Linux備忘録

IPTABLE

Sat, 19 Apr 2008 23:40:53 +0900

久々にIPTABLEの設定を見直すことにしたので,現在の設定をまず確認。

[root@desktop conf]# service iptables status
テーブル: filter
Chain INPUT (policy DROP)
num target     prot opt source               destination
1    ACCEPT     all -- 0.0.0.0/0            0.0.0.0/0
2    ACCEPT     icmp -- 0.0.0.0/0            192.168.11.5        icmp type 8
3    ACCEPT     icmp -- 0.0.0.0/0            192.168.11.5        icmp type 0
4    ACCEPT     tcp -- 192.168.11.0/24      192.168.11.5        tcp dpt:22
5    ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0           tcp dpt:80
6    ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0           tcp dpt:443
7    ACCEPT     all -- 0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
8    LOGGING    all -- 0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP)
num target prot opt source destination

Chain OUTPUT (policy DROP)
num target     prot opt source               destination
1    ACCEPT     all -- 0.0.0.0/0            0.0.0.0/0
2    ACCEPT     icmp -- 192.168.11.5         0.0.0.0/0           icmp type 0
3    ACCEPT     icmp -- 192.168.11.5         0.0.0.0/0           icmp type 8
4    ACCEPT     tcp -- 192.168.11.5         192.168.11.0/24     tcp spt:22
5    ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0           tcp spt:80
6    ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0           tcp spt:443
7    LOGGING    all -- 0.0.0.0/0            0.0.0.0/0

Chain LOGGING (2 references)
num target     prot opt source               destination
1    LOG        all -- 0.0.0.0/0            0.0.0.0/0           limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `DROP:'
2    DROP       all -- 0.0.0.0/0            0.0.0.0/0

[root@desktop conf]#

[root@desktop conf]# iptables -v -L INPUT
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
    8   560 ACCEPT     all -- lo     any     anywhere             anywhere
    0     0 ACCEPT     icmp -- eth0   any     anywhere             desktop.localdomain icmp echo-request
    0     0 ACCEPT     icmp -- eth0   any     anywhere             desktop.localdomain icmp echo-reply
1062 71555 ACCEPT     tcp -- eth0   any     192.168.11.0/24      desktop.localdomain tcp dpt:ssh
    0     0 ACCEPT     tcp -- any    any     anywhere             anywhere            tcp dpt:http
    0     0 ACCEPT     tcp -- any    any     anywhere             anywhere            tcp dpt:https
    0     0 ACCEPT     all -- any    any     anywhere             anywhere            state RELATED,ESTABLISHED
   15 2088 LOGGING    all -- any    any     anywhere             anywhere

[root@desktop conf]# iptables -v -L OUTPUT
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
    8   560 ACCEPT     all -- any    lo      anywhere             anywhere
    0     0 ACCEPT     icmp -- any    eth0    desktop.localdomain anywhere            icmp echo-reply
    0     0 ACCEPT     icmp -- any    eth0    desktop.localdomain anywhere            icmp echo-request
1144 149K ACCEPT     tcp -- any    eth0    desktop.localdomain 192.168.11.0/24     tcp spt:ssh
    0     0 ACCEPT     tcp -- any    any     anywhere             anywhere            tcp spt:http
    0     0 ACCEPT     tcp -- any    any     anywhere             anywhere            tcp spt:https
   86 7988 LOGGING    all -- any    any     anywhere             anywhere
[root@desktop conf]#

[root@desktop conf]# /sbin/iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all -- anywhere             anywhere
ACCEPT     icmp -- anywhere             desktop.localdomain icmp echo-request
ACCEPT     icmp -- anywhere             desktop.localdomain icmp echo-reply
ACCEPT     tcp -- 192.168.11.0/24      desktop.localdomain tcp dpt:ssh
ACCEPT     tcp -- anywhere             anywhere            tcp dpt:http
ACCEPT     tcp -- anywhere             anywhere            tcp dpt:https
ACCEPT     all -- anywhere             anywhere            state RELATED,ESTABLISHED
LOGGING    all -- anywhere             anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all -- anywhere             anywhere
ACCEPT     icmp -- desktop.localdomain anywhere            icmp echo-reply
ACCEPT     icmp -- desktop.localdomain anywhere            icmp echo-request
ACCEPT     tcp -- desktop.localdomain 192.168.11.0/24     tcp spt:ssh
ACCEPT     tcp -- anywhere             anywhere            tcp spt:http
ACCEPT     tcp -- anywhere             anywhere            tcp spt:https
LOGGING    all -- anywhere             anywhere

