カテゴリー「Linux Tips」の記事

ブラックリストへの考察　メールのSPAMチェック DMARC、DNSBLについて

2018年8月7日 / Linux Tips, Security Tips, セキュリティ日記, ノウハウ

投稿者：担当者

昔よりも更に複雑になったと思うサーバの種類にメールシステム(smtpサーバ:MTA)がある。振り返ってみると２０年くらい前はデフォルトで作ったメールサーバでもすぐにインターネット上で使えましたが、今は兎に角セキュリティが厳しいので単純な設定ではまともに動かない。ガチガチだなーと感じる。時折サーバ講義の仕事をすると一番厄介なのがメールサーバの解説。正直言って１週間勉強した程度で理解できるのは初心者程度の知識だと思う。アンチSPAMの仕組みについては年々高度になっている。油断しているとおいて行かれるので定期的に情報に目を通さなければならないが、最近の技術の中ではDMARCはさすが効果あるね！と実感できる仕組み。この機能はSMTP通信におけるなりすましを確実にブロックしてくれる。単純ななりすましなら１００％ブロックできるだろう。送信サーバがスパイウェアに感染していたら駄目だと思うが、そうなっていない限り大変安全な仕組みと思う。

DMARCを使用してよかった事

以前は、時折自分のメールアドレスFromで数は多くはなかったが１年に２，３回程度送信されてくることがあったがDMARCを導入してからはピタリと止まった。更に嬉しいことに偽メールを送られた受信メールサーバからレポートがxmlで送られてくるので実態が掴める。殆どがgmailとyahooメールからのものだが、これだけ人の名前とメールアドレスを騙って送る輩がいたのだと気付かされる。つまり実際にはもっと沢山偽メールが横行していたと考えられる。もちろんDMARCを実装しているメールサーバでなければこのようなやり取りはできないが、今後必須のシステムになってきそうだと思います。特にビジネスで利用されている企業は共有ホスティングのおまけでついてくるメールは使ってはいけないと私は思います。

DMARCの導入は難しい？

メールサーバの導入になれている人なら１，２時間の学習でDMARCは導入できると思います。DKIM,SPFを入れた経験があるならすぐに理解できると思います。少しDKIM,SPFでやったような作業がつきまといますが非常に難易度の高いものではありません。作業の中にDNSのレコードを操作する箇所があるのでDNSを知らない人は大変かもしれませんがぜひチャレンジしてみてください。CentOSでやるよりもUbuntuのほうがハードルが低そうです。

DNSBLの信頼性

DNSBLシステムは世界に点在しブラックリスト情報を収集して無料で使えるメールSPAM対策サービスが幾つかある。このサービスはDNSの仕組みを利用したレピュテーションサービス（ブラックリストの判定を返す）だが運営組織が何しろ非営利な組織だから出来ては消えての繰り返し。日本ではRBL.JPという日本のスパムデータ・ベースもあったが廃止されており、現在はほとんど海外のサービスを利用するのが多くなった。厄介なのは昨今のIPアドレス汚染だ。プロバイダーの持っているIPアドレスはリサイクルされるため、過去にブラックだったIPだとかなり厄介になることがあります。というのはDNSBLやWEBのブラックQUERYサービスの中にはネットワークブロックで設定しているケースが少なからずあるからだ。そうするとホワイトなIPアドレスでもブラック扱いにされてしまう可能性が十分にありえます。誤判定の多くは過去のIP悪さが起因するのもあるけれど、このようにネットワークマスクの縛りが原因でなってしまう場合もあります。IPアドレスのご判定は殆どが申請で取り消せるようになっていますがネットワークブロックで管理している場合は無理な時もあります。その意味でサーバを借りるときは必ずIPアドレスのチェックを行うことと、IPアドレスの再割り当てができるホスティングがベストです。

