WordPressな日々 » ITコンサルティング

Fedoraサーバへの不正侵入を防ぐ

journey — Tue, 05 Jun 2007 13:30:41 +0000

今回は、サーバ管理の技術的な話題です。iptables と swatch を使い、不正侵入を試みたマシンをアクセス禁止にする方法を解説します。サーバのOSはFedora Core 6です。他のLinuxマシンにも応用できるはずです。

参考にさせていただいたのは次の記事です。

SSHのログ監視

まず、「セキュリティレベルとファイアウォールの設定」を使い、基本的なファイアウォール設定を行います。すると、次のような内容で /etc/sysconfig/iptables ファイルが作成されます。

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

これを先頭部分と末尾部分に分け、間にスクリプトが生成するアクセス禁止ルールが入れられるようにします。それぞれ、/etc/sysconfig/iptables.head、/etc/sysconfig/iptables.tail として保存します。

/etc/sysconfig/iptables.head

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT

/etc/sysconfig/iptables.tail

-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

次に、不正ログイン検知後に iptables を自動修正するシェルスクリプトを作成し、/usr/local/sbin/sshstop.sh として保存します。chmod +x で実行可能にしておきましょう。

/usr/local/sbin/sshstop.sh

#!/bin/sh

# Set Variables
THRESHOLD=4
IPTABLES="/etc/sysconfig/iptables"
IPTABLES_HEAD="/etc/sysconfig/iptables.head"
IPTABLES_TAIL="/etc/sysconfig/iptables.tail"
IPTABLES_BAN="/etc/sysconfig/iptables.ban"
FTP_BAN="/etc/sysconfig/ipftp.ban"
DATE=`date "+%s"`
IPTABLES_TMP="/tmp/iptables.${DATE}"
IPBAN_TMP="/tmp/ipban.${DATE}"
FTPBAN_TMP="/tmp/ftpban.${DATE}"
MODIFIED=0

# Find SSHD Failure
if [ ! -f $IPTABLES_BAN ] ; then touch $IPTABLES_BAN; fi
cp $IPTABLES_BAN $IPBAN_TMP
IP=''
tail -1000 /var/log/secure|grep "authentication failure"|grep sshd \
  |awk '{ z = split($14,arr,"="); print arr[2]; }'|sort|uniq -c|
while read COUNT HOST
   do
   if [ $COUNT -ge $THRESHOLD ]
   then
     IP=`/usr/bin/dig +short $HOST | sed 's/\n//'`
     if [ -z "$IP" ] ; then IP=$HOST; fi
     #echo $COUNT $IP
     IPEXISTS=`grep "$IP" $IPTABLES_BAN | sed 's/n//'`
     if [ -z "$IPEXISTS" ] ; then
       echo "-A RH-Firewall-1-INPUT -p tcp -m tcp -s $IP --dport 22 -j REJECT" \
          >> $IPBAN_TMP
     fi
   fi
done

# Find VSFTPD Failure
if [ ! -f $FTP_BAN ] ; then touch $FTP_BAN; fi
cp $FTP_BAN $FTPBAN_TMP
IP=''
tail -1000 /var/log/secure|grep "authentication failure"|grep vsftpd \
  |awk '{ z = split($14,arr,"="); print arr[2]; }'|sort|uniq -c|
while read COUNT HOST
   do
   if [ $COUNT -ge $THRESHOLD ]
   then
     IP=`/usr/bin/dig +short $HOST | sed 's/n//'`
     if [ -z "$IP" ] ; then IP=$HOST; fi
     #echo $COUNT $IP
     FTPEXISTS=`grep "$IP" $FTP_BAN | sed 's/n//'`
     if [ -z "$FTPEXISTS" ] ; then
       echo "-A RH-Firewall-1-INPUT -p tcp -m tcp -s $IP --dport 21 -j REJECT" \
          >> $FTPBAN_TMP
     fi
   fi
done

# Create New IPTABLES and Restart iptables
cat $IPTABLES_HEAD $IPBAN_TMP $FTPBAN_TMP $IPTABLES_TAIL > $IPTABLES_TMP
if ! cmp $IPTABLES $IPTABLES_TMP
then
   cp $IPBAN_TMP $IPTABLES_BAN
   cp $FTPBAN_TMP $FTP_BAN
   cp $IPTABLES_TMP $IPTABLES
   echo "-------------------------------------"
   echo "[sshstop] has changed iptables"
   echo "-------------------------------------"
   /sbin/service iptables restart
   echo "-------------------------------------"
   echo $IPTABLES
   echo "-------------------------------------"
   cat $IPTABLES
fi

rm -f $IPTABLES_TMP $IPBAN_TMP $FTPBAN_TMP
exit

このコマンドを実行すると、ログに不正侵入が記録されていた場合、次のような記述が iptables に挿入され、iptables デーモンが再起動されます。

-A RH-Firewall-1-INPUT -p tcp -m tcp -s 208.44.210.5 --dport 22 -j REJECT
-A RH-Firewall-1-INPUT -p tcp -m tcp -s 219.94.132.52 --dport 22 -j REJECT

