:K1QKUFhF.net debianの本スレはよ
75 :login:Penguin :2013/12/25(水) 19:23:52.05 ID:9Oa/hQjQ.net セキュリティ対策はめんどくせ
76 :login:Penguin :2013/12/25(水) 21:38:59.48 ID:C/S2jqW/.net OpenVASのセキュリティホールわろた。Debianパッケージがアップデートされてないからポートあいてたらドンなボットでかなり簡単に乗っ取れてしまう。 アップデートする気ないならOPENVASはしばらく停止させないかんね
77 :login:Penguin :2013/12/26(木) 14:32:17.28 ID:w3iaz9Uz.net iptables とか pf とか、ゴリゴリ掻くかね? あたしゃ、もうそんなに若くないよ
78 :login:Penguin :2013/12/26(木) 19:56:39.31 ID:v3xbB5pP.net メンドくさくて shorewall から乗り換えらんねー
79 :login:Penguin :2014/02/03(月) 01:13:02.11 ID:p6emkNr5.net ファイヤーウォールルール 「DNSクエリ」 ・そのまま通す。 「DNSリプライ」 ・Netfilterキューにパケットを送る。 ・判定プログラムでこれを一旦受け取る。 ・libresolvライブラリでメッセージ解析。 ・ダイアログ(Xdialog)で接続先のホスト情報を表示。 ・問題のIPアドレスを、動的なホワイトゾーンか動的なブラックゾーンに登録。 ・判定プログラムはパケットを改めて通す。 (したがって、アプリケーションはこのIPアドレスに接続要求を出す。) 「こちら(アプリケーション)側からインターネットへの接続要求」 上のリプライ解析でホワイトゾーンに入ったアドレスはACCEPT。ブラックゾーンはREJECT。 ってな感じで、(MacOSX環境でのHands Off!的な)外向き管理のファイヤーウォールが出来た・・もよう。 iptablesは直接叩いてないが、Shorewallいいよね。 材料: ・libnetfilter_queue(NETFILTER_NETLINK_QUEUEとその他諸々) ・libresolv ・libsqlite3 DNSリプライが予想以上にキューに(多分俺が止めてるから)流れ込んできて一悶着だったんだが、 もっとスマートな機構でも用意されてないのかな。 「このアプリがここに接続しますよ」ってカーネルさんが1つずつ優しく教えてくれるような・・・
80 :login:Penguin :2014/02/12(水) 21:51:30.75 ID:razmMZEi.net ウィルスには強いよ。それは認めよう。 でもクライムウェアに掛かれば、BiOSの設定を変えられたり、時刻を変えられたり そういう現象はトラブルとして起きるからね。 例の通信速度設定パラメータもいじられたりする。 鈍感なLinuxユーザーは気づかない。
81 :login:Penguin :2014/02/14(金) 16:40:44.86 ID:fHcWoz/b.net クライムウェアにかかればねw
82 :login:Penguin :2014/02/14(金) 17:28:35.29 ID:NFMEganc.net ウイルスに強いのか? あまり対象にされないだけじゃないのか。
83 :login:Penguin :2016/06/13(月) 22:31:10.02 ID:THPCncF9.net age
