カテゴリー「Linux Tips」の記事

Linux(Ubuntu系)でCISCOルータをターミナル接続！

2019年4月8日 / Linux Tips, テクニカル, トピックス, ノウハウ

投稿者：担当者

CISCOルータをWindowsパソコンで設定を行うといった場合、一番多いパターンはTeraTermを使うケースが圧倒的に多いと思う。今回はSI作業する内容が圧倒的にLinuxが多かったのでCISCOのルータもLinuxでやろうと思いました。

しかも古いパソコンを使用してLinux導入しているため、マザーボードにはRS232CのCOMポートが付いている。最近の主流はUSB変換をして接続するので意外とRS232Cでのやり方が載っているサイトが少なかった。

ということでUbuntu系のLite　Linuxをたまたまクライアント機として使っていたのでそれにターミナルからCISCOに接続して使えるようにする手順のメモを残しておこう。恐らくUbuntuやDebianの流れを汲んでいるLinuxなら操作は同じだと思う。参考にされたし。

最初にすること

COMポートを経由して接続するために必要なソフトをインストール
使えるシリアルポート(COMポート)の調査
利用するシリアルポートを設定し接続を行う

COMポートを経由して接続するために必要なソフトをインストール

$ sudo apt install cu setserial
$ sudo setserial /dev/ttyS0  <---使えるポートは割り込みやボーレートなどのスペックがコンソールへ戻ってくる。だめな場合はttyS1,ttyS2というようにカウントアップし検査する。
$ sudo chmod 777 /dev/ttyS0
$ sudo cu -l /dev/ttyS0 -s 9600

Connectedの文字で始まり<br>
以上でターミナルにCISCOからの起動シーケンスの文字が流れるはずだ。

$ sudo apt install cu setserial

$ sudo setserial /dev/ttyS0 <---使えるポートは割り込みやボーレートなどのスペックがコンソールへ戻ってくる。だめな場合はttyS1,ttyS2というようにカウントアップし検査する。

$ sudo chmod 777 /dev/ttyS0

$ sudo cu -l /dev/ttyS0 -s 9600

Connectedの文字で始まり<br>

以上でターミナルにCISCOからの起動シーケンスの文字が流れるはずだ。

findでタイムスタンプ範囲絞りで一覧表示

2019年1月8日 / Linux Tips, トピックス, ノウハウ

投稿者：担当者

Linuxを使用していると運用の場面では更新されたファイルを削除したり、バックアップしたりする場面がよく出てくると思います。よく使うんだけどコマンドのオプションもいっぱいあるから忘れてしまうときが多いハズ。

CentOS5とcentOS6以降でやり方が違うので２つ紹介します。内容は「日程範囲を設定してその間で更新されたファイルだけを一覧表示する」方法です。サンプルはPHPファイルで絞り込んでいます

CentOS6以降で日程範囲を絞って次のように表現できる。
# find . -type f -name "*.php" -newermt "2018-10-01" -and ! -newermt "2019-01-08" -ls
CentOS5以前で実行ならこんな風に現在から何日前という条件で+100なら100日以前の検索。-100なら100日前から現在までという意味になる。
# find ./ -type f -name "*.php" -mtime -100 -exec ls -l {} \;

CentOS6以降で日程範囲を絞って次のように表現できる。

# find . -type f -name "*.php" -newermt "2018-10-01" -and ! -newermt "2019-01-08" -ls

CentOS5以前で実行ならこんな風に現在から何日前という条件で+100なら100日以前の検索。-100なら100日前から現在までという意味になる。

# find ./ -type f -name "*.php" -mtime -100 -exec ls -l {} \;

delegated proxyサーバで1台のサーバに仮想サーバを複数立ち上げる方法

2018年12月25日 / Linux Tips, テクニカル, トピックス, ノウハウ

投稿者：担当者

delegated proxyサーバを運用する場合、1台のサーバで複数サイトをどうやったら起ち上げられるのか悩んでしまう人が多いみたいなのでやり方をご紹介しようと思います。apacheサーバだと簡単に仮想サーバ作れるのですがdelegated proxyサーバだとあまり情報がネット上にも落ちていなく困ってしまうのでしょう。