次に、swatchの準備をします。サーバにインストールされていなかったら、yum コマンドでインストールします。

# yum -y install swatch

続いて、swatchの設定ファイルを /etc/swatchrc として作成します。

watchfor  /authentication failure/
    exec /usr/local/sbin/sshstop.sh
    mail=root@home.junyx.net,subject=[swatch] Authentication Failure

では、swatch を次のコマンドで起動しましょう。

# swatch -c /etc/swatchrc -t /var/log/secure &

最後に、サーバの再起動時に swatchが自動起動されるように設定します。/etc/rc.d/rc.local に次の内容を追加し、保存してください。

if [ -f /usr/bin/swatch ]; then
    (echo 'Starting Swatch service') > /dev/console
    /usr/bin/swatch -c /etc/swatchrc -t /var/log/secure &
fi

これで、SSH と FTP の不正侵入を防止する設定が完了です。他のポートについても、sshstop.sh スクリプトのFTP部分を参考にしていただければ対応できるはずです。

パソコンを乗っ取る「ボット」に注意

journey — Thu, 26 Apr 2007 01:09:42 +0000

「ボット」とは、第三者が迷惑メールの送信やフィッシング詐欺用のサイトに悪用する目的で、ウェブの閲覧や、不正なメールを通じて一般のパソコンに設置するソフトウェア（マルウェア）です。攻撃者が遠隔操作する様子がロボットに似ているので、「ボット」と呼ばれています。

1個の親ソフトから次々に亜種が作成されるため、従来のウィルス対策ソフトでは発見できないものが多いといわれています。また、従来の愉快犯型コンピュータウィルスと違い、乗っ取ったパソコンを悪用することが目的ですから、画面が乱れるとか動作が遅くなるといった「症状」を見せないため、パソコンの持ち主が感染に気づきにくいことも大きな特徴です。

そこで、総務省・経済産業省の連携プロジェクトであるサイバークリーンセンターがボット駆除ソフトウェアを開発し、無料配布しています。

総務省・経済産業省連携プロジェクト Cyber Clean Center　サイバークリーンセンター

駆除ツールのインストールは簡単で、というか、ダウンロードしたファイルをダブルクリックして実行するだけなので、一度チェックをされてみてはいかがでしょうか。

ケータイでPCメールをチェック♪

journey — Wed, 11 Apr 2007 01:39:02 +0000

Google のウェブメールサービスである Gmail のモバイル版が日本でも正式にサービス開始となりましたね。そこで、携帯電話でパソコンのメールをチェックする方法がいくつか紹介したいと思います。

Gmailが3キャリアのケータイに対応－＠IT

グーグルは4月10日、NTTドコモ、au、ソフトバンクの携帯電話端末から同社のWebメールサービス「Gmail」にアクセスできる「モバイルGmail」（http://gmail.com/）の正式サービスを開始した。

ケータイでPCメールを読み書きするのには次のような方法があります。

PCメールをGmail に転送し、Gmailモバイル版でアクセスする
PCメールをHotmailに転送し、Windows Live Messenger モバイル版でアクセスする
自分のウェブサイトにモバイル用CGIをインストールしてアカウントに直接アクセスする

1のGmailモバイル版は、これまでGmailを使ってきた人には一番簡単な方法です。アクセスするURLもhttp://gmail.com/ と短く、ケータイで入力するのに便利になっています。昨年からAU向けに試験提供されてきましたが、二回目以降にアクセスしたときに文字化けが起こる障害があったので使っていませんでした。今回は、文字化けの心配はなさそうです。

2のWindows Live Messenger モバイル版は、Hotmailユーザにはなじみやすいでしょう。キャリアはドコモとAUの２社に対応しています。携帯電話用のアプリケーションとして提供されている Windows Live Messenger を利用すると、チャットだけでなくHotmailにもアクセスできるというわけです。アプリは各キャリアの公式サービスで提供されています。

Windows Live Messenger モバイル

3番目は、ウェブサイトにCGIを設置するという一番ハードルの高い方法ですが、一旦インストールと設定がすめば快適に利用できます。PCメールを読み書きできるウェブメールCGIでぼくが使っているのは次のものです。