[root@desktop conf]# /sbin/iptables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
    8   560 ACCEPT     all -- lo     any     anywhere             anywhere
    0     0 ACCEPT     icmp -- eth0   any     anywhere             desktop.localdomain icmp echo-request
    0     0 ACCEPT     icmp -- eth0   any     anywhere             desktop.localdomain icmp echo-reply
1137 76219 ACCEPT     tcp -- eth0   any     192.168.11.0/24      desktop.localdomain tcp dpt:ssh
    0     0 ACCEPT     tcp -- any    any     anywhere             anywhere            tcp dpt:http
    0     0 ACCEPT     tcp -- any    any     anywhere             anywhere            tcp dpt:https
    0     0 ACCEPT     all -- any    any     anywhere             anywhere            state RELATED,ESTABLISHED
   15 2088 LOGGING    all -- any    any     anywhere             anywhere

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
    8   560 ACCEPT     all -- any    lo      anywhere             anywhere
    0     0 ACCEPT     icmp -- any    eth0    desktop.localdomain anywhere            icmp echo-reply
    0     0 ACCEPT     icmp -- any    eth0    desktop.localdomain anywhere            icmp echo-request
1205 157K ACCEPT     tcp -- any    eth0    desktop.localdomain 192.168.11.0/24     tcp spt:ssh
    0     0 ACCEPT     tcp -- any    any     anywhere             anywhere            tcp spt:http
    0     0 ACCEPT     tcp -- any    any     anywhere             anywhere            tcp spt:https
   98 8840 LOGGING    all -- any    any     anywhere             anywhere

Chain LOGGING (2 references)
pkts bytes target     prot opt in     out     source               destination
    6   673 LOG        all -- any    any     anywhere             anywhere            limit: avg 3/hour burst 5 LOG level warning prefix `DROP:'
113 10928 DROP       all -- any    any     anywhere             anywhere
[root@desktop conf]#

[root@desktop conf]# /sbin/iptables -nvxL
Chain INPUT (policy DROP 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       8      560 ACCEPT     all -- lo     *       0.0.0.0/0            0.0.0.0/0
       0        0 ACCEPT     icmp -- eth0   *       0.0.0.0/0            192.168.11.5        icmp type 8
       0        0 ACCEPT     icmp -- eth0   *       0.0.0.0/0            192.168.11.5        icmp type 0
    1230    82035 ACCEPT     tcp -- eth0   *       192.168.11.0/24      192.168.11.5        tcp dpt:22
       0        0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
       0        0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
       0        0 ACCEPT     all -- *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
      15     2088 LOGGING    all -- *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       8      560 ACCEPT     all -- *      lo      0.0.0.0/0            0.0.0.0/0
       0        0 ACCEPT     icmp -- *      eth0    192.168.11.5         0.0.0.0/0           icmp type 0
       0        0 ACCEPT     icmp -- *      eth0    192.168.11.5         0.0.0.0/0           icmp type 8
    1318   172832 ACCEPT     tcp -- *      eth0    192.168.11.5         192.168.11.0/24     tcp spt:22
       0        0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:80
       0        0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:443
     106     9408 LOGGING    all -- *      *       0.0.0.0/0            0.0.0.0/0

Chain LOGGING (2 references)
    pkts      bytes target     prot opt in     out     source               destination
       6      673 LOG        all -- *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `DROP:'
     121    11496 DROP       all -- *      *       0.0.0.0/0            0.0.0.0/0
[root@desktop conf]#

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ＩＰテーブルの再設定

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

「メモ：スクリプト作成用」

[root@desktop conf]# myhost=`ifconfig eth0 | grep "inet addr" | awk '{print $2}' | sed 's/addr://'`
[root@desktop conf]# echo $myhost
192.168.11.5
[root@desktop conf]#

[root@desktop conf]# bcast=`ifconfig eth0 | grep "inet addr" | awk '{print $3}' | sed 's/Bcast://'`
[root@desktop conf]# echo $bcast
192.168.11.255
[root@desktop conf]#

[root@desktop conf]# mask=`ifconfig eth0 | grep "inet addr" | awk '{print $4}' | sed 's/Mask://'`
[root@desktop conf]# echo $mask
255.255.255.0
[root@desktop conf]#

①　既存の設定を初期化して,削除。（SAVEはしない）

[root@desktop ~]# /sbin/iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all -- anywhere             anywhere
ACCEPT     icmp -- anywhere             desktop.localdomain icmp echo-request
ACCEPT     icmp -- anywhere             desktop.localdomain icmp echo-reply
ACCEPT     tcp -- 192.168.11.0/24      desktop.localdomain tcp dpt:ssh
ACCEPT     tcp -- anywhere             anywhere            tcp dpt:http
ACCEPT     tcp -- anywhere             anywhere            tcp dpt:https
ACCEPT     all -- anywhere             anywhere            state RELATED,ESTABLISHED
LOGGING    all -- anywhere             anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain LOGGING (2 references)
target     prot opt source               destination
LOG        all -- anywhere             anywhere            limit: avg 3/hour burst 5 LOG level warning prefix `DROP:'
DROP       all -- anywhere             anywhere
[root@desktop ~]# /sbin/iptables -P INPUT ACCEPT
[root@desktop ~]# /sbin/iptables -P FORWARD DROP
[root@desktop ~]# /sbin/iptables -P OUTPUT ACCEPT
[root@desktop ~]# /sbin/iptables -F
[root@desktop ~]# /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain LOGGING (0 references)
target prot opt source destination
[root@desktop ~]#

