GNU/Linux とネットワーク/セキュリティ

1 ：login:Penguin：2006/06/20(火) 00:50:49 ID:TOCwtSsF.net

Unix 系 OS にとってネットワーク/セキュリティ知識は必須ではないかと思い
またそういったスレッドが見当たらないので建てました。

基礎的なネットワーク知識、セキュリティ
それらを実現するサービス

kernel 再構築によるセキュリティ確保など

関連団体などの情報も必須でしょう。

私のお薦め
初心者向け Network 講座
定番ですが
Roads to Node
http://www5e.biglobe.ne.jp/~aji/
フラッシュなどを用いて視覚的に解説がなされています
また読みものとしても面白いです。

みなさんも情報提供していただけませんか？

#蛇足ー個人の尊厳こそ Freedom

2 ：login:Penguin：2006/06/20(火) 01:05:36 ID:h78XFNGn.net

爾

3 ：login:Penguin：2006/06/20(火) 10:03:34 ID:inE/6ivp.net

GNUが付くとDebianスレの派生かと思う

4 ：login:Penguin：2006/06/21(水) 19:27:47 ID:/uqjxurW.net

どこで質問しようかとスレ一覧眺めてたら、ちょうどこんなスレが出来てた。
借ります。


swatch + iptables で /var/log/secureを監視して不正(と見える)ログインを遮断するよう設定しました。
不正ログイン感知 → 該当アドレスを iptables で DROP → atで30分後に解除という一連のアクションを設定しています。

リアルタイムでの遮断動作自体はうまく行っているのですが、
なぜか不定期的に /var/log/secure に記録されている不正と見なされたアドレスが全部「再度」遮断されてしまいます。
つまり、「新規に」加わったログだけでなく、ログファイル上に残っている「すべての行」が何度もチェックされてしまい、
既に30分以上経過して遮断解除されていたアドレスが、その度に遮断されてしまうのです。
その結果「設定を間違っていて引っかかったユーザが、設定を修正した後も時々ログインできなくなる」
という困った状況になってしまっています。
(現在は手作業で /var/log/secure から該当する行を削除することで対応してます)

swatchのバージョンは 3.1.1、
起動オプションは --config-file /etc/swatch.conf --tail-file /var/log/secure --use-cpan-file-tail --daemon です。
(実際には他に諸々のディレクトリ指定のオプションもありますが割愛)
/etc/swatch.confには

watchfor　　　　/proftpd.*\[(\d+\.\d+\.\d+\.\d+)\].*Maximum login attempts/
　　　　exec "/sbin/iptables -A INPUT -s $1 -j DROP"
　　　　exec "echo '/sbin/iptables -D INPUT -s $1 -j DROP' | at now+30min"

といった感じで13個程パターンが登録されています。

ぐぐってみましたが、類似した話は見つけられませんでした。
原因 & 対策が分かる方がいらっしゃったら、よろしくご教示ください。

5 ：login:Penguin：2006/06/24(土) 21:06:11 ID:JDvjyGFc.net

う〜む
返答なしか
どこで聞こう

6 ：login:Penguin：2006/06/24(土) 22:07:14 ID:m9/Mfs1J.net

2行目が実行されてないだけじゃないの？

7 ：login:Penguin：2006/06/25(日) 03:46:25 ID:rU7/qJVV.net

を、反応があった。

>>6
いや、iptables -F INPUT が実行されてるのは確認済みです。

ところが忘れた頃に /var/log/secure の中にある既に処理済みのやつが
同じ時間に再びダ〜〜〜〜っと DROP されてしまうのです。
>>4 では省略したのですが、watchfor のアクションでは最後に

exec "echo `date '+%y-%m-%d %H:%M:%S'` $1 ftpd - maxmum attempts exceeded >> /var/log/swatch/`date +%y%m%d`.log"

という感じで、日付別にログを残してるので、これと /var/log/secure とを見比べると
「実際の不正ログイン」がなかったとき、まったく同じ時刻で数十件もログが記録されてたりするわけです。
syslogのローテートが行われてる週末まで、どんどんその行数が増え続けるので、
チェックすると日を追ってどんとん嫌な気分になります。

8 ：login:Penguin：2006/06/25(日) 03:47:58 ID:rU7/qJVV.net

書き間違えた。

× いや、iptables -F INPUT が実行されてるのは確認済みです
○ いや、iptables -D INPUT が実行されてるのは確認済みです

9 ：login:Penguin：2006/06/25(日) 04:52:17 ID:0p4CcI7d.net

再起動してない？

10 ：login:Penguin：2006/06/25(日) 06:09:21 ID:rU7/qJVV.net

してません。
swatchを再起動させると当然 pid が変わるので、
(--script-dir で指示されたディレクトリにある)実行スクリプトも新しくなります。
古いものは消去されずに残りますので、
再起動されればその数だけスクリプトが残るはずです。