WebMailClient2 for Keitai

何年も前から利用していますが、稼働実績があり、動作が安定しているのでおすすめです。

さて、1～3のどれを選ぶかは、判断の分かれるところです。どれも無料で利用できるので試してから判断するのも手ですね。ぼくとしては文字化けが解消されたのであれば1のGmailモバイル版がレスポンスも早く、画面がシンプルなので最も快適に利用できると思います。

『ヤフー！・グーグルSEO対策テクニック』

journey — Wed, 07 Mar 2007 03:34:58 +0000

SEO（サーチエンジン最適化）ってなんか難しそう、な気がします。SEOって、簡単に言うと、Yahoo!やGoogleのようなサーチエンジンで上位表示されるためのテクニックのことです。

今回紹介するのは、この本。

鈴木将司著　『ヤフー！・グーグルSEO対策テクニック－目指せ！ヤフー！・グーグルで1位表示』　（2005年12月、翔泳社、1600円）

本書では、Yahoo!やGoogleにサイトを登録してもらい、表示のランクを上げていく対策について詳述しています。最も重要なポイントは次の点と思いました。

ヤフーカテゴリに登録すること
充実した、役立つコンテンツを提供すること
被リンク（他のサイトからのリンク）を増やすこと

もちろん、メタタグにどのような情報を入れるとか、タイトルタグにキーワードを入れるとか様々なテクニックはあります。が、重要なことは、たくさんの人が読みたいと思うようなコンテンツを提供すること。また、ポータルサイトへの登録や相互リンクの依頼を通じて、他のサイトからのリンク数を増やしていくことのようです。

ウェブサイトのアクセス数を増やしたい管理者の方は必読です。

WordPress サービススタート！

journey — Tue, 27 Feb 2007 15:00:13 +0000

ジュニックス・コンサルティングでは、2007年2月28日より、WordPress関連サービスをスタートいたしました。

ジュニックス・コンサルティングはオープンソースのブログソフト WordPress を大変高く評価しており、一般的なブログの管理運営のみならず、優秀なコンテンツ管理システム (CMS) としても利用可能であると考えています。

また、WordPressには1,300種以上のデザインテンプレートが公開されており、自由に使うことができます。しかし、せっかくの美しいデザインですが入手できるのは大半が英語版のみです。ジュニックス・コンサルティングは、WordPressをお客様のサイトに設置し、これらのデザインテンプレートを日本語化し、お客様のニーズに合わせてカスタマイズしてご提供いたします。

美しく、SEO効果に優れたウェブサイトをローコスト、短納期で提供するWordPressサービスをぜひご利用ください。

Google AdSense

journey — Fri, 16 Feb 2007 00:12:54 +0000

ホームページにGoogle AdSenseを入れてみました。広告のリンクを誰かがクリックすると、ホームページのオーナーにGoogleから広告料が入るという仕組みです。

http://www.google.co.jp/intl/ja/ads/

Gmailのアカウントをもっているので、アカウント取得の手続きはスムーズにすすみ、Googleが提供するJavaScriptコードをホームページに貼り付けたら完了。割と簡単です。

特段注目を集める情報を発信していないため訪問者も少なく、まして広告をクリックしてくれる人は今のところいません。とりあえずは練習と思っています。ページによって、異なる広告が表示されるのは、さすがGoogle、面白いですね。

それにしても、トップページに頻繁に表示される「毎月受給した～」という広告、怪しすぎます。掲載されないようにできたらいいんですが。

サーバ移転

journey — Mon, 09 Oct 2006 11:27:20 +0000

10月6日と9日の2回にわたり、junyx.net ドメインのサーバを移転しました。移転先は「さくらのレンタルサーバ」。

SAKURA Internet のレンタルサーバ

6日の作業は、メール関係の移転。ドメインの追加、メールアドレスの作成、メーリングリストの作成、メーリングリストの設定変更などです。
9日の作業はウェブサーバの移転。MySQLデータベースの作成、旧サーバデータベースのバックアップ、旧ウェブサーバのデータバックアップ、新サーバにデータベース・リストア、ウェブデータのリストア、データベース関係設定ファイルの編集などです。

MySQLデータベースは3.23から4.0への変更だったので、UTF-8文字コードでも、文字化けしなくてすみ、ホッとしました。

サーバのレスポンスが速くなり、快適な環境になりました。容量1GBで月額500円なので安いです。人が作ったサーバを見るのは良い勉強になります。どのようにして負荷の増大を避けるか、よく考えてあるなぁ、と思いました。

今後、ドメインはDynDNS (Dynamic Network Services) に移管する予定。自宅サーバを junyx.net ドメインで利用できるようにするつもりです。実際のところ、すでにDNSのCNAMEレコードを使ってそうしているのですが、Aレコードで正式公開したいと考えています。