②INPUT基本設定

[root@desktop ~]# /sbin/iptables -A INPUT -i lo -j ACCEPT
[root@desktop ~]# /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain LOGGING (0 references)
target prot opt source destination
[root@desktop ~]#

③INPUT詳細設定と確認

[root@desktop ~]# /sbin/iptables -A INPUT -i eth0 -p icmp -j ACCEPT
[root@desktop ~]# /sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
[root@desktop ~]# /sbin/iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
[root@desktop ~]# /sbin/iptables -A INPUT -i eth0 -s 192.168.11.0/24 -p all -j ACCEPT
[root@desktop ~]# /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[root@desktop ~]# /sbin/iptables -P INPUT DROP
[root@desktop ~]# /sbin/iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all -- anywhere             anywhere
ACCEPT     icmp -- anywhere             anywhere
ACCEPT     tcp -- anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp -- anywhere             anywhere            tcp dpt:http
ACCEPT     all -- 192.168.11.0/24      anywhere
ACCEPT     all -- anywhere             anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain LOGGING (0 references)
target prot opt source destination
[root@desktop ~]#

④OUTPUT詳細設定と確認

[root@desktop ~]# /sbin/iptables -A OUTPUT -o lo -j ACCEPT
[root@desktop ~]# /sbin/iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all -- anywhere             anywhere
ACCEPT     icmp -- anywhere             anywhere
ACCEPT     tcp -- anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp -- anywhere             anywhere            tcp dpt:http
ACCEPT     all -- 192.168.11.0/24      anywhere
ACCEPT     all -- anywhere             anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere

Chain LOGGING (0 references)
target     prot opt source               destination
[root@desktop ~]# /sbin/iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
[root@desktop ~]# /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 22 -j ACCEPT
[root@desktop ~]# /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
[root@desktop ~]# /sbin/iptables -A OUTPUT -o eth0 -s 192.168.11.0/24 -p all -j ACCEPT
[root@desktop ~]# /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@desktop ~]# /sbin/iptables -P OUTPUT DROP
[root@desktop ~]# /sbin/iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all -- anywhere             anywhere
ACCEPT     icmp -- anywhere             anywhere
ACCEPT     tcp -- anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp -- anywhere             anywhere            tcp dpt:http
ACCEPT     all -- 192.168.11.0/24      anywhere
ACCEPT     all -- anywhere             anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all -- anywhere             anywhere
ACCEPT     icmp -- anywhere             anywhere
ACCEPT     tcp -- anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp -- anywhere             anywhere            tcp dpt:http
ACCEPT     all -- 192.168.11.0/24      anywhere
ACCEPT     all -- anywhere             anywhere            state RELATED,ESTABLISHED

Chain LOGGING (0 references)
target prot opt source destination
[root@desktop ~]#

⑤設定の確認と保存

[root@desktop ~]# /sbin/iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all -- anywhere             anywhere
ACCEPT     icmp -- anywhere             anywhere
ACCEPT     tcp -- anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp -- anywhere             anywhere            tcp dpt:http
ACCEPT     all -- 192.168.11.0/24      anywhere
ACCEPT     all -- anywhere             anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target prot opt source destination

Chain LOGGING (0 references)
target prot opt source destination
[root@desktop ~]#

[root@desktop ~]# /etc/init.d/iptables save
ファイアウォールのルールを /etc/sysconfig/iptables に保存中[ OK ]
[root@desktop ~]# /etc/init.d/iptables restart
ファイアウォールルールを適用中:                            [ OK ]
チェインポリシーを ACCEPT に設定中filter                   [ OK ]
iptables モジュールを取り外し中                            [ OK ]
iptables ファイアウォールルールを適用中:                   [ OK ]
iptables モジュールを読み込み中ip_conntrack_netbios_ns     [ OK ]
[root@desktop ~]# /sbin/iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all -- anywhere             anywhere
ACCEPT     icmp -- anywhere             anywhere
ACCEPT     tcp -- anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp -- anywhere             anywhere            tcp dpt:http
ACCEPT     all -- 192.168.11.0/24      anywhere
ACCEPT     all -- anywhere             anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target prot opt source destination

Chain LOGGING (0 references)
target prot opt source destination
[root@desktop ~]#

※ /etc/hosts.allow & /etc/hosts.denyも利用しているので上記の設定でもSSHも特定のセグメントのみしか

　利用出来ないようにしている。

/sbin/iptables -A INPUT -i eth0 -s 192.168.11.0/24 -p all -j ACCEPT　に関しては,よりセキュアにするには