一日に数回は「謎のログ総点検」が行われますが、
そのような数のスクリプトは存在しません。
(つか、手動で再起動、あるいはlogrotate の際の自動再起動分しかありません)

11 ：login:Penguin：2006/06/25(日) 06:10:22 ID:rU7/qJVV.net

昨日の 19時以降だけでも、19:16:55 と 19:51:19 の二度「謎のログ総点検」が行われました。
この二回だけで実に180行のログが残されています。
さきほどsyslogのローテイトが行われたところで、昨夜はログが一週間分貯まっていた訳です。
昨日は夕方に一旦ログを消去したので、こんな行数ですが、丸一日放置した後だと 1000行近くなってしまいます。
これをチェックするのは正直ウンザリな感じです。

皆さんのところでは swatch が「ログ総点検」を行うなどという現象は起きていないのでしょうか?
一体何がトリガーになってるのか、見当がつかなくて困ります。
どうすれば「トリガー」を調べられるか、そのヒントでも頂けるとありがたいです。

12 ：login:Penguin：2006/06/25(日) 11:31:39 ID:T581Ntvh.net

--tail-file=/var/log/secure

13 ：login:Penguin：2006/06/25(日) 13:16:56 ID:0p4CcI7d.net

本人が関係ないと思って省略してるところに問題があることも多いかも知れません

14 ：login:Penguin：2006/06/25(日) 16:21:05 ID:rU7/qJVV.net

>>12
あ、本当だ。=が抜けてますね。
これで直るのかな。試してみます。

しかし、manを見るとオプションの指定で = あるのとないのとゴチャマゼですね。
--config-file では = 不要、tail file の指定も --tail あるいは -t の場合は不要となってる。

あれ?
synopsisだと--restart-time は = 不要になってるのに、command line options では 必要となってる。
どっちでもいいのか?w

15 ：login:Penguin：2006/06/25(日) 16:21:40 ID:rU7/qJVV.net

>>13
省略……といっても、あと起動スクリプトの中身では
swatchへのオプションを実際にはshell変数使って渡してることとか
start/stop/restart の分岐処理とか
それくらいです。

# start では重複起動と設定ファイル類の存在チェック→起動しかやってません

16 ：login:Penguin：2006/06/26(月) 05:39:54 ID:bSdJbdKs.net

その後 >>12 の修正を加えてみましたが変化なしで、やはり何度も「総点検」が発生しています。

/var/log/secure と見比べると、「謎の総点検」が行われるのは、
不正ログインではない通常のログインがあって、ログに行の追加があったときに一致しているようです。
ただ、もちろん「すべての正常ログイン」の場合に発生する訳ではないので、
何か別の要因が重なった場合のようです。

引き続き情報がありましたら、よろしくお願いします。

17 ：login:Penguin：2006/07/01(土) 19:22:04 ID:7ibUZkIS.net

eth0とeth1を使ってマスカレード組んでます。
iptables -t nat -A POSTROUTING -s 192.168.1.0/8 -o eth1 -j MASQUERADE
ここまでは良いのですが、local側(eth0)のパケットをプログラムに取り込んで、
必要に応じてeth1に流したいのです・・・
Filterでは困難なので、プログラムを投入したいのですが、
raw socketでeth0から読んでeth1に書込んでみたのですが、
どうも、socket I/Fからの出力ではMASQUERADE経由しないようです。
（当たり前なの？？）
何か良い方法ありますか? 宜しく御教示ください

18 ：login:Penguin：2006/07/02(日) 01:33:05 ID:fHH/ns+1.net

promisc ?

19 ：login:Penguin：2006/07/03(月) 09:00:44 ID:03m/PJWz.net

そう
promisc
で拾ってます。
拾うのはOKなんですけどね
書いた後にマスカレードされずにそのままでてってしまう・・・

20 ：login:Penguin：2006/07/03(月) 18:49:41 ID:Dsl3dR/n.net

当たり前

21 ：login:Penguin：2006/07/03(月) 20:25:49 ID:03m/PJWz.net

ありがとうございます・・・
POSTROUTINGの前段をうまく捕まえる技があればと思ったのですが・・・
ソース読みます
失礼しましたm(-_-)m

22 ：login:Penguin：2006/09/26(火) 23:15:29 ID:6d8a7QLm.net

「GPLは危険」 複数のLinuxカーネル開発者が共同声明
http://opentechpress.jp/opensource/article.pl?sid=06/09/26/0227202
---
TorvaldsはLKMLへのメールの中で、Bottomleyの意見に同意している。
「僕の個人的な意見を言うと、 公開議論の大部分が、
　GPLに関して政治的な動機を持った人たちによって行なわれているなあということ。
　だからとても声の大きなGPL支持者たちがいる。
　だけど大量の開発を結局のところ実際にやってる人たちっていうのは
　普通は彼らほど口が達者じゃないし、実際その意見はほとんど知られてないって気がする。
　FSFの意見は実際の開発者の（しかも、かなり多数の）意見を必ずしも代弁してはいないっ
　てことを、 実際の作業をたくさんやる人たちが知らしめる手段だ。」