SPAM対策用のmain.cfの一部抜粋

reject_rbl_client が記述されているあたりがDNSBLのサーバエントリー。お付き合いしている会社により効きすぎたり、効かなすぎたりあるため使いながら外したりして調整を行う。

smtpd_helo_required = yes
disable_vrfy_command = yes
strict_rfc821_envelopes = yes
invalid_hostname_reject_code = 554
unknown_local_recipient_reject_code = 554
unknown_relay_recipient_reject_code = 554
unknown_sender_reject_code = 554
unknown_virtual_alias_reject_code = 554
unknown_virtual_mailbox_reject_code = 554
unverified_recipient_reject_code = 554
unverified_sender_reject_code = 554
multi_recipient_bounce_reject_code = 554
non_fqdn_reject_code = 554
relay_domains_reject_code = 554
unknown_address_reject_code = 554
unknown_client_reject_code = 554
unknown_hostname_reject_code = 554

smtpd_recipient_restrictions = permit_mynetworks,
                                reject_invalid_hostname,
                                reject_unauth_pipelining,
                                permit_sasl_authenticated,
                                reject_unauth_destination,
                                reject_unauth_pipelining,
                                reject_unknown_recipient_domain,
                                reject_rbl_client b.barracudacentral.org,
                                reject_rbl_client zen.spamhaus.org,
                                reject_rbl_client bl.spamcop.net,
                                reject_rbl_client multi.uribl.com,
                                reject_rbl_client bsb.spamlookup.net,
                                check_policy_service unix:private/policy,
                                permit

smtpd_helo_required = yes

disable_vrfy_command = yes

strict_rfc821_envelopes = yes

invalid_hostname_reject_code = 554

unknown_local_recipient_reject_code = 554

unknown_relay_recipient_reject_code = 554

unknown_sender_reject_code = 554

unknown_virtual_alias_reject_code = 554

unknown_virtual_mailbox_reject_code = 554

unverified_recipient_reject_code = 554

unverified_sender_reject_code = 554

multi_recipient_bounce_reject_code = 554

non_fqdn_reject_code = 554

relay_domains_reject_code = 554

unknown_address_reject_code = 554

unknown_client_reject_code = 554

unknown_hostname_reject_code = 554

smtpd_recipient_restrictions = permit_mynetworks,

reject_invalid_hostname,

reject_unauth_pipelining,

permit_sasl_authenticated,

reject_unauth_destination,

reject_unauth_pipelining,

reject_unknown_recipient_domain,

reject_rbl_client b.barracudacentral.org,

reject_rbl_client zen.spamhaus.org,

reject_rbl_client bl.spamcop.net,

reject_rbl_client multi.uribl.com,

reject_rbl_client bsb.spamlookup.net,

check_policy_service unix:private/policy,

permit

共有サーバは勘違い判定の巣窟になる。

共有サーバは１台のサーバに多数のサイトが運営されるサーバですが、このサイトの中に詐欺サイトやマルウェア感染原因のサイトがあるとどうなるかご存知でしょうか？プロバイダーが認識した場合はプロバイダーから改善通知や停止を言われますが、実際のところ運営者も気づいていないものもかなりあると思います。私も自分のお客様で幾つかこの様な例を経験しましたが、結論はGoogleやYahooの検索結果に出てこなくなりました。イメージ的にはGoogleのインデックスには残っているのでしょうが、一時的にマスクされているように思えます。ブラック発見は無料のbaraccudacntral.orgのサービスでチェックし、その後別のプライベートホスティングに移設しDNSを切り替えたところ５分で検索結果にTOP5で表示されるようになりました。この経験でGoogleが如何に様々な詐欺行為のサイトを抑え込むチェックを行ってるかがわかりました。ビジネスで本気勝負をかけて集客、販売する会社は共有サーバ使ってはいけませんね。

備忘録：Linux Firewall(iptablesの典型的パターン集）

2018年8月4日 / Linux Tips, Security Tips, トピックス, ノウハウ

投稿者：担当者

CentOS7からiptablesからfirewalldにデフォルトfirewallが変わっていますが、実際のところFirewalldの中身はiptablesなので操作体系が変わっただけなんだけどね。個人的には長く使ってきたiptablesが好きなので相変わらずCentOS7の導入後はiptablesに切り替えています。それに今までの蓄積してきたスクリプトなども活用できるのでiptablesでいいんじゃないと思っています。ルールを記述するにも毎度忘れてしまうためメモとして残します。

Firewalldからiptablesへ切り替え

# systemctl stop firewalld
# systemctl disable firewalld
# yum install iptables-services
# systemctl start iptables
# systemctl enable iptables