外して良いかと考えている。

BACKUPファイル作成

Sat, 05 Jan 2008 23:06:00 +0900

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

tarでのバックアップ

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[root@localhost ~]# tar zcvf $HOME/backup`date +%m%d`.tar.gz $HOME/ATBK5TH
tar: メンバ名から先頭の `/' を取り除きます
/home/admin/ATBK5TH/
/home/admin/ATBK5TH/atmarkit.ini
/home/admin/ATBK5TH/index.html
/home/admin/ATBK5TH/insert.php
/home/admin/ATBK5TH/update.ini
/home/admin/ATBK5TH/select.php
/home/admin/ATBK5TH/jscripts.ini
/home/admin/ATBK5TH/update.php
/home/admin/ATBK5TH/insert_form.ini
/home/admin/ATBK5TH/grant.sql
/home/admin/ATBK5TH/select_form.ini
/home/admin/ATBK5TH/ADDRESS.sql
/home/admin/ATBK5TH/image/
/home/admin/ATBK5TH/image/back.gif
/home/admin/ATBK5TH/image/0.gif
/home/admin/ATBK5TH/image/sakujo.gif
/home/admin/ATBK5TH/image/title1.gif
/home/admin/ATBK5TH/image/1shori.gif
/home/admin/ATBK5TH/image/title2.gif
/home/admin/ATBK5TH/image/henko.gif
/home/admin/ATBK5TH/image/xpress2.gif
/home/admin/ATBK5TH/image/line.gif
/home/admin/ATBK5TH/image/uketsuke.gif
/home/admin/ATBK5TH/image/kensaku.gif
/home/admin/ATBK5TH/delete.php
[root@localhost ~]# ls
ATBK5TH backup0105.tar.gz dumpbackup2 iptable_config_base.sh dumpbackup index.html.1 modsecurity_crs_20071222.conf source
[root@localhost ~]#

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

tarアーカイブの中身を確認する。　　(tfオプション)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[root@localhost ~]# tar tf backup0105.tar.gz
home/admin/ATBK5TH/
home/admin/ATBK5TH/atmarkit.ini
home/admin/ATBK5TH/index.html
home/admin/ATBK5TH/insert.php
home/admin/ATBK5TH/update.ini
home/admin/ATBK5TH/select.php
home/admin/ATBK5TH/jscripts.ini
home/admin/ATBK5TH/update.php
home/admin/ATBK5TH/insert_form.ini
home/admin/ATBK5TH/grant.sql
home/admin/ATBK5TH/select_form.ini
home/admin/ATBK5TH/ADDRESS.sql
home/admin/ATBK5TH/image/
home/admin/ATBK5TH/image/back.gif
home/admin/ATBK5TH/image/0.gif
home/admin/ATBK5TH/image/sakujo.gif
home/admin/ATBK5TH/image/title1.gif
home/admin/ATBK5TH/image/1shori.gif
home/admin/ATBK5TH/image/title2.gif
home/admin/ATBK5TH/image/henko.gif
home/admin/ATBK5TH/image/xpress2.gif
home/admin/ATBK5TH/image/line.gif
home/admin/ATBK5TH/image/uketsuke.gif
home/admin/ATBK5TH/image/kensaku.gif
home/admin/ATBK5TH/delete.php
[root@localhost ~]#
[root@localhost ~]#

do ～ while

Sat, 05 Jan 2008 22:45:13 +0900

━━━━━━━━━━━━━━━━━━━━━━━━━━

for文やwhile文にて繰り返し,部分はdo～doneとして定義する。

━━━━━━━━━━━━━━━━━━━━━━━━━━

以下の文は,3分毎にログファイル末尾10桁を表示している。

コンソールログイン時の表示情報

Sat, 05 Jan 2008 22:16:34 +0900

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

コンソールでのログイン,ネットワーク経由でのコンソールログイン時に表示される情報

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[root@localhost ~]# vi /etc/issue
issue issue.net
[root@localhost ~]# vi /etc/issue
[root@localhost ~]# vi /etc/issue.net

　　　/etc/issueに記述できるシーケンス

	シーケンス	説明
	\d	日付を表示
	\l	仮想コンソールの番号を表示
	\m	マシン（ハードウェア）タイプを表示
	\n	ホスト名を表示
	\o	ドメイン名を表示
	\r	OSのリリースを表示
	\t	現在の時刻を表示
	\s	OSの名前を表示
	\u	ログインしているユーザー数を表示
	\U	ログインしているユーザー数を「x users」と表示（「x」はユーザー数）
	\v	OSのバージョンを表示

　　　/etc/issue.netに記述できるシーケンス

	シーケンス	説明
	%t	現在のtty（端末名）を表示
	%h	システムのノード名（FQDN）を表示
	%D	ドメイン名を表示
	%d	現在の時刻と日付を表示
	%s	OSの名前を表示
	%m	マシン（ハードウェア）タイプを表示
	%r	OSのリリースを表示
	%v	OSのバージョンを表示
	%%	1個の%文字を表示