23 ：login:Penguin：2006/09/26(火) 23:18:30 ID:APFX152O.net

>>22
おまえはさっさと死ね

24 ：login:Penguin：2006/09/27(水) 00:06:48 ID:GDpkbWDq.net

「GPLは瀕死の状態」--Linuxカーネルプログラマーの多くが低評価
http://japan.cnet.com/news/ent/story/0,2000056022,20248447,00.htm

貢献度の高いLinuxカーネルプログラマーの大半が、
「GNU General Public License（GPL）」に否定的であることがわかった。
GPLは多くのオープンソースプロジェクトに適用されている。

Linuxカーネルに関する情報を交換するメーリングリストに投稿した記事によれば、
カーネルプログラマーらに-3から+3の評価を求めた結果、最も高かった評価は、
可でも不可でもないことを意味する0で、平均は-2だったという。
この調査はLinuxを率いるLinus Torvalds氏が提起したもので、
Torvalds氏はこれまでにもGPLに反対の意見を表明していた。

25 ：login:Penguin：2006/10/05(木) 11:29:41 ID:hGZwLmdO.net

↓のようなポートスキャンなどを行ってセキュリティリスクをレポートしてくれるサービスで
linuxでも使えるものはないでしょうか?

Symantec Security Check
ttp://security.symantec.com/sscv6/default.asp?productid=symhome&langid=jp&venid=sym

26 ：login:Penguin：2006/10/05(木) 16:27:26 ID:PqMrisKX.net

あります。ｲｼﾞｮ

27 ：login:Penguin：2006/10/05(木) 18:49:07 ID:aVDRRJ2f.net

>>26 知らないなら黙っていたほうがいいですよ。
　誘導　http://pc8.2ch.net/test/read.cgi/linux/1159944380/l50

28 ：login:Penguin：2006/10/05(木) 19:01:43 ID:cvNabUiA.net

>>25
http://nessus.org/

29 ：login:Penguin：2006/10/05(木) 19:14:58 ID:cvNabUiA.net

追加
http://usat.sourceforge.net/

30 ：login:Penguin：2006/10/05(木) 21:49:42 ID:PqMrisKX.net

hGZwLmdO=aVDRRJ2f
26 ：login:Penguin ：sage ：2006/10/05(木) 16:27:26 ID:PqMrisKX
あります。ｲｼﾞｮ
>>26 知らないなら黙っていたほうがいいですよ。

31 ：login:Penguin：2006/10/07(土) 14:22:18 ID:vF2ja7d/.net

（苦笑）

26 名前：login:Penguin[sage] 投稿日：2006/10/05(木) 16:27:26 ID:PqMrisKX
あります。ｲｼﾞｮ


30 名前：login:Penguin[sage] 投稿日：2006/10/05(木) 21:49:42 ID:PqMrisKX
hGZwLmdO=aVDRRJ2f
26 ：login:Penguin ：sage ：2006/10/05(木) 16:27:26 ID:PqMrisKX
あります。ｲｼﾞｮ
>>26 知らないなら黙っていたほうがいいですよ。

32 ：login:Penguin：2007/01/21(日) 17:35:17 ID:Tv8fxT9H.net

ＦＡＣＫ　ＹＯＵＲ！！

33 ：login:Penguin：2007/02/13(火) 00:01:27 ID:yjsD2NqE.net

ここって、debianのネットワークセキュリティーの話でいいのかな。
今、sidでseeditか、TOMOYOのどっちかを導入しようと思ってるんだけど、
どっちが簡単かな。

34 ：login:Penguin：2007/02/13(火) 11:16:22 ID:M3BPWPHj.net

デブは隔離スレで

35 ：login:Penguin：2007/06/14(木) 04:07:32 ID:wUl9Z8HR.net

いい趣旨のスレだと思うのでage。　

ちなみに関連スレ：
【鉄壁】iptablesの使い方 3【ファイアウォール】
http://pc11.2ch.net/test/read.cgi/linux/1136593433/