84 :login:Penguin :2017/09/18(月) 10:48:39.80 ID:/8qljawN.net 自ホストのNICに、 Ubuntuなら/etc/network/interfacesで、 CentOSなら /etc/sysconfig/network-scripts/ifcfg-xxx で、 サブネットマスク定義しているけど、 これって何故定義するんだろうって思う。 と言うのは、「宛先ネットワークアドレス」とか、サブネットって、 送信元やルータが「このホストはこのネットワークに所属しているから ここに転送する」って認識しているのであって、そのホストが 自身で決めるというよりは、外部のホスト毎に認識されるものなんじゃ ないか? ARPで問い合わせられたときに、「私のマスクはこの範囲です」って 言う感じで、「私のIPは1.2.3.4です(1点)」だけでなくて、範囲も返答 してるってこと? そしてARPの返答を受け取った側が、受け取ったサブネットマスク値で ルーティングテーブルを動的に登録してくれるってことでいいのかな。 (そうなると、ルータ側で、統一的にサブネット区分けをしているのが 容易に変更可能になってしまうが... staticなルートのほうが優先??) 同様に、DNSのドメイン名をホスト側のNICに設定するのもよくわからない これってDNSサーバ側のリソースレコードで定義される情報なんじゃない のかなって思う。しかもDNSの方は、ARPみたいな全てのホストに問い合わせる 仕組みじゃないはずだし。
85 :login:Penguin :2017/09/18(月) 12:09:00.43 ID:OtEjdxK0.net いろいろごっちゃになってるな 自ホストと同一ネットワーク内にあるホスト宛にしかパケットは直接送れない ネットマスクにより同一ネットワーク内にあるホストのIPアドレスの範囲が決まる パケット送信先IPアドレスがその範囲内なら自分で直接パケットを送る 範囲外ならルーターにパケットを送り転送を依頼する ARPは「このIPアドレスを使ってるのは誰?」と聞きMACアドレスを返してもらう 自分のIPアドレスを返したりネットマスクを返したりはしない ルーティング情報の交換はまた別の話 それには動的ルーティングプロトコルでの通信が必要 OSインストール時等に入力する自ホストのドメイン名は 実際にはあまり使われていない
86 :login:Penguin :2017/09/18(月) 12:29:24.43 ID:/8qljawN.net >>85 めっちゃスッキリしました。ありがとう。 保存版にしたいわ。 そうか、NICで設定しているサブマスによってそもそも範囲内 ならルータに送らないのな。 ARPについては仰るとおりです。勘違いしていました。 DNSは気にしなくていいのね。
87 :login:Penguin :2017/09/18(月) 14:34:51.09 ID:OtEjdxK0.net 所属ネットワーク範囲内宛でもルータに送っても折り返して送ってくれることも多い でも送り返してくれないこともあるしそもそも2回通信するのは無駄だしあまりやるべきではない あと個人的意見になるけど今は「サブネットマスク」ではなく「ネットマスク」と言うべきだと思う 「サブネット」はクラスAとかCとか言ってた時代の古い言葉
88 :login:Penguin :2017/09/18(月) 15:27:47.76 ID:/8qljawN.net >>87 つまり、こういうこと? 「集合に属している要素」からみてその「集合」はあくまで 「集合」であって、それに「サブ」をつけるのはおかしいって 感じ? 単純に考えればあくまでも「自分の番号」と「自分をグルーピングしている範囲」 を指定すればよいって事か。
89 :login:Penguin :2017/09/18(月) 16:54:57.50 ID:OtEjdxK0.net >>88 理屈の話じゃなくて歴史的な話 https://www.nic.ad.jp/ja/basics/terms/cidr.html 昔はクラスフルなアドレス体系で 各組織に区切り位置固定のざっくりしたネットワークアドレスを割り振っていた それを組織内でいくつかのサブネットに分けて使っていた 今はもうクラスレスで区切りをどこにでも置けるから 何かの一部かどうかとかあんまり気にしない どうせいまどき直接使うのは192.168.xx.0/24とかでしょ それは何の「サブ」なのか気にしないよね、ってこと
90 :login:Penguin :2017/09/18(月) 20:58:45.29 ID:T5GqduU2.net OtEjdxK0 やべえなネットワークの解説本書けるぞ # もしかしてすでに書いてたり?