※セキュリティの設定でリモートから接続した場合は,表示されない設定になっている事が多い。

apropos

Sat, 05 Jan 2008 22:10:48 +0900

━━━━━━━━━━━━━━━━━━━━━━━━━━━━

aproposコマンドは,マニュアルの一行説明の中から指定したキーワードでの検索を行う。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[root@localhost ~]# apropos pas
cracklib            (rpm) - A password-checking library.
gnome-keyring       (rpm) - A framework for managing user passwords and other secrets
openssh-askpass     (rpm) - A passphrase dialog for OpenSSH and X
pam_passwdqc        (rpm) - Pluggable password quality-control module.
passivetex          (rpm) - Macros to process XSL formatting objects.
passwd              (rpm) - The passwd utility for setting/changing passwords using PAM
shadow-utils        (rpm) - Utilities for managing accounts and shadow password files.
[root@localhost ~]# apropos mount
autofs              (rpm) - A tool for automatically mounting and unmounting filesystems.
gnome-mount         (rpm) - Mount replacement which uses HAL to do the mounting
mtools              (rpm) - Programs for accessing MS-DOS disks without mounting the disks.
units               (rpm) - A utility for converting amounts from one unit to another.
xorg-x11-drv-penmount (rpm) - Xorg X11 penmount input driver
[root@localhost ~]#
[root@localhost ~]# man 8 mount
[root@localhost ~]#

カーネルモジュール依存関係情報更新

Sat, 05 Jan 2008 21:19:57 +0900

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

依存関係情報格納ファイル

[root@localhost ~]# ls -l /lib/modules/`uname -r`/modules.dep
-rw-r--r-- 1 root root 195218 1月 5 21:24 /lib/modules/2.6.18-8.1.14.el5/modules.dep

depmodコマンドで依存関係情報更新

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[root@localhost ~]# head /lib/modules/2.6.18-8.1.14.el5/modules.dep
/lib/modules/2.6.18-8.1.14.el5/kernel/lib/ts_fsm.ko:
/lib/modules/2.6.18-8.1.14.el5/kernel/lib/reed_solomon/reed_solomon.ko:
/lib/modules/2.6.18-8.1.14.el5/kernel/lib/crc16.ko:
/lib/modules/2.6.18-8.1.14.el5/kernel/lib/zlib_deflate/zlib_deflate.ko:
/lib/modules/2.6.18-8.1.14.el5/kernel/lib/crc-ccitt.ko:
/lib/modules/2.6.18-8.1.14.el5/kernel/lib/ts_bm.ko:
/lib/modules/2.6.18-8.1.14.el5/kernel/lib/ts_kmp.ko:
/lib/modules/2.6.18-8.1.14.el5/kernel/arch/i386/crypto/aes-i586.ko:
/lib/modules/2.6.18-8.1.14.el5/kernel/arch/i386/kernel/cpuid.ko:
/lib/modules/2.6.18-8.1.14.el5/kernel/arch/i386/kernel/microcode.ko:
[root@localhost ~]# depmod
[root@localhost ~]#

ロードされているカーネルモジュール確認

Sat, 05 Jan 2008 21:09:43 +0900

━━━━━━━━━━━━━━━━━━━━━━━━

ロードされているカーネルモジュール確認 (lsmod)

━━━━━━━━━━━━━━━━━━━━━━━━

[admin@localhost ~]$ lsmod
Module                  Size Used by
ipv6                  250369 20
autofs4                23749 2
hidp                   23105 2
l2cap                  29633 5 hidp
bluetooth              53925 2 hidp,l2cap
sunrpc                142973 1
ip_conntrack_netbios_ns     6977 0
ipt_LOG                10177 1
xt_limit                6721 1
xt_state                6209 1
ip_conntrack           53153 2 ip_conntrack_netbios_ns,xt_state
nfnetlink              10713 1 ip_conntrack
xt_tcpudp               7105 6
iptable_filter          7105 1
ip_tables              17029 1 iptable_filter
x_tables               17349 5 ipt_LOG,xt_limit,xt_state,xt_tcpudp,ip_tables
dm_mirror              29713 0
dm_mod                 56665 1 dm_mirror
video                  19269 0
sbs                    18533 0
i2c_ec                  9025 1 sbs
button                 10705 0
battery                13637 0
asus_acpi              19289 0
ac                      9157 0
lp                     15849 0
floppy                 57125 0
snd_ymfpci             62177 0
gameport               18633 1 snd_ymfpci
snd_ac97_codec         87009 1 snd_ymfpci
snd_ac97_bus            6337 1 snd_ac97_codec
snd_seq_dummy           7877 0
snd_seq_oss            32705 0
snd_seq_midi_event     11073 1 snd_seq_oss
snd_seq                49841 5 snd_seq_dummy,snd_seq_oss,snd_seq_midi_event
snd_pcm_oss            42849 0
snd_mixer_oss          19137 1 snd_pcm_oss
snd_pcm                71621 3 snd_ymfpci,snd_ac97_codec,snd_pcm_oss
snd_opl3_lib           14017 1 snd_ymfpci
snd_timer              24901 4 snd_ymfpci,snd_seq,snd_pcm,snd_opl3_lib
snd_hwdep              12997 1 snd_opl3_lib
pcspkr                  7105 0
snd_page_alloc         13641 2 snd_ymfpci,snd_pcm
snd_mpu401_uart        12097 1 snd_ymfpci
snd_rawmidi            26817 1 snd_mpu401_uart
snd_seq_device         11853 5 snd_seq_dummy,snd_seq_oss,snd_seq,snd_opl3_lib,snd_rawmidi
snd                    51909 13 snd_ymfpci,snd_ac97_codec,snd_seq_oss,snd_seq,snd_pcm_oss    ,snd_mixer_oss,snd_pcm,snd_opl3_lib,snd_timer,snd_hwdep,snd_mpu401_uart,snd_rawmidi,snd_se    q_device
i2c_piix4              12109 0
i2c_core               23745 2 i2c_ec,i2c_piix4
soundcore              13217 1 snd
ide_cd                 40033 0
cdrom                  36705 1 ide_cd
serio_raw              10693 0
tulip                  50785 0
parport_pc             29157 1
parport                37513 2 lp,parport_pc
sym53c8xx              70745 0
scsi_transport_spi     26177 1 sym53c8xx
sd_mod                 22977 0
scsi_mod              130637 3 sym53c8xx,scsi_transport_spi,sd_mod
ext3                  123081 3
jbd                    56553 1 ext3
ehci_hcd               32845 0
ohci_hcd               23261 0
uhci_hcd               25421 0
[admin@localhost ~]$