36 ：login:Penguin：2007/06/14(木) 10:58:27 ID:OEvSVDY+.net

ネットワークセキュリティなら・・・・

そう、OpenBSDです。

37 ：login:Penguin：2007/09/05(水) 14:38:44 ID:N/xrp7oK.net

　

38 ：login:Penguin：2007/10/03(水) 18:04:30 ID:DelxZpX5.net

GPL採用はわずか6％
http://www.atmarkit.co.jp/news/200709/26/gpl.html

Evans Dataが9月25日に発表した調査報告書によると、
オープンソースソフトウェアに取り組んでいる開発者の中で
「GNU General Public License（GPL）」を採用しているのは、
わずか6％に過ぎないという。
同社の「Evans Data Open Source Software Development Survey」では、
調査を行った開発者の3分の2が2008年にGPLを採用する予定はないと答え、
同43％がこれからも同ライセンスを利用しないと述べた。

また、GPLを採用したプロジェクトに参加する可能性はないと回答した人数は、
可能性があるとした人数の約2倍に達している。

同調査は、約400人の開発者を対象に行われた。

39 ：login:Penguin：2007/10/03(水) 18:15:22 ID:avyt7u9Z.net

>>38
記事は正確に引用しましょう。
その記事で触れられているのはGPLが6%では無くてGPLv3が6%です。
また引用文を改変する事は法的に禁じられているはずです。

40 ：login:Penguin：2007/10/03(水) 21:53:28 ID:X5CWK/w7.net

そんなことより釣りなら上げなきゃ駄目だろ

41 ：login:Penguin：2008/06/04(水) 18:12:45 ID:iQKswejH.net

自分の選択でフリーターはともかくとして、
フリーターしか選択肢がないというのはよほど問題がある人だろう。
先天や事故で身体的に無理というならばまだしも、
精神的にとかは、もう笑うしかないな。
どれだけ甘えているのだと。
そういうのはバイトで当然だよ。
むしろ金をやる必要すら無い。

42 ：login:Penguin：2008/12/28(日) 10:56:11 ID:SJubIa5c.net

ほしゅ

43 ：login:Penguin：2009/05/18(月) 13:27:21 ID:zBbprzQU.net

ifconfigでIPv6を割り振ってみたいんだけど
IPエイリアスでeth0:1とかにIPv6をどうやってつければいいの？

44 ：login:Penguin：2009/06/10(水) 02:02:08 ID:VBAqSZYu.net

つまりどういうことです？

45 ：login:Penguin：2009/08/26(水) 23:26:04 ID:fTY2u3XK.net

https://mikamail.dyndns.org/pukiwiki/?Linux%B4%D8%CF%A2%2FOS%2FCentOS%2F%A5%BB%A5%AD%A5%E5%A5%EA%A5%C6%A5%A3%B4%D8%CF%A2%2Fiptables
を参考に、ブラックリストファイルに登録された接続先をiptablesで弾くスクリプトを作ってみましたが、合っているのでしょうか？
#!/bin/sh
#初期設定
### IPフォワードの停止 ###
echo 0 > /proc/sys/net/ipv4/ip_forward
IPTABLES=/sbin/iptables
#iptable初期化
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
#ブラックリストアクセスは、ログを吐いてdrop
$IPTABLES -N b_log_drop
$IPTABLES -A b_log_drop -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES Blacklist log] : '
$IPTABLES -A b_log_drop -j DROP
##################################################
# ブラックリスト読み込み
##################################################
while read LINE
do
iptables -I INPUT 1 -s $LINE -j b_log_drop
iptables -I INPUT 1 -d $LINE -j b_log_drop
iptables -I INPUT 1 -p icmp -s $LINE -j b_log_drop
iptables -I INPUT 1 -p icmp -d $LINE -j b_log_drop
done < /etc/iptables/blacklist.txt
##################################################
# Initialize
##################################################
### 設定内容の保存 ###
/etc/rc.d/init.d/iptables save
### IPフォワードの開始 ###
echo 1 > /proc/sys/net/ipv4/ip_forward

46 ：login:Penguin：2009/10/25(日) 22:45:48 ID:LbtqdK1A.net

sudoってコマンドが普及しているけど、これってかなり危険だよね？
なぜこんなにも普及しちゃったんだろうか。
シングルユーザで使っている人がほとんどのはずなのに。

47 ：login:Penguin：2009/10/26(月) 01:04:34 ID:kbU6EIBx.net

何言ってんの？

48 ：login:Penguin：2009/10/31(土) 20:08:55 ID:WFBh0DC7.net

sudo なら、どのコマンドは誰が使えるか
設定できるんだよ。
使えるコマンドに制限つけなければそりゃ危険だ。


もっとも、シングルユーザーで root ログインの
奴にはどっちでも同じことだけどな。

49 ：login:Penguin：2009/11/04(水) 11:31:04 ID:EfP2LvBc.net

個人一人だけでパーソナルコンピュータとして使っている人がほとんどのはず。
複数ユーザーで使っている人は少ないと思うのに、sudoが標準化されてしまった。

複数ユーザーで一つのパソコンなりサーバなりを共有してでもいないかぎり、
sudoを使わなければ不便ということもないし、sudoを入れることによって
かえって危険度が増すと思うけど、どうなんだろう。

50 ：login:Penguin：2009/11/04(水) 13:59:55 ID:YO73TQNX.net

>>49
ユーザが一人か複数かが何か関係あんの?