# systemctl stop firewalld

# systemctl disable firewalld

# yum install iptables-services

# systemctl start iptables

# systemctl enable iptables

デフォルトポリシー

# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT DROP

# iptables -P INPUT DROP

# iptables -P FORWARD DROP

# iptables -P OUTPUT DROP

iptablesのルール保存

# iptables-save > /etc/sysconfig/iptables

1	# iptables-save > /etc/sysconfig/iptables

iptablesのルールフラッシュ

# iptables -F

1	# iptables -F

iptablesの行番号表示

# iptables -L -n --line-number

1	# iptables -L -n --line-number

iptablesの行番号削除

# /sbin/iptables -D INPUT 20   <--20行目削除

1	# /sbin/iptables -D INPUT 20 <--20行目削除

iptablesの行番号挿入

# iptables -I INPUT 13 -s 110.22.30.101 -p tcp -m tcp --dport 8080 -j ACCEPT <--13行目追加

1	# iptables -I INPUT 13 -s 110.22.30.101 -p tcp -m tcp --dport 8080 -j ACCEPT <--13行目追加

特定のIPアドレス拒否

BLOCK_IP="202.100.43.21"
iptables -A INPUT -s "$BLOCK_IP" -j DROP

1 2	BLOCK_IP="202.100.43.21" iptables -A INPUT -s "$BLOCK_IP" -j DROP

特定のネットワークのみSSH許可

iptables -A INPUT -i eth0 -p tcp -s 202.100.43.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

1 2	iptables -A INPUT -i eth0 -p tcp -s 202.100.43.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

全てのSSH許可

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

1 2	iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

マルチプルプロトコル許可

iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443,143,25 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443,143,25 -m state --state ESTABLISHED -j ACCEPT

1 2	iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443,143,25 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443,143,25 -m state --state ESTABLISHED -j ACCEPT

単一プロトコル許可

iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

1 2	iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

ループバックアドレスの許可

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

1 2	iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT

MySQLサーバの許可

iptables -A INPUT -i eth0 -p tcp -s 110.10.122.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT

1 2	iptables -A INPUT -i eth0 -p tcp -s 110.10.122.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT

DoS攻撃のブロック

iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

1	iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

外部からのPing許可

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

1 2	iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

SSL　WEBサーバのロードバランシング

iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 201.200.33.55:443
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 201.200.33.56:443
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 201.200.33.57:443

iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 201.200.33.55:443

iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 201.200.33.56:443

iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 201.200.33.57:443

強制的なSYNパケットチェック

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

1	iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

XMASパケットチェック

iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

1	iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

NULLパケットのDROP

iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

1	iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

IPスプーフィングのDROP

スプーフィングを停止する雛形シェルスクリプトダウンロード

カーネルのおすすめ設定変更

/etc/sysctl.confへ書き込んでsysctl -pを実行

net.ipv6.conf.all.disable_ipv6=1   <--IPv6使わないなら
net.ipv6.conf.default.disable_ipv6=1   <--IPv6使わないなら
net.ipv4.tcp_timestamps=0
net.ipv4.tcp_syncookiesa=1
net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.all.log_martians=1
net.ipv4.conf.default.log_martians=1

net.ipv6.conf.all.disable_ipv6=1 <--IPv6使わないなら

net.ipv6.conf.default.disable_ipv6=1 <--IPv6使わないなら

net.ipv4.tcp_timestamps=0

net.ipv4.tcp_syncookiesa=1

net.ipv4.conf.all.rp_filter=1

net.ipv4.conf.all.log_martians=1

net.ipv4.conf.default.log_martians=1

SELinuxを有効のままでWEBデフォルトフォルダ以外のデータ更新を許可

2018年8月3日 / Linux Tips, Security Tips, セキュリティ日記, テクニカル, ノウハウ

投稿者：担当者

まっさらのLinuxに新規の場所へWEBのドキュメントルートを作りApacheを起動させると、よくエラーが生じることがあると思います。あるいはWORDPRESSのバージョンアップが出来ないとかフレームワークの更新ができないとか似たようなエラーを体験された方は多いのではないでしょうか。これは概ねお察しの通りSELinuxが有効になっているため起きているのですが、よくある処置はSElinuxをOFFにすることを勧めているケースが殆どです。しかし、SELinuxはセキュリティを高めるための仕組みですから有効のままで使いたいですよね！ということで、そのような場合の設定方法をご紹介いたします。