━━━━━━━━━━━━━━━━━━━━━━━━

ロードされているカーネルモジュール確認 (/dev/modules or /proc/modules)

━━━━━━━━━━━━━━━━━━━━━━━━

[root@localhost ~]# cat /proc/modules
ipv6 250369 20 - Live 0xd4bb4000
autofs4 23749 2 - Live 0xd4b36000
hidp 23105 2 - Live 0xd4b1e000
l2cap 29633 5 hidp, Live 0xd4b61000
bluetooth 53925 2 hidp,l2cap, Live 0xd4b27000
sunrpc 142973 1 - Live 0xd4b3d000
ip_conntrack_netbios_ns 6977 0 - Live 0xd4b00000
ipt_LOG 10177 1 - Live 0xd4afc000
xt_limit 6721 1 - Live 0xd4a3e000
xt_state 6209 1 - Live 0xd4a41000
ip_conntrack 53153 2 ip_conntrack_netbios_ns,xt_state, Live 0xd4b08000
nfnetlink 10713 1 ip_conntrack, Live 0xd4a57000
xt_tcpudp 7105 6 - Live 0xd49ad000
iptable_filter 7105 1 - Live 0xd4949000
ip_tables 17029 1 iptable_filter, Live 0xd4a51000
x_tables 17349 5 ipt_LOG,xt_limit,xt_state,xt_tcpudp,ip_tables, Live 0xd4a4b000
dm_mirror 29713 0 - Live 0xd4a6c000
dm_mod 56665 1 dm_mirror, Live 0xd4a5d000
video 19269 0 - Live 0xd4a45000
sbs 18533 0 - Live 0xd49d8000
i2c_ec 9025 1 sbs, Live 0xd49e7000
button 10705 0 - Live 0xd49e3000
battery 13637 0 - Live 0xd49de000
asus_acpi 19289 0 - Live 0xd4956000
ac 9157 0 - Live 0xd49a9000
lp 15849 0 - Live 0xd4999000
floppy 57125 0 - Live 0xd49eb000
snd_ymfpci 62177 0 - Live 0xd49c7000
gameport 18633 1 snd_ymfpci, Live 0xd4993000
snd_ac97_codec 87009 1 snd_ymfpci, Live 0xd49b0000
snd_ac97_bus 6337 1 snd_ac97_codec, Live 0xd4953000
snd_seq_dummy 7877 0 - Live 0xd4950000
snd_seq_oss 32705 0 - Live 0xd498a000
snd_seq_midi_event 11073 1 snd_seq_oss, Live 0xd494c000
snd_seq 49841 5 snd_seq_dummy,snd_seq_oss,snd_seq_midi_event, Live 0xd497c000
snd_pcm_oss 42849 0 - Live 0xd4970000
snd_mixer_oss 19137 1 snd_pcm_oss, Live 0xd493c000
snd_pcm 71621 3 snd_ymfpci,snd_ac97_codec,snd_pcm_oss, Live 0xd495d000
snd_opl3_lib 14017 1 snd_ymfpci, Live 0xd4942000
snd_timer 24901 4 snd_ymfpci,snd_seq,snd_pcm,snd_opl3_lib, Live 0xd4919000
snd_hwdep 12997 1 snd_opl3_lib, Live 0xd4937000
pcspkr 7105 0 - Live 0xd4831000
snd_page_alloc 13641 2 snd_ymfpci,snd_pcm, Live 0xd48e7000
snd_mpu401_uart 12097 1 snd_ymfpci, Live 0xd4915000
snd_rawmidi 26817 1 snd_mpu401_uart, Live 0xd492f000
snd_seq_device 11853 5 snd_seq_dummy,snd_seq_oss,snd_seq,snd_opl3_lib,snd_rawmidi, Live 0xd4911000
snd 51909 13 snd_ymfpci,snd_ac97_codec,snd_seq_oss,snd_seq,snd_pcm_oss,snd_mixer_oss,snd_pcm,snd_opl3_lib,snd_timer,snd_hwdep,snd_mpu401_uart,snd_rawmidi,snd_seq_device, Live 0xd4921000
i2c_piix4 12109 0 - Live 0xd489a000
i2c_core 23745 2 i2c_ec,i2c_piix4, Live 0xd48f1000
soundcore 13217 1 snd, Live 0xd48ec000
ide_cd 40033 0 - Live 0xd4906000
cdrom 36705 1 ide_cd, Live 0xd48be000
serio_raw 10693 0 - Live 0xd4849000
tulip 50785 0 - Live 0xd48f8000
parport_pc 29157 1 - Live 0xd48c9000
parport 37513 2 lp,parport_pc, Live 0xd485f000
sym53c8xx 70745 0 - Live 0xd48d4000
scsi_transport_spi 26177 1 sym53c8xx, Live 0xd4857000
sd_mod 22977 0 - Live 0xd4842000
scsi_mod 130637 3 sym53c8xx,scsi_transport_spi,sd_mod, Live 0xd4879000
ext3 123081 3 - Live 0xd489e000
jbd 56553 1 ext3, Live 0xd486a000
ehci_hcd 32845 0 - Live 0xd484d000
ohci_hcd 23261 0 - Live 0xd4819000
uhci_hcd 25421 0 - Live 0xd483a000
[root@localhost ~]#