下記のスクリプトは1台のサーバに複数の仮想サーバをdelegated proxyで起動したいケースのスクリプトです。delegatedでのやり方は複数あるのですが一番手間のかからないやり方は下記のポート番号を複数台でユニークに設定して割り付ける方法かと思います。内部サーバを予め起動して外部の接続を名前ベース（FQDNドメイン名）で振り分ける手法になります。nvhostは名前ベースの名称割付箇所で外部からのリクエストをproxyが名前で任意の内部サーバへ割り当てる基準とするオプションです。nvservは共通の IP アドレスを持つ内部サーバー郡のホスト名を検出し、それらを仮想サーバーとして表す場合のオプションになります。nvservはIPベースでは同じサーバを指しても問題ないのですが、proxyが勘違いしないように名前で判別するためのものです。nvhostがフロントエンドでnvservが１IPの際のバックエンド名前割当と考えればわかりやすいかもしれません。

#!/bin/bash

export  SSL_CIPHER='HIGH:!DH:!3DES:!RC4:!SEED'
/usr/sbin/delegated -P443 SERVER=https \
STLS='fcl,sslway -tls1 -tls1_1 -tls1_2 -no_ssl2 -no_ssl3 -cert /var/spool/delegate-nobody/lib/cat.pem' \
MOUNT="/* http://127.0.0.1:9001/* ,nvhost=extra.example.jp,nvserv=extra.example.jp" \
MOUNT="/* http://127.0.0.1:9002/* ,nvhost=space.housecom.jp,nvserv=space.housecom.jp" \
MOUNT="/* http://127.0.0.1:9003/* ,nvhost=www.housecom.jp,nvserv=www.housecom.jp" \
RELIABLE="*" REACHABLE="127.0.0.1" MOUNT="/favicon.ico=onerror" \
LOGDIR='/var/log/delegated/[date+/y%y/m%m/%d]'

#!/bin/bash

export SSL_CIPHER='HIGH:!DH:!3DES:!RC4:!SEED'

/usr/sbin/delegated -P443 SERVER=https \

STLS='fcl,sslway -tls1 -tls1_1 -tls1_2 -no_ssl2 -no_ssl3 -cert /var/spool/delegate-nobody/lib/cat.pem' \

MOUNT="/* http://127.0.0.1:9001/* ,nvhost=extra.example.jp,nvserv=extra.example.jp" \

MOUNT="/* http://127.0.0.1:9002/* ,nvhost=space.housecom.jp,nvserv=space.housecom.jp" \

MOUNT="/* http://127.0.0.1:9003/* ,nvhost=www.housecom.jp,nvserv=www.housecom.jp" \

RELIABLE="*" REACHABLE="127.0.0.1" MOUNT="/favicon.ico=onerror" \

LOGDIR='/var/log/delegated/[date+/y%y/m%m/%d]'

他にも内部サーバの1枚のNICに複数のIPアドレスを割り付けてやる方法もあります。この場合はMOUNT行を変更するだけで実現できます。nvservが不要です。

# ip addr add 203.11.101.120/8 brd 203.11.101.255 dev eth0
# ip addr add 203.11.101.121/8 brd 203.11.101.255 dev eth0
# ip addr add 203.11.101.122/8 brd 203.11.101.255 dev eth0
# ip addr show dev eth0

# ip addr add 203.11.101.120/8 brd 203.11.101.255 dev eth0

# ip addr add 203.11.101.121/8 brd 203.11.101.255 dev eth0

# ip addr add 203.11.101.122/8 brd 203.11.101.255 dev eth0

# ip addr show dev eth0

#!/bin/bash

export  SSL_CIPHER='HIGH:!DH:!3DES:!RC4:!SEED'
/usr/sbin/delegated -P443 SERVER=https \
STLS='fcl,sslway -tls1 -tls1_1 -tls1_2 -no_ssl2 -no_ssl3 -cert /var/spool/delegate-nobody/lib/cat.pem' \
MOUNT="/* http://203.11.101.120/* ,nvhost=extra.example.jp" \
MOUNT="/* http://203.11.101.121/* ,nvhost=space.housecom.jp" \
MOUNT="/* http://203.11.101.122/* ,nvhost=www.housecom.jp" \
RELIABLE="*" REACHABLE="127.0.0.1" MOUNT="/favicon.ico=onerror" \
LOGDIR='/var/log/delegated/[date+/y%y/m%m/%d]'

#!/bin/bash

export SSL_CIPHER='HIGH:!DH:!3DES:!RC4:!SEED'

/usr/sbin/delegated -P443 SERVER=https \

STLS='fcl,sslway -tls1 -tls1_1 -tls1_2 -no_ssl2 -no_ssl3 -cert /var/spool/delegate-nobody/lib/cat.pem' \

MOUNT="/* http://203.11.101.120/* ,nvhost=extra.example.jp" \

MOUNT="/* http://203.11.101.121/* ,nvhost=space.housecom.jp" \

MOUNT="/* http://203.11.101.122/* ,nvhost=www.housecom.jp" \

RELIABLE="*" REACHABLE="127.0.0.1" MOUNT="/favicon.ico=onerror" \

LOGDIR='/var/log/delegated/[date+/y%y/m%m/%d]'

ブラックリストへの考察　メールのSPAMチェック DMARC、DNSBLについて

2018年8月7日 / Linux Tips, Security Tips, セキュリティ日記, ノウハウ

投稿者：担当者

昔よりも更に複雑になったと思うサーバの種類にメールシステム(smtpサーバ:MTA)がある。振り返ってみると２０年くらい前はデフォルトで作ったメールサーバでもすぐにインターネット上で使えましたが、今は兎に角セキュリティが厳しいので単純な設定ではまともに動かない。ガチガチだなーと感じる。時折サーバ講義の仕事をすると一番厄介なのがメールサーバの解説。正直言って１週間勉強した程度で理解できるのは初心者程度の知識だと思う。アンチSPAMの仕組みについては年々高度になっている。油断しているとおいて行かれるので定期的に情報に目を通さなければならないが、最近の技術の中ではDMARCはさすが効果あるね！と実感できる仕組み。この機能はSMTP通信におけるなりすましを確実にブロックしてくれる。単純ななりすましなら１００％ブロックできるだろう。送信サーバがスパイウェアに感染していたら駄目だと思うが、そうなっていない限り大変安全な仕組みと思う。

DMARCを使用してよかった事

以前は、時折自分のメールアドレスFromで数は多くはなかったが１年に２，３回程度送信されてくることがあったがDMARCを導入してからはピタリと止まった。更に嬉しいことに偽メールを送られた受信メールサーバからレポートがxmlで送られてくるので実態が掴める。殆どがgmailとyahooメールからのものだが、これだけ人の名前とメールアドレスを騙って送る輩がいたのだと気付かされる。つまり実際にはもっと沢山偽メールが横行していたと考えられる。もちろんDMARCを実装しているメールサーバでなければこのようなやり取りはできないが、今後必須のシステムになってきそうだと思います。特にビジネスで利用されている企業は共有ホスティングのおまけでついてくるメールは使ってはいけないと私は思います。

DMARCの導入は難しい？

メールサーバの導入になれている人なら１，２時間の学習でDMARCは導入できると思います。DKIM,SPFを入れた経験があるならすぐに理解できると思います。少しDKIM,SPFでやったような作業がつきまといますが非常に難易度の高いものではありません。作業の中にDNSのレコードを操作する箇所があるのでDNSを知らない人は大変かもしれませんがぜひチャレンジしてみてください。CentOSでやるよりもUbuntuのほうがハードルが低そうです。

DNSBLの信頼性

DNSBLシステムは世界に点在しブラックリスト情報を収集して無料で使えるメールSPAM対策サービスが幾つかある。このサービスはDNSの仕組みを利用したレピュテーションサービス（ブラックリストの判定を返す）だが運営組織が何しろ非営利な組織だから出来ては消えての繰り返し。日本ではRBL.JPという日本のスパムデータ・ベースもあったが廃止されており、現在はほとんど海外のサービスを利用するのが多くなった。厄介なのは昨今のIPアドレス汚染だ。プロバイダーの持っているIPアドレスはリサイクルされるため、過去にブラックだったIPだとかなり厄介になることがあります。というのはDNSBLやWEBのブラックQUERYサービスの中にはネットワークブロックで設定しているケースが少なからずあるからだ。そうするとホワイトなIPアドレスでもブラック扱いにされてしまう可能性が十分にありえます。誤判定の多くは過去のIP悪さが起因するのもあるけれど、このようにネットワークマスクの縛りが原因でなってしまう場合もあります。IPアドレスのご判定は殆どが申請で取り消せるようになっていますがネットワークブロックで管理している場合は無理な時もあります。その意味でサーバを借りるときは必ずIPアドレスのチェックを行うことと、IPアドレスの再割り当てができるホスティングがベストです。

SPAM対策用のmain.cfの一部抜粋

reject_rbl_client が記述されているあたりがDNSBLのサーバエントリー。お付き合いしている会社により効きすぎたり、効かなすぎたりあるため使いながら外したりして調整を行う。

smtpd_helo_required = yes
disable_vrfy_command = yes
strict_rfc821_envelopes = yes
invalid_hostname_reject_code = 554
unknown_local_recipient_reject_code = 554
unknown_relay_recipient_reject_code = 554
unknown_sender_reject_code = 554
unknown_virtual_alias_reject_code = 554
unknown_virtual_mailbox_reject_code = 554
unverified_recipient_reject_code = 554
unverified_sender_reject_code = 554
multi_recipient_bounce_reject_code = 554
non_fqdn_reject_code = 554
relay_domains_reject_code = 554
unknown_address_reject_code = 554
unknown_client_reject_code = 554
unknown_hostname_reject_code = 554

smtpd_relay_restrictions =
    permit_mynetworks,
    check_client_access hash:/etc/postfix/sender_access,
    permit_sasl_authenticated,
    reject_unauth_destination

smtpd_client_restrictions =
    permit_mynetworks,
    check_client_access hash:/etc/postfix/stop_sender
    reject_non_fqdn_hostname,
    reject_unknown_client,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client spam.rbl-dns.com,
    reject_rbl_client b.barracudacentral.org,
    reject_rbl_client list.dsbl.org,
    reject_rbl_client zen.spamhaus.org=127.0.0.[2..11]
    reject_rbl_client zen.spamhaus.org,
    permit

smtpd_helo_restrictions =
    permit_mynetworks,
    check_client_access hash:/etc/postfix/hello_access,
    reject_invalid_hostname,
    permit

smtpd_helo_required = yes

disable_vrfy_command = yes

strict_rfc821_envelopes = yes

invalid_hostname_reject_code = 554

unknown_local_recipient_reject_code = 554

unknown_relay_recipient_reject_code = 554

unknown_sender_reject_code = 554

unknown_virtual_alias_reject_code = 554

unknown_virtual_mailbox_reject_code = 554

unverified_recipient_reject_code = 554

unverified_sender_reject_code = 554

multi_recipient_bounce_reject_code = 554

non_fqdn_reject_code = 554

relay_domains_reject_code = 554

unknown_address_reject_code = 554

unknown_client_reject_code = 554

unknown_hostname_reject_code = 554

smtpd_relay_restrictions =

permit_mynetworks,

check_client_access hash:/etc/postfix/sender_access,

permit_sasl_authenticated,

reject_unauth_destination

smtpd_client_restrictions =

permit_mynetworks,

check_client_access hash:/etc/postfix/stop_sender

reject_non_fqdn_hostname,

reject_unknown_client,

reject_non_fqdn_sender,

reject_unknown_sender_domain,

reject_rbl_client bl.spamcop.net,

reject_rbl_client spam.rbl-dns.com,

reject_rbl_client b.barracudacentral.org,

reject_rbl_client list.dsbl.org,

reject_rbl_client zen.spamhaus.org=127.0.0.[2..11]

reject_rbl_client zen.spamhaus.org,

permit

smtpd_helo_restrictions =

permit_mynetworks,

check_client_access hash:/etc/postfix/hello_access,

reject_invalid_hostname,

permit

共有サーバは勘違い判定の巣窟になる。

共有サーバは１台のサーバに多数のサイトが運営されるサーバですが、このサイトの中に詐欺サイトやマルウェア感染原因のサイトがあるとどうなるかご存知でしょうか？プロバイダーが認識した場合はプロバイダーから改善通知や停止を言われますが、実際のところ運営者も気づいていないものもかなりあると思います。私も自分のお客様で幾つかこの様な例を経験しましたが、結論はGoogleやYahooの検索結果に出てこなくなりました。イメージ的にはGoogleのインデックスには残っているのでしょうが、一時的にマスクされているように思えます。ブラック発見は無料のbaraccudacntral.orgのサービスでチェックし、その後別のプライベートホスティングに移設しDNSを切り替えたところ５分で検索結果にTOP5で表示されるようになりました。この経験でGoogleが如何に様々な詐欺行為のサイトを抑え込むチェックを行ってるかがわかりました。ビジネスで本気勝負をかけて集客、販売する会社は共有サーバ使ってはいけませんね。

備忘録：Linux Firewall(iptablesの典型的パターン集）

2018年8月4日 / Linux Tips, Security Tips, トピックス, ノウハウ

投稿者：担当者

CentOS7からiptablesからfirewalldにデフォルトfirewallが変わっていますが、実際のところFirewalldの中身はiptablesなので操作体系が変わっただけなんだけどね。個人的には長く使ってきたiptablesが好きなので相変わらずCentOS7の導入後はiptablesに切り替えています。それに今までの蓄積してきたスクリプトなども活用できるのでiptablesでいいんじゃないと思っています。ルールを記述するにも毎度忘れてしまうためメモとして残します。

Firewalldからiptablesへ切り替え

# systemctl stop firewalld
# systemctl disable firewalld
# yum install iptables-services
# systemctl start iptables
# systemctl enable iptables

# systemctl stop firewalld

# systemctl disable firewalld

# yum install iptables-services

# systemctl start iptables

# systemctl enable iptables

デフォルトポリシー

# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT DROP

# iptables -P INPUT DROP

# iptables -P FORWARD DROP

# iptables -P OUTPUT DROP

iptablesのルール保存

# iptables-save > /etc/sysconfig/iptables

1	# iptables-save > /etc/sysconfig/iptables

iptablesのルールフラッシュ

# iptables -F

1	# iptables -F

iptablesの行番号表示

# iptables -L -n --line-number

1	# iptables -L -n --line-number

iptablesの行番号削除

# /sbin/iptables -D INPUT 20   <--20行目削除

1	# /sbin/iptables -D INPUT 20 <--20行目削除

iptablesの行番号挿入

# iptables -I INPUT 13 -s 110.22.30.101 -p tcp -m tcp --dport 8080 -j ACCEPT <--13行目追加

1	# iptables -I INPUT 13 -s 110.22.30.101 -p tcp -m tcp --dport 8080 -j ACCEPT <--13行目追加

特定のIPアドレス拒否

BLOCK_IP="202.100.43.21"
iptables -A INPUT -s "$BLOCK_IP" -j DROP

1 2	BLOCK_IP="202.100.43.21" iptables -A INPUT -s "$BLOCK_IP" -j DROP

特定のネットワークのみSSH許可

iptables -A INPUT -i eth0 -p tcp -s 202.100.43.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

1 2	iptables -A INPUT -i eth0 -p tcp -s 202.100.43.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

全てのSSH許可

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

1 2	iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

マルチプルプロトコル許可

iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443,143,25 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443,143,25 -m state --state ESTABLISHED -j ACCEPT

1 2	iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443,143,25 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443,143,25 -m state --state ESTABLISHED -j ACCEPT

単一プロトコル許可

iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

1 2	iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

ループバックアドレスの許可

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

1 2	iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT

MySQLサーバの許可

iptables -A INPUT -i eth0 -p tcp -s 110.10.122.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT

1 2	iptables -A INPUT -i eth0 -p tcp -s 110.10.122.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT

DoS攻撃のブロック

iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

1	iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

外部からのPing許可

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

1 2	iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

SSL　WEBサーバのロードバランシング

iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 201.200.33.55:443
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 201.200.33.56:443
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 201.200.33.57:443

iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 201.200.33.55:443

iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 201.200.33.56:443

iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 201.200.33.57:443

強制的なSYNパケットチェック

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

1	iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

XMASパケットチェック

iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

1	iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

NULLパケットのDROP

iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

1	iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

IPスプーフィングのDROP

スプーフィングを停止する雛形シェルスクリプトダウンロード

カーネルのおすすめ設定変更

/etc/sysctl.confへ書き込んでsysctl -pを実行

net.ipv6.conf.all.disable_ipv6=1   <--IPv6使わないなら
net.ipv6.conf.default.disable_ipv6=1   <--IPv6使わないなら
net.ipv4.tcp_timestamps=0
net.ipv4.tcp_syncookiesa=1
net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.all.log_martians=1
net.ipv4.conf.default.log_martians=1

net.ipv6.conf.all.disable_ipv6=1 <--IPv6使わないなら

net.ipv6.conf.default.disable_ipv6=1 <--IPv6使わないなら

net.ipv4.tcp_timestamps=0

net.ipv4.tcp_syncookiesa=1

net.ipv4.conf.all.rp_filter=1

net.ipv4.conf.all.log_martians=1

net.ipv4.conf.default.log_martians=1

カテゴリー「Linux Tips」の記事

Linux(Ubuntu系)でCISCOルータをターミナル接続！

最初にすること

COMポートを経由して接続するために必要なソフトをインストール

findでタイムスタンプ範囲絞りで一覧表示

delegated proxyサーバで1台のサーバに仮想サーバを複数立ち上げる方法

ブラックリストへの考察　メールのSPAMチェック DMARC、DNSBLについて

DMARCを使用してよかった事

DMARCの導入は難しい？

DNSBLの信頼性

SPAM対策用のmain.cfの一部抜粋

共有サーバは勘違い判定の巣窟になる。

備忘録：Linux Firewall(iptablesの典型的パターン集）

Firewalldからiptablesへ切り替え

デフォルトポリシー

iptablesのルール保存

iptablesのルールフラッシュ

iptablesの行番号表示

iptablesの行番号削除

iptablesの行番号挿入

特定のIPアドレス拒否

特定のネットワークのみSSH許可

全てのSSH許可

マルチプルプロトコル許可

単一プロトコル許可

ループバックアドレスの許可

MySQLサーバの許可

DoS攻撃のブロック

外部からのPing許可

SSL　WEBサーバのロードバランシング

強制的なSYNパケットチェック

XMASパケットチェック

NULLパケットのDROP

IPスプーフィングのDROP

カーネルのおすすめ設定変更

KnowHow

最近の投稿

カテゴリー「Linux Tips」の記事

Linux(Ubuntu系)でCISCOルータをターミナル接続！

最初にすること

COMポートを経由して接続するために必要なソフトをインストール

findでタイムスタンプ範囲絞りで一覧表示

delegated proxyサーバで1台のサーバに仮想サーバを複数立ち上げる方法

ブラックリストへの考察 メールのSPAMチェック DMARC、DNSBLについて

DMARCを使用してよかった事

DMARCの導入は難しい？

DNSBLの信頼性

SPAM対策用のmain.cfの一部抜粋

共有サーバは勘違い判定の巣窟になる。

備忘録：Linux Firewall(iptablesの典型的パターン集）

Firewalldからiptablesへ切り替え

デフォルトポリシー

iptablesのルール保存

iptablesのルールフラッシュ

iptablesの行番号表示

iptablesの行番号削除

iptablesの行番号挿入

特定のIPアドレス拒否

特定のネットワークのみSSH許可

全てのSSH許可

マルチプルプロトコル許可

単一プロトコル許可

ループバックアドレスの許可

MySQLサーバの許可

DoS攻撃のブロック

外部からのPing許可

SSL WEBサーバのロードバランシング

強制的なSYNパケットチェック

XMASパケットチェック

NULLパケットのDROP

IPスプーフィングのDROP

カーネルのおすすめ設定変更

KnowHow

最近の投稿

ブラックリストへの考察　メールのSPAMチェック DMARC、DNSBLについて

SSL　WEBサーバのロードバランシング