51 ：login:Penguin：2009/11/04(水) 17:28:54 ID:fE4/9RbV.net

後学のために
どのように「かえって危険度が増す」のか
詳しく解説して欲しい。

suしたりrootアカウントでログインした方が安全なの?

52 ：login:Penguin：2009/12/25(金) 11:34:22 ID:NtXOxghi.net

それが必要な時だけrootログイン/su/sudoの何が危険なんだろう

53 ：login:Penguin：2009/12/26(土) 01:24:33 ID:0iElouT+.net

>>50
さすがにそれは関係あるでしょう。
それぞれのユーザーが勝手に自分の方針でシステムの中核をいじくるといずれ破綻する。
シングルユーザーの場合のsuもsudoも気を引き締めるためのひとつの儀式なのだと思う。

54 ：login:Penguin：2010/07/22(木) 11:05:36 ID:2mXZrTNi.net

ロードアベレージがある値を超えたら
Netfilterで特定のポートへのパケットをDROPする、
ということはできるのでしょうか？
iptables のモジュールで何か無いだろうかと
探したのですが見つけられませんでした。

55 ：login:Penguin：2010/07/22(木) 11:22:35 ID:2mXZrTNi.net

xinetd の max_load でできそうな気がしてきました。

56 ：login:Penguin：2010/10/07(木) 17:31:10 ID:n1ueAS4v.net

まぁ分かりやすい代表例として；
水牛のルーターでOpenWrt動かすとWAN側ポートがeth1、LAN側がeth0になる。
加えてヤマハのRT5x系のルーターでも、WAN側向けポートをLAN2として、(スイッチ有りの)LAN側向けをLAN1として扱ってる。

俺の自作ルーターでは別サブネットのLAN構成用のIFを増設する可能性を睨んで逆にしてある(WAN=eth0, LAN=eth1)んだが、
Linux/Unix的にWAN側IFとLAN側IFの命名法にお作法があるなら、その手法と理由を
教えてくだされ…

57 ：login:Penguin：2010/10/07(木) 17:59:33 ID:OoscnR6n.net

そもそも「WAN側/LAN側」って区別はないだろう。
単に「異なる二つのネットワーク」でしかないと思うが。

58 ：login:Penguin：2010/10/07(木) 18:11:18 ID:n1ueAS4v.net

主にWAN向けとして使われる想定のIFと、同様にLAN向けとして使われる想定の
IFの主従関係(無論OSから見ればそんな物は存在しないが…)みたいなのが、上みた
いになる例が多いのは何故かなと思ったワケです。ちなみにFonera+もそうなってまして…

59 ：login:Penguin：2012/06/07(木) 00:01:20.15 ID:7nZsB6R1.net

ふむ

60 ：login:Penguin：2012/09/07(金) 09:55:58.15 ID:IeH0FKbw.net

上げます。
WiMAXですが、NECのWM3600Rというモバイルルーターをお使いの方はいませんか?
無線LANではなくてUSBで接続して充電しながら占有したいのですが、
同メーカーのWM3500Rと違ってネットでは動作報告が見つかりません。
USBに直接接続した場合に、cdc_etherドライバーで認識されるか試せる方いらしたらお願いします。
ちなみに今のところLinuxでUSB接続できるのは、WM3500RとMobileCubeの2機種のようです。

61 ：login:Penguin：2012/09/19(水) 20:36:00.10 ID:0aiFI4NW.net

もしかして、whoisコマンドを連続実行すると怒られる？

62 ：login:Penguin：2012/10/22(月) 09:54:55.87 ID:GDZy0hyz.net

netstat 使うと、今現在使用中のプログラムが一覧できるけど
一瞬使って終了するプログラムは見れないです。

ネットワークを使った瞬間を捕まえる方法はありますか？

63 ：login:Penguin：2012/10/23(火) 00:39:03.52 ID:XJ4Ig0yE.net

ネット回りのソースから改変して自分でビルドしてハックするとか

64 ：login:Penguin：2012/10/23(火) 11:46:22.19 ID:0oB+osl5.net

libpcapとか使って出来ないですかね

65 ：login:Penguin：2012/12/29(土) 02:03:40.56 ID:sdAWpDdh.net

>>62
audit

66 ：login:Penguin：2013/04/27(土) 08:22:44.04 ID:Fbbvorob.net

サーバーのselinuxやiptablesを無効にしていいのですか？
サーバーを一台一台セキュリティ設定すると手間が大変だと思うので、
サーバーは無防備にしてファイアウォールで外部からのアクセスをフィルタするのがいいと感じました
初心者なのでなにが正しいのか判断が難しいです
間違っていたら教えてください

