無料プロバイダ(ホームページを置くだけ)を2つほどささやかに運営しているものです。広告なしでやってるせいかこのごろ急にユーザーが増え、今200人弱います。
自分、企画運営はともかくサーバー管理は苦手なので(かろうじて初級のUNIXコマンドが使える程度)LINUXサーバをデフォルト設定のままWEBサーバとして動かしてました。
そうすると、先日「善意のハッカー集団」の(普段は企業相手にハッキング請負をされてるとか)かたから
「不要ポートが開きすぎていて、セキュリティ以前の問題」
と緊急でメールを頂きました。
あわててhttp、ftp、telnet、smtp以外のポートを閉め(苦戦しました)
DebianLinuxのページに載っているアップデートを全部行ったのですが、
私の対応はこれで合っていたのでしょうか?
No.5ベストアンサー
- 回答日時:
□sshの場合
# apt-get install ssh
とかで関連するパッケージも引っ張ってきてインストールしてくれると思います。
後は、使用するクライアント用の鍵を ssh-keygenで生成。
~/.ssh/authorized_keys に公開鍵を追加。
公開鍵と秘密鍵をttssh(teraterm ssh)を使う端末にコピーすれば
使えると思います。
□portsentry
debianの場合 unstableとか testingにはパッケージがあるのですが
安定版にはまだないようです。インストール自体はdebianのサイトから
ソースコードとパッチをダウンロードし
(http://ftp.debian.org/debian/dists/woody/non-fre …
http://ftp.debian.org/debian/dists/woody/non-fre …
http://ftp.debian.org/debian/dists/woody/non-fre …
% tar xvzf portsentry_1.0.orig.tar.gz
% cd portsentry-1.0
% patch -p1 < ../portsentry_1.0-1.7.diff
% make linux
% su
# make install
# cp debian/init.d /etc/initd/portsentry
適宜 /etc/rc[0-9].dにリンクを張る。同じく以下の
設定ファイルを/etc/portsentryにコピーする。
portsentry-add-ip
portsentry.conf
portsentry.ignore.static
startup.conf
portsentry-build-ignore-file
portsentry-rm-ip
portsentry.ignore
一応 portsentry.conf startup.confの内容は運用条件に
合ってるか確認し必要に応じ変更。
起動は以下ので良いはず。
# cd /etc/init.d/
# ./portsentry start
詳しい解説をありがとうございます。
そこまでできるのに「一般人」を名乗ってしまうというところが
逆にネットの怖いところですよね。
管理する側もうかうかしてられません。
No.4
- 回答日時:
sshについてですが、別にインストールすれば一発で動いちゃいますよ。
えっとデーモンがわはsshdで検索すればいい解説がのってるサイトが
あるのでそれをみればいいでしょう。
ターミナルがわですが、私はwinodws端末を使うことが多いので
TeraTermのssh対応版をつかってます
www.vector.co.jpでteratermをダウンロードして
下記のサイトからダウンロードしたのを同じ場所に展開するだけ
だったとおもう・・・・
参考URL:http://www.zip.com.au/~roca/ttssh.html
ありがとうございます。
Teratermでいいのなら「ソフトを指定」して
やり方をページででも指定すれば良いですね。
何しろユーザーに初級、中級が多いので聞きかじりで(正しいんですけど)
ユーザーパスワード変更できないのぉ?と聞いてくるので、
telnet系は何かいるのです・・・。
No.3
- 回答日時:
追伸。
本屋に行けば多分この類いの本が何冊かあると思います。
昨年、常時接続にしたさいに自分が購入したのは
以下奴です。(おすすめというよりたまたま今手元にあるだけです。(-_-;)
「Linux版 クラッカー迎撃完全ガイド」
発行インプレス
isbn-8443-1360-6
ありがとうございます。
本、探してみたのですが売ってなかった・・・。
その他の本はどれもこれも分厚くて
「こんなに読まなきゃいけないの?」
ってものばかりでした。
No.2
- 回答日時:
□可能なら
・telnetも閉じて代わりにsshを利用する。
・ftpは、anonymousとかftpでは接続できないようにするか、いっその事閉じてscpを利用する。
・mailアカウントを発行してないのならsmtpも止める。
・mailを使用する必要があるなら
・・smtp-authを導入する。
・・popもapopなどを使用する。
・・当然中継はしないよう設定する。
・ネットワークへの接続の構成が判らないのですが Firewallを設定した方がより安全です。
□追加の確認事項
以下inetdを経由しないで起動する設定の場合があるため動いていない事を確認する。
・samba (smbd, nmbd)
・portmapper (portmap)
□追加で設定/インストールした方がよいものたち
・portsentry (http://www.psionic.com/abacus/portsentry/) portscan検知ツール
・aide (http://www.cs.tut.fi/~rammer/aide.html) 又は tripwire (http://www.tripwire.com/) ファイル改竄確認用
・cronで定期的にログファイルを外部メディアにバックアップする。
というところでしょうか...
# しかし、善意のハッカー集団てなんだ...(-_^;
ありがとうございます。
samba、porymapperはpsで調べたのですが動いてはないです。
追加で設定するものは文献が全部英語っぽいので骨がありそうですが、
頑張ります。
可能ならの項目もユーザーに悪影響が出ないように気をつけながら、
順番に試してみます。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・人生のプチ美学を教えてください!!
- ・10秒目をつむったら…
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・【大喜利】【投稿~9/18】 おとぎ話『桃太郎』の知られざるエピソード
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
リモートデスクトップに接続で...
-
TeraTermからレンタルサーバー...
-
ネットにつながっていない社内P...
-
BIOSによるUSB-HUB設定について
-
BIOSの読み込みが遅い?
-
USBポートに物を挿すとフリーズ...
-
NVR500からコマンドでWOLす...
-
「0.0.0.0」や「127.0.0.1」の...
-
P2Pビデオチャットソフト
-
デフォルトゲートウェイにping...
-
ASUS P8Z77-PROの不具合について
-
スカイプ使用中に突然PCが落...
-
ネットワークアダプタをリセッ...
-
不正なサービスの起動元の特定...
-
レオネットでのインターネット...
-
スマホの自動電源オンオフと再...
-
買ったばかりにパソコン
-
自作PC 組み立て後~
-
FMVマイページ、FMVサーチが勝...
-
Google Chromeの文字の表示がぼ...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
リモートデスクトップに接続で...
-
ネットにつながっていない社内P...
-
デフォルトゲートウェイにping...
-
スマホの自動電源オンオフと再...
-
iPhone 車に乗ると勝手に曲再生...
-
USBポートに物を挿すとフリーズ...
-
BIOSによるUSB-HUB設定について
-
BIOSの読み込みが遅い?
-
起動しないMacのデータを取り出...
-
Default Gatewayが空欄になって...
-
HDDを交換したらF1キーを押さな...
-
PCI Ethernet Controller (L...
-
スカイプ使用中に突然PCが落...
-
TeraTermからレンタルサーバー...
-
VNCがうまくいかない(redhat9)
-
FONのwifi設定について
-
win XPでeo光接続
-
必要環境をクリアしているのにS...
-
huionの液タブの電源がつきませ...
-
MACアドレスを知るには?
おすすめ情報