ユーザープロファイル設定

Sun, 30 Dec 2007 23:12:53 +0900

ユーザープロファイル管理

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パスワードに有効期限を設定
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[root@localhost ~]# chage
Usage: chage [options] user

Options:
-d, --lastday LAST_DAY        set last password change to LAST_DAY
-E, --expiredate EXPIRE_DATE set account expiration date to EXPIRE_DATE
-h, --help                    display this help message and exit
-I, --inactive INACTIVE       set password inactive after expiration
                                to INACTIVE
-l, --list                    show account aging information
-m, --mindays MIN_DAYS        set minimum number of days before password
                                change to MIN_DAYS
-M, --maxdays MAX_DAYS        set maximim number of days before password
                                change to MAX_DAYS
-W, --warndays WARN_DAYS      set expiration warning days to WARN_DAYS

[root@localhost ~]#

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
アカウントの確認
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[root@localhost ~]# chage -l admin
Last password change                                    : 10月 04, 2007
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7
[root@localhost ~]#

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
↑のアカウントはディフォルトのままなので，設定を変更する
パスワード変更には最低1日
パスワード有効期限90日
パスワードが切れる30日前から警告が出る
パスワードが切れると7日間待ってアカウントロック
アカウント無効化の日は2010年4月1日に設定
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[root@localhost ~]# chage -m 1 -M 90 -W 30 -I 7 -E 2010-04-01 admin
[root@localhost ~]# chage -l admin
Last password change                                    : 10月 04, 2007
Password expires                                        : 1月 02, 2008
Password inactive                                       : 1月 09, 2008
Account expires                                         : 4月 01, 2010
Minimum number of days between password change          : 1
Maximum number of days between password change          : 90
Number of days of warning before password expires       : 30
[root@localhost ~]#

[root@localhost ~]# cat /etc/shadow | grep admin
admin:$1$FssAdbea$.hYb8/RSdjmqZ4yDuFcAd1:13790:1:90:30:7:14700:
administrator:!!:13835:0:99999:7:::
[root@localhost ~]#
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パスワード変更
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[root@localhost ~]# chage -l admin
Last password change                                    : 12月 30, 2007
Password expires                                        : 3月 29, 2008
Password inactive                                       : 4月 05, 2008
Account expires                                         : 4月 01, 2010
Minimum number of days between password change          : 1
Maximum number of days between password change          : 90
Number of days of warning before password expires       : 30
[root@localhost ~]#

※ 一般ユーザーのログインを禁止する設定
/etc/nologinファイルを作成しておく。　(touch /etc/nologin)