67 ：login:Penguin：2013/04/27(土) 08:29:48.66 ID:oZTkQdLm.net

自分で判断できない人がサーバなんか立てちゃだめです。

68 ：login:Penguin：2013/04/29(月) 17:00:54.98 ID:sHMYg9rN.net

>>66
「初心者なのでなにが正しいのか判断が難しい」のに
「一台一台セキュリティ設定すると手間が大変」
と感じるほど大量のサーバを管理してるの?

一体どんな状況なのか想像がつかない

69 ：login:Penguin：2013/04/29(月) 19:08:09.64 ID:1QD4kptZ.net

設定するときだけ無効にするでしょ。

70 ：login:Penguin：2013/05/03(金) 12:27:00.72 ID:haPQerqG.net

つか、複数のサーバに全部同じ設定するなら
同じ設定ファイルを全部のサーバにコピーするだけでいいと思うんだが

何が大変なのかな

71 ：login:Penguin：2013/12/20(金) 15:10:21.59 ID:SBamnEmQ.net

「プロプライエタリのアプリケーションは何をやっているか見えない。
もし個人情報をどこかに勝手に送信していたら、どうするんだ？」

「君はいつも何をやっているか見えないクラウドに
個人情報を自ら送信しているじゃないか」

72 ：login:Penguin：2013/12/20(金) 19:05:11.35 ID:BeCEkC11.net

>>71
前者はそのアプリがアクセスできる範囲にある情報全て。
後者は送信した情報のみ。

これが同じ運用をしてるってことか。

73 ：login:Penguin：2013/12/20(金) 19:17:49.06 ID:l2hrSU6+.net

マイクロソフト以外は信用できん。

74 ：login:Penguin：2013/12/23(月) 00:51:49.76 ID:K1QKUFhF.net

debianの本スレはよ

75 ：login:Penguin：2013/12/25(水) 19:23:52.05 ID:9Oa/hQjQ.net

セキュリティ対策はめんどくせ

76 ：login:Penguin：2013/12/25(水) 21:38:59.48 ID:C/S2jqW/.net

OpenVASのセキュリティホールわろた。Debianパッケージがアップデートされてないからポートあいてたらドンなボットでかなり簡単に乗っ取れてしまう。

アップデートする気ないならOPENVASはしばらく停止させないかんね

77 ：login:Penguin：2013/12/26(木) 14:32:17.28 ID:w3iaz9Uz.net

iptables とか pf とか、ゴリゴリ掻くかね?
あたしゃ、もうそんなに若くないよ

78 ：login:Penguin：2013/12/26(木) 19:56:39.31 ID:v3xbB5pP.net

メンドくさくて shorewall から乗り換えらんねー

79 ：login:Penguin：2014/02/03(月) 01:13:02.11 ID:p6emkNr5.net

ファイヤーウォールルール
「DNSクエリ」
・そのまま通す。
「DNSリプライ」
・Netfilterキューにパケットを送る。
・判定プログラムでこれを一旦受け取る。
・libresolvライブラリでメッセージ解析。
・ダイアログ（Xdialog）で接続先のホスト情報を表示。
・問題のIPアドレスを、動的なホワイトゾーンか動的なブラックゾーンに登録。
・判定プログラムはパケットを改めて通す。
（したがって、アプリケーションはこのIPアドレスに接続要求を出す。）
「こちら（アプリケーション）側からインターネットへの接続要求」
上のリプライ解析でホワイトゾーンに入ったアドレスはACCEPT。ブラックゾーンはREJECT。

ってな感じで、（MacOSX環境でのHands Off!的な）外向き管理のファイヤーウォールが出来た・・もよう。
iptablesは直接叩いてないが、Shorewallいいよね。

材料：
・libnetfilter_queue（NETFILTER_NETLINK_QUEUEとその他諸々）
・libresolv
・libsqlite3

DNSリプライが予想以上にキューに（多分俺が止めてるから）流れ込んできて一悶着だったんだが、
もっとスマートな機構でも用意されてないのかな。
「このアプリがここに接続しますよ」ってカーネルさんが１つずつ優しく教えてくれるような・・・