Apache HTTP Server が使うフォルダーを新規で設定する場合

デフォルトでは/var/www/htmlのみWEBフォルダーとして許可されているので任意の場所にドキュメントルートを設置するなら下記のように指定を行ってください。その後にApacheサーバを再起動すると動作する可能性が高いと思います。

# semanage fcontext -a -t httpd_sys_content_t "/var/www/virtHost/www.cyber-netforce.com(/.*)?"
# restorecon -R  /var/www/virtHost/www.cyber-netforce.com/

1 2	# semanage fcontext -a -t httpd_sys_content_t "/var/www/virtHost/www.cyber-netforce.com(/.*)?" # restorecon -R /var/www/virtHost/www.cyber-netforce.com/

特定のフォルダファイル（画像、文書）をHTML経由で許可、直接ダウンロードは禁止。

2018年7月27日 / Linux Tips, テクニカル, トピックス, ノウハウ

投稿者：担当者

例えば、特定サイトのHTMLからリンクされているPDFやWORD,EXCELファイルはブラウザで開けるが、直接URLダイレクトや検索結果のPDFリンクは開けないようにしたいという要望はよくあると思います。通常HTMLやプログラミング言語はサイトの入口を制御しているフレームワーク等のコントローラーでページ制御するため細かいアクセス制限をかけられるのですが、画像やその他の文書ファイルになってくるとどちらかといえばWEBサーバ側の制御配下であるため思ったようにファイルを隠蔽できないという悩みを抱えているエンジニアも多いと思います。今回はちょとした設定でできる制御方法について説明したいと思います。

Apacheの設定でリファラーチェックを入れHTMLからクリックで表示、直接URL指定、検索結果PDFリンクは非表示に！

直接ブラウザでファイルオープンをさせないための上位フォルダーをDirectoryディレクティブで指定しフィルターします。

#HTML経由でしか開けないようにしたいファイルの置き場にリファラーチェックを適用
<Directory "/var/www/vhosts/cyber-data/wp-content/uploads">
      SetEnvIf Referer "^https://www.cyber-data.tokyo" check
      Order Deny,Allow
      deny from all
      allow from env=check
</Directory>

#HTML経由でしか開けないようにしたいファイルの置き場にリファラーチェックを適用

SetEnvIf Referer "^https://www.cyber-data.tokyo" check

Order Deny,Allow

deny from all

allow from env=check

</Directory>

これでApacheを再起動すれば適用です。.htaccessでやるなら再起動も不要でしょう。

細かくファイルの拡張子まで指定してやりたければFilesディレクティブでパターンマッチさせれば良いと思います。

<FilesMatch "\.(gif|jpg|png|pdf)$">
      SetEnvIf Referer "^https://www.cyber-data.tokyo" check
      Order Deny,Allow
      deny from all
      allow from env=check
</Directory>

SetEnvIf Referer "^https://www.cyber-data.tokyo" check

Order Deny,Allow

deny from all

allow from env=check

</Directory>

Apacheのディレクティブで表示結果に出さないよう抑え込む場合

#全てのフォルダー配下にあるPDFをインデックスさせない。
<Files ~ "\.pdf$">
Header set X-Robots-Tag "noindex"
</Files>

#特定のPDFファイル名をインデックスさせない。
<Files ファイル名.pdf>
Header set X-Robots-Tag "noindex"
</Files>

#2019年になったら特定のPDFファイル名をインデックスさせない。
<Files ファイル名.pdf>
Header set X-Robots-Tag "unavailable_after: 31-Dec-2018 23:59:59 JST"
</Files>

#全てのフォルダー配下にあるPDFをインデックスさせない。

Header set X-Robots-Tag "noindex"

</Files>

#特定のPDFファイル名をインデックスさせない。

Header set X-Robots-Tag "noindex"

</Files>

#2019年になったら特定のPDFファイル名をインデックスさせない。

Header set X-Robots-Tag "unavailable_after: 31-Dec-2018 23:59:59 JST"

</Files>

ApacheにおけるSSL設定品質の肝。SSLCipherSuite及びSSLProtocol (POODLE対策)