※ usermod -s /bin/false ユーザー名 (特定ユーザーのログイン禁止）
※ /etc/passwdファイルを直接編集でも可

ユーザーのリソース利用制限をulimitにて変更できます。
[root@localhost ~]# ulimit -a
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
max nice                        (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 5119
max locked memory       (kbytes, -l) 32
max memory size         (kbytes, -m) unlimited
open files                      (-n) 1024
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
max rt priority                 (-r) 0
stack size              (kbytes, -s) 10240
cpu time               (seconds, -t) unlimited
max user processes              (-u) 5119
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited
[root@localhost ~]#

rpm -v

Sun, 30 Dec 2007 22:23:04 +0900

RPMからインストールされたファイルの検証。
rpm -Vコマンド

━━━━━━━━━━━━━━━━━━━━━━━━━━━
8桁検証記号 c=設定ファイル
━━━━━━━━━━━━━━━━━━━━━━━━━━━
[root@localhost ~]# rpm -Va
..5....T c /etc/pki/nssdb/secmod.db
.M...... c /etc/cups/classes.conf
S.5....T c /etc/php.ini
SM5....T   /usr/lib/perl5/5.8.8/CGI.pm
SM5....T   /usr/lib/perl5/5.8.8/CGI/Carp.pm
SM5....T   /usr/lib/perl5/5.8.8/CGI/Cookie.pm
SM5....T   /usr/lib/perl5/5.8.8/CGI/Fast.pm
SM5....T   /usr/lib/perl5/5.8.8/CGI/Util.pm
SM5....T   /usr/lib/perl5/5.8.8/File/Temp.pm
SM5....T   /usr/lib/perl5/5.8.8/Test/Builder.pm
.M5....T   /usr/lib/perl5/5.8.8/Test/Builder/Module.pm
SM5....T   /usr/lib/perl5/5.8.8/Test/Builder/Tester.pm
SM5....T   /usr/lib/perl5/5.8.8/Test/More.pm
.M5....T   /usr/lib/perl5/5.8.8/Test/Simple.pm
SM5....T   /usr/lib/perl5/5.8.8/i386-linux-thread-multi/auto/List/Util/Util.so
SM5....T c /etc/sysconfig/iptables-config
.......T c /etc/inittab
S.5....T c /etc/sysconfig/system-config-securitylevel
S.5....T c /etc/sudoers
S.5....T c /etc/aliases
S.5....T c /etc/printcap
..5....T c /etc/profile
S.5....T c /etc/dumpdates

S ファイルサイズが異なる
M アクセス権限かファイルタイプが変更されている
5 MD5チェックサム地が異なる
L シンボリックリンクが変更されている
U 所有者が変更されている
G 所属グループが変更されている
T ファイルの更新時刻が異なる
D デバイスファイルが変更されている
? 不明
c 設定ファイル

━━━━━━━━━━━━━━━━━━━━━━━━━━━
MD5チェックサムの確認　md5sum　
━━━━━━━━━━━━━━━━━━━━━━━━━━━

[root@localhost mysql-rpms]# md5sum MySQL-server-community-5.0.45-0.rhel4.i386.rpm
80897d276a381df8aa6277d29d861ca3 MySQL-server-community-5.0.45-0.rhel4.i386.rpm
[root@localhost mysql-rpms]#

━━━━━━━━━━━━━━━━━━━━━━━━━━━
GPG検証
━━━━━━━━━━━━━━━━━━━━━━━━━━━
[root@localhost mysql-rpms]# rpm --checksig MySQL-server-community-5.0.45-0.rhel4.i386.rpm
MySQL-server-community-5.0.45-0.rhel4.i386.rpm: sha1 md5 (GPG) OK ではありません。(見つからない鍵: GPG#5072e1f5)
[root@localhost mysql-rpms]#

公開鍵は，ベンダーウエブサイトなどから取得できます。

SUID

Sun, 30 Dec 2007 02:34:44 +0900

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

suid(set user id)やsgidが設定された実行ファイルを実行すると,そのプログラムは実行ファイルの所有ユーザ

または所有グループの権限で動作します。なのでスーパーユーザーが所有者であるプログラムにSUIDを設定

すると，ユーザーが実行した場合でもそのプログラムはスーパーユーザー権限で動作します。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[root@localhost ~]# find / -perm -u+s -exec ls -la '{}' ';'
-rwsr-xr-x 1 root root 55016 3月 15 2007 /sbin/mount.nfs4
-rwsr-xr-x 1 root root 12280 3月 15 2007 /sbin/pam_timestamp_check
-rwsr-xr-x 1 root root 55012 3月 15 2007 /sbin/mount.nfs
-rwsr-xr-x 1 root root 20796 3月 15 2007 /sbin/unix_chkpwd
-rwsr-xr-x 1 root root 55016 3月 15 2007 /sbin/umount.nfs4
-rwsr-xr-x 1 root root 55016 3月 15 2007 /sbin/umount.nfs
--wS--xr-x 1 root root 0 10月 5 04:59 /media/.hal-mtab-lock
-rwsr-xr-x 1 root root 31244 3月 15 2007 /bin/ping6
-rwsr-xr-x 1 root root 57588 3月 15 2007 /bin/mount
-rwsr-xr-x 1 root root 38552 3月 15 2007 /bin/umount
-rwsr-xr-x 1 root root 24060 3月 22 2007 /bin/su
-rwsr-xr-x 1 root root 35864 3月 15 2007 /bin/ping
-rwsr-xr-x