91 :login:Penguin :2017/09/18(月) 22:30:29.48 ID:OtEjdxK0.net 書いてないよ
92 :login:Penguin :2017/09/19(火) 00:10:35.36 ID:NKBfJRbw.net そうか。書いてホスイ
93 :login:Penguin :2017/12/29(金) 13:49:55.78 ID:S/CsVkMC.net 誰でも簡単にパソコン1台で稼げる方法など 参考までに、 ⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。 グーグル検索⇒『宮本のゴウリエセレレ』 KAIFYLUYV5
94 :login:Penguin :2018/05/22(火) 11:03:54.25 ID:Czl6p0FW.net 僕の知り合いの知り合いができた副業情報ドットコム 関心がある人だけ見てください。 グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』 KX34O
95 :login:Penguin :2019/06/22(土) 09:46:09.76 ID:BWxAJ8Sj.net ここ数日、TCPに関する重大なバグの影響により、アップデートが大量に来ている。 また、 ◆snapアプリのアップデートはaptコマンドでは不可能である。 初心者向けに、Ubuntuを例にセキュリティーアップデートの手順を示す。(Kubuntu、Xubuntu、LubuntuなどのUbuntuフレーバーたちも同じ) (1)ターミナルを開き、下記のコマンドを打ち、最新情報を取得する。 $ sudo apt update (2)最新の情報が取得され、システムは最新ですとの表示が出たら(4)に飛ぶ。もし、アップデートの必要のあるパッケージがあることが示されたら、次のコマンドを打ち、パッケージをダウンロードしてインストールする。 $ sudo apt -y upgrade ちなみに「-y」オプションは付けても付けなくても良いが、付けなかった場合には、ダウンロード直後に本当にインストールして良いかを[Y/N]と表示して確認してくる。この場合はYesを意味するYを押すことでインストールが始まる。 「-y」オプションを付けるとこの手順が飛ばされてダウンロードが完了次第、すぐにインストールが開始される。 (3)次の2つのコマンドは、それぞれ上記のコマンド実行の結果として、不要となった古いパッケージ、不要となったキャッシュを削除する。掃除であるから実行はたまにで良いが、ストレージ容量が少ない環境の人は頻繁にやるべきだろう。 $ sudo apt autoremove $ sudo apt autoclean (4)次にsnapアプリの更新を行う。 $ sudo snap refresh snapアプリをインストールした覚えが無くとも、システムがsnapを使っているため必ず実行すること。例えばGNOMEシェルはsnapであり、Ubuntu18.04.x LTSはすでに更新の必要が出ているので、未実行であれば直ぐに実行し最新版にしよう。 GUIからはすべてのアップデートや掃除はできない。取り分けsnapは(4)の手動アップデートでなければ更新できない。 出来るだけ毎日、しっかりアップデートを行い、セキュアなLinuxライフを送ろう。
96 :login:Penguin :2020/12/17(木) 12:50:14.74 ID:acP+nqb6.net OBG
97 :login:Penguin :2021/06/02(水) 22:10:43.10 ID:lGeVvDmG.net >>89 それ言っちゃえば10.0.0.0/8のLANをサブネット分割する場合もあるし どのネットワークのサブネットかという分類は今でも現役でしょ。 サブセット・スーパーセットとかの用法と同じでいいんでないの?
98 :login:Penguin :2021/06/02(水) 22:11:20.52 ID:lGeVvDmG.net うわ、どえりゃー古いカキコにレスしちまったよw
99 :login:Penguin :2021/06/02(水) 22:26:18.99 ID:h4hY+6NO.net このスレ今月で15周年じゃん
100 :login:Penguin :2022/04/11(月) 13:32:39.24 ID:28SRxXFF.net ip route って名前解決しないの?
101 :login:Penguin :2023/03/28(火) 11:58:36.32 ID:NWQ61ZV2.net 熱々のカキフライを乳首の上に乗せる仕事始めたら母親が泣いた
102 :login:Penguin :2023/05/07(日) 18:13:54.36 ID:N6dx4e/k.net ipコマンドってみんなちゃんと使ってる? いまだにifconfigに頼ってない?
32 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★
本文 スレッドタイトル 投稿者