80 ：login:Penguin：2014/02/12(水) 21:51:30.75 ID:razmMZEi.net

ウィルスには強いよ。それは認めよう。

でもクライムウェアに掛かれば、BiOSの設定を変えられたり、時刻を変えられたり
そういう現象はトラブルとして起きるからね。
例の通信速度設定パラメータもいじられたりする。
鈍感なLinuxユーザーは気づかない。

81 ：login:Penguin：2014/02/14(金) 16:40:44.86 ID:fHcWoz/b.net

クライムウェアにかかればねｗ

82 ：login:Penguin：2014/02/14(金) 17:28:35.29 ID:NFMEganc.net

ウイルスに強いのか？
あまり対象にされないだけじゃないのか。

83 ：login:Penguin：2016/06/13(月) 22:31:10.02 ID:THPCncF9.net

age

84 ：login:Penguin：2017/09/18(月) 10:48:39.80 ID:/8qljawN.net

自ホストのNICに、
Ubuntuなら/etc/network/interfacesで、
CentOSなら /etc/sysconfig/network-scripts/ifcfg-xxx で、
サブネットマスク定義しているけど、
これって何故定義するんだろうって思う。
と言うのは、「宛先ネットワークアドレス」とか、サブネットって、
送信元やルータが「このホストはこのネットワークに所属しているから
ここに転送する」って認識しているのであって、そのホストが
自身で決めるというよりは、外部のホスト毎に認識されるものなんじゃ
ないか？
ARPで問い合わせられたときに、「私のマスクはこの範囲です」って
言う感じで、「私のIPは1.2.3.4です(1点)」だけでなくて、範囲も返答
してるってこと?
そしてARPの返答を受け取った側が、受け取ったサブネットマスク値で
ルーティングテーブルを動的に登録してくれるってことでいいのかな。
(そうなると、ルータ側で、統一的にサブネット区分けをしているのが
容易に変更可能になってしまうが... staticなルートのほうが優先??)

同様に、DNSのドメイン名をホスト側のNICに設定するのもよくわからない
これってDNSサーバ側のリソースレコードで定義される情報なんじゃない
のかなって思う。しかもDNSの方は、ARPみたいな全てのホストに問い合わせる
仕組みじゃないはずだし。

85 ：login:Penguin：2017/09/18(月) 12:09:00.43 ID:OtEjdxK0.net

いろいろごっちゃになってるな

自ホストと同一ネットワーク内にあるホスト宛にしかパケットは直接送れない
ネットマスクにより同一ネットワーク内にあるホストのIPアドレスの範囲が決まる
パケット送信先IPアドレスがその範囲内なら自分で直接パケットを送る
範囲外ならルーターにパケットを送り転送を依頼する

ARPは「このIPアドレスを使ってるのは誰？」と聞きMACアドレスを返してもらう
自分のIPアドレスを返したりネットマスクを返したりはしない

ルーティング情報の交換はまた別の話
それには動的ルーティングプロトコルでの通信が必要

OSインストール時等に入力する自ホストのドメイン名は
実際にはあまり使われていない

86 ：login:Penguin：2017/09/18(月) 12:29:24.43 ID:/8qljawN.net

>>85
めっちゃスッキリしました。ありがとう。
保存版にしたいわ。
そうか、NICで設定しているサブマスによってそもそも範囲内
ならルータに送らないのな。
ARPについては仰るとおりです。勘違いしていました。
DNSは気にしなくていいのね。

87 ：login:Penguin：2017/09/18(月) 14:34:51.09 ID:OtEjdxK0.net

所属ネットワーク範囲内宛でもルータに送っても折り返して送ってくれることも多い
でも送り返してくれないこともあるしそもそも2回通信するのは無駄だしあまりやるべきではない

あと個人的意見になるけど今は「サブネットマスク」ではなく「ネットマスク」と言うべきだと思う
「サブネット」はクラスAとかCとか言ってた時代の古い言葉

88 ：login:Penguin：2017/09/18(月) 15:27:47.76 ID:/8qljawN.net

>>87
つまり、こういうこと？
「集合に属している要素」からみてその「集合」はあくまで
「集合」であって、それに「サブ」をつけるのはおかしいって
感じ？
単純に考えればあくまでも「自分の番号」と「自分をグルーピングしている範囲」
を指定すればよいって事か。

89 ：login:Penguin：2017/09/18(月) 16:54:57.50 ID:OtEjdxK0.net

>>88
理屈の話じゃなくて歴史的な話

https://www.nic.ad.jp/ja/basics/terms/cidr.html
昔はクラスフルなアドレス体系で
各組織に区切り位置固定のざっくりしたネットワークアドレスを割り振っていた
それを組織内でいくつかのサブネットに分けて使っていた
今はもうクラスレスで区切りをどこにでも置けるから
何かの一部かどうかとかあんまり気にしない
どうせいまどき直接使うのは192.168.xx.0/24とかでしょ
それは何の「サブ」なのか気にしないよね、ってこと

90 ：login:Penguin：2017/09/18(月) 20:58:45.29 ID:T5GqduU2.net

OtEjdxK0 やべえなネットワークの解説本書けるぞ

# もしかしてすでに書いてたり？

91 ：login:Penguin：2017/09/18(月) 22:30:29.48 ID:OtEjdxK0.net

書いてないよ

92 ：login:Penguin：2017/09/19(火) 00:10:35.36 ID:NKBfJRbw.net

そうか。書いてホスイ

93 ：login:Penguin：2017/12/29(金) 13:49:55.78 ID:S/CsVkMC.net

誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒　『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。

グーグル検索⇒『宮本のゴウリエセレレ』

KAIFYLUYV5

94 ：login:Penguin：2018/05/22(火) 11:03:54.25 ID:Czl6p0FW.net

僕の知り合いの知り合いができた副業情報ドットコム
関心がある人だけ見てください。
グーグルで検索するといいかも『ネットで稼ぐ方法　モニアレフヌノ』

KX34O

95 ：login:Penguin：2019/06/22(土) 09:46:09.76 ID:BWxAJ8Sj.net

ここ数日、TCPに関する重大なバグの影響により、アップデートが大量に来ている。

また、
◆snapアプリのアップデートはaptコマンドでは不可能である。

初心者向けに、Ubuntuを例にセキュリティーアップデートの手順を示す。（Kubuntu、Xubuntu、LubuntuなどのUbuntuフレーバーたちも同じ）

（１）ターミナルを開き、下記のコマンドを打ち、最新情報を取得する。

$ sudo apt update

（２）最新の情報が取得され、システムは最新ですとの表示が出たら（４）に飛ぶ。もし、アップデートの必要のあるパッケージがあることが示されたら、次のコマンドを打ち、パッケージをダウンロードしてインストールする。

$ sudo apt -y upgrade

ちなみに「-y」オプションは付けても付けなくても良いが、付けなかった場合には、ダウンロード直後に本当にインストールして良いかを［Y/N］と表示して確認してくる。この場合はYesを意味するYを押すことでインストールが始まる。
「-y」オプションを付けるとこの手順が飛ばされてダウンロードが完了次第、すぐにインストールが開始される。

（３）次の２つのコマンドは、それぞれ上記のコマンド実行の結果として、不要となった古いパッケージ、不要となったキャッシュを削除する。掃除であるから実行はたまにで良いが、ストレージ容量が少ない環境の人は頻繁にやるべきだろう。

$ sudo apt autoremove

$ sudo apt autoclean

（４）次にsnapアプリの更新を行う。

$ sudo snap refresh

snapアプリをインストールした覚えが無くとも、システムがsnapを使っているため必ず実行すること。例えばGNOMEシェルはsnapであり、Ubuntu18.04.x LTSはすでに更新の必要が出ているので、未実行であれば直ぐに実行し最新版にしよう。

GUIからはすべてのアップデートや掃除はできない。取り分けsnapは（４）の手動アップデートでなければ更新できない。
出来るだけ毎日、しっかりアップデートを行い、セキュアなLinuxライフを送ろう。

96 ：login:Penguin：2020/12/17(木) 12:50:14.74 ID:acP+nqb6.net

OBG

97 ：login:Penguin：2021/06/02(水) 22:10:43.10 ID:lGeVvDmG.net

>>89
それ言っちゃえば10.0.0.0/8のLANをサブネット分割する場合もあるし
どのネットワークのサブネットかという分類は今でも現役でしょ。
サブセット・スーパーセットとかの用法と同じでいいんでないの？

98 ：login:Penguin：2021/06/02(水) 22:11:20.52 ID:lGeVvDmG.net

うわ、どえりゃー古いカキコにレスしちまったよｗ

99 ：login:Penguin：2021/06/02(水) 22:26:18.99 ID:h4hY+6NO.net

このスレ今月で15周年じゃん

100 ：login:Penguin：2022/04/11(月) 13:32:39.24 ID:28SRxXFF.net

ip route って名前解決しないの？

101 ：login:Penguin：2023/03/28(火) 11:58:36.32 ID:NWQ61ZV2.net

熱々のカキフライを乳首の上に乗せる仕事始めたら母親が泣いた

102 ：login:Penguin：2023/05/07(日) 18:13:54.36 ID:N6dx4e/k.net

ipコマンドってみんなちゃんと使ってる？
いまだにifconfigに頼ってない？