2018年7月27日 / Linux Tips, Security Tips, セキュリティ日記, テクニカル

投稿者：担当者

今はGoogleのオールSSL化の推進によりかなりサイトがSSL接続仕様に変わってきた。しかし、実際のところそれで安心してはならない。SSLの設定のさじ加減というか塩梅によってはダメダメなケースもあるのです。その中でも一番肝と思うディレクティブ設定に以下のパラメータ設定がある。

暗号化通信の方式と暗号化アルゴリズムの選択

下記の設定はタイトルを表す通りの設定を行うApacheのディレクティブです。

SSLProtocol
SSLCipherSuite

脆弱性のある通信方式

SSLの通信方式には2014年10月に判明したSSL3.0およびTLS 1.0 / TLS 1.1の脆弱性があります。これを「POODLE」という名前で呼んでいます。もともと、Googleの研究チームがSSLの解析を行い、2014年10月14日に、SSL3.0に関する脆弱性について重大なレポートを行ったのがきっかけです。POODLEは「POODLE(Padding Oracle On Downgraded Legacy Encryption)」の略称でSSL 3.0を有効にしているサーバに問題があると報告していましたが、その後TLS 1.0 / TLS 1.1の一部も問題ありと追加で報告されました。故にApacheでSSLを設定する際にデフォルトで設定していると脆弱性のある通信方式を許容するためセキュリティホールができてしまうのです。つまり、この対策は危険なプロトコルスィートを抑え込む設定が必要となります。

Apacheで行うべき設定

下記は、デフォルトではコメントアウトか、設定がないかもしれません。SSLのコンフィグ設定で追記して登録してください。危険ということで完全な抑え込みの設定をしてしまうと古いブラウザが対応できない場合があるためSSLProtocolの「-TLSV1」を入れるか、入れないかは正にさじ加減かなと思います。

SSLProtocol -all +TLSv1.1 +TLSv1.2
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GC

1 2	SSLProtocol -all +TLSv1.1 +TLSv1.2 SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GC

設定後にテストを行う

設定ができたら評価をおこなってください。評価でA+取れるようにがんばってください。今はSNS等も評価がBレベルだとデベロッパーサイトでAPI登録を受け付けてくれないようになってきています。またGoogleもある一定期間の後にSSLの設定レベルの判別を明確にしてゆく話もありますので暗号化スィートの設定は非常に大事です。SEO的に大きな影響をもたらすので今後はApache要の設定となるでしょう。

SSLの設定レベルの品質評価

カテゴリー「Linux Tips」の記事

ブラックリストへの考察 メールのSPAMチェック DMARC、DNSBLについて

DMARCを使用してよかった事

DMARCの導入は難しい？

DNSBLの信頼性

SPAM対策用のmain.cfの一部抜粋

共有サーバは勘違い判定の巣窟になる。

備忘録：Linux Firewall(iptablesの典型的パターン集）

Firewalldからiptablesへ切り替え

デフォルトポリシー

iptablesのルール保存

iptablesのルールフラッシュ

iptablesの行番号表示

iptablesの行番号削除

iptablesの行番号挿入

特定のIPアドレス拒否

特定のネットワークのみSSH許可

全てのSSH許可

マルチプルプロトコル許可

単一プロトコル許可

ループバックアドレスの許可

MySQLサーバの許可

DoS攻撃のブロック

外部からのPing許可

SSL WEBサーバのロードバランシング

強制的なSYNパケットチェック

XMASパケットチェック

NULLパケットのDROP

IPスプーフィングのDROP

カーネルのおすすめ設定変更

SELinuxを有効のままでWEBデフォルトフォルダ以外のデータ更新を許可

Apache HTTP Server が使うフォルダーを新規で設定する場合

特定のフォルダファイル（画像、文書）をHTML経由で許可、直接ダウンロードは禁止。

Apacheの設定でリファラーチェックを入れHTMLからクリックで表示、直接URL指定、検索結果PDFリンクは非表示に！

Apacheのディレクティブで表示結果に出さないよう抑え込む場合

ApacheにおけるSSL設定品質の肝。SSLCipherSuite及びSSLProtocol (POODLE対策)

暗号化通信の方式と暗号化アルゴリズムの選択

脆弱性のある通信方式

Apacheで行うべき設定

設定後にテストを行う

KnowHow

最近の投稿

ブラックリストへの考察　メールのSPAMチェック DMARC、DNSBLについて

SSL　WEBサーバのロードバランシング