俺の日記帳　第二冊目

1 ：login:Penguin：2007/05/03(木) 12:29:53 ID:CbgoHqlv.net

批判は受け付けない。

381 ：カミナリ桃 ◆hzkudVaLnM ：2010/11/23(火) 01:04:02 ID:BTRqYlfH.net

さくらのVPSでubuntuインスコ。Web鯖として動かす。

セキュリティが気になって仕方がない。
公開鯖でiptableだけはさすがに怖い。
何かしら入れてみたいが最近のLinuxセキュリティ事情がよくわからない。
tripwireとかsnortとか現役なのだろうか？

382 ：login:Penguin：2010/11/23(火) 01:24:45 ID:LH/DQNd7.net

iptable 以外にも最低 host 制御と不要なサービスを止めることはすべきだよ
tripwire は現役だと思うけど頻繁にアップデートするなら結構面倒だと思う
近年頻繁にアップデートが主流だからあまり流行らんのかな
サーバで最低限しかアップデートしないなら悪くないと思う
一方面倒だから必要なアップデートしなくなるならかえってまずい

383 ：カミナリ桃＠携帯：2010/11/26(金) 00:12:56 ID:PnqJ5ZLh.net

382さんありがとーo(＞＜)o

色々書きたいが規制中でパソコンから書き込めない件orz
メモ用に増田にでも書くか…

384 ：login:Penguin：2010/11/28(日) 18:09:01 ID:YUjRBeae.net

おお、このスレ未だ機能してたんだ！
どのコテハンも応援してるよ！

385 ：カミナリ桃 ◆hzkudVaLnM ：2010/11/30(火) 22:12:47 ID:BusF+RxR.net

規制解除ｋｔｋｒ！
やっと日記書き込めるよ〜（つд｀）

>>383
Linux板の平均スレ寿命が長いおかげでこのスレも長生きっす＞＜
突発的にメモりたいネタが出来たら、是非フラッと書き込みに来て下さい〜ﾉｼ

386 ：カミナリ桃 ◆hzkudVaLnM ：2010/12/03(金) 13:35:30 ID:giMJF3zU.net

# tripwireメモ
sudo aptitude safe-upgradeしたら以下を実行する
$ sudo tripwire -m i

ルールの修正をした場合は以下を実行する
$ sudo twadmin -m P -S site.key twpol.txt
$ sudo tripwire -m i

# 実行前に怪しいログが無いか確認しておくこと

387 ：カミナリ桃 ◆hzkudVaLnM ：2010/12/04(土) 15:02:23 ID:7wxOLZZU.net

Apacheで公開してるディレクトリなどをtripwireでチェックするようにしてみた。
以下適当に作ってみたルール。

# apache log
(
rulename = "Apache log",
severity = $(SIG_HI)
)
{
/home/www/log -> $(SEC_LOG) ;
}

# public directory
(
rulename = "hoge site",
severity = $(SIG_HI)
)
{
/home/www/hoge_site -> $(SEC_BIN) ;
!/homo/www/hoge_site/sitemap.xml;
!/homo/www/hoge_site/sitemap.xml.gz;
!/homo/www/hoge_site/wp-content;
}

388 ：カミナリ桃 ◆hzkudVaLnM ：2010/12/04(土) 15:18:07 ID:7wxOLZZU.net

↑のhoge_siteにはwordpressをぶっ込んでます。
で、ここで色々と問題が。

1.うまいこと無視できない
wp-contentディレクトリは写真のアップロードなどで構成がしょっちゅう変化するため、
wp-content以下全部を無視したいが、上記の書き方で無視してくれなくて涙目…orz

2.ルールの指定が微妙…？
hoge_siteに指定している$(SEC_BIN)のルール、これって実は微妙な気がする。
$SEC_CRIT（ $(IgnoreNone)-SHaのこと）を使った方が良いんじゃね？


そのほかtripwireで気になってることとして…
3./var/log以下のルールをどうしたものか…
/var/logがデフォルト設定だと$(SEC_CONFIG)で指定してるが、これでいいのかどうか…
logrotetoされてるおかげでしょっちゅう変化あるし、$(SEC_LOG)は無理。
そうするとやはり$(SEC_CONFIG)が妥当だろうか…


まぁこの件はゆっくり考えよう。
他のセキュリティ、特にapparmorをぶっ込みたい。
あれをapacheの各公開ディレクトリ毎にかけることが出来れば、
ゼロデイアタック防止に相当役に立つのだが。
しかし日本語文献が少ないorz
頑張って英語文献を当たらねば…

389 ：カミナリ桃 ◆hzkudVaLnM ：2010/12/06(月) 01:41:23 ID:B2JdjiML.net

Ubuntuで公開サーバやってる人のメモが役に立ちそうなので記録に残してみる。

荒巻サーバーの構築 - labs.scaltinof.net
http://labs.scaltinof.net/memo/server-setup

内容
・セットアップ時における種々のセキュリティ設定に関する記録が多め
・AppArmor+WordPressな構成について参考になりそう

荒巻サーバって一体…

390 ：カミナリ桃 ◆hzkudVaLnM ：2010/12/07(火) 01:27:43 ID:nL6stT2T.net

apparmor+apacheがうまくいかねぇorz
英語で↓こんなことを言われるよ…

　　　　　　　　　　　　　 　　|￣｀`''- ､
　　　　　　　　　　　　　 　　|　　　　　 ｀ﾞ''ｰ- ､　　＿＿＿＿＿＿__
　　　　　　　　　　　　　 　　|　　　 ,. -‐ ''´￣￣｀ヽ､＿　　　　　 　 /
　　　　　　　　　　　　　　　 |, - '´￣　 　 　 　 　 　 　 ｀ヽ、 　 　 /
　　　　　　　　　　　　　　／　　　　　　　　　　　　　　　｀ヽ､ヽ 　 /
　　　　　　　　　　　　 _/　　　　　　　　　　　　　　　　　　　 ヽヽ/
　　　　　　　　　　 ／ / / 　 /　　/　 /　　　　　　　　　　　　ヽﾊ
　　　　　　　　　 く　 / /! 　 | 　 〃 _/__　l|　　 | | 　 |　　|　 | | ||ヽ
　　　　　　　　　　 ＼l//　/ |　 /|'´ ∧　 ||　　 | |ｰ､||　　|　 | l　| ヽ
　　　　　　　　　　　　/ハ/　|　 | ヽ/　ヽ | ヽ　 | ||　/|ヽ/!　 |/　|　ヽ
　　　　　　　　　　　 /　|　　||ヽ { ,r===､　　 ＼| _!V　|//　//　 .! 　 |
　　　　　　　　　　　 |　|| 　 |l　|ヽ!'´￣｀ﾞ 　 ,　　==ミ､ /イ川　　|─┘
　　　　　　　　　　　 | ﾊ||　 ||　|　"""　┌---┐　　｀　 /　//　 |
　　　　　　　　　　　 V　!ヽ ト! ヽ､　　　 | 　 　 !　　　　/　//|　/
　　　　　　　　　　　　　　 ヽ! ＼ハ`　､ ヽ､__ノ　 　 ,.イ/ // | /
　 　 ┌/）/）/）/）/）/）/）/）/）/）lｰ/　` ー‐┬ '´ レ//l/　|/
　　　 |（/（/（/（/（/（/（/（/（/（/│||　　　 　 |＼　 〃
　　r'´￣ヽ.　　　　　 　 　 　 　 | | ト　　　 /　 　 ＼
　 /　￣｀ｱ　設定したことを　 | | |　　⌒/　　　　 入
　 〉　￣二)　知ってるが　　　 | | |　　／　　 　 ／/ ヽ
　〈! 　 ,. -'　 　 　 　 　 　 　 　 | | ヽ∠-----',　'´　 　 ',
　 | ＼| | 　 .お前のルールが | |<二Z二￣　 ／　　 　 ',
　 | 　 | |　　 　 　 　　 　　　　 _r'---|　　[ ｀`ヽ､　　　　　 ',
　 | 　 | |　　　気に入らない　>-､__　　　 [　　　 ヽ　　 　 　!
　　＼.| l.　　　　　　　　　 　 　 ヽ､　 　 　 [　　　　 ヽ　　　　|
　　　 ヽ|　　　　　　　　　　　　　　＼　 　 r'　　　　　ヽ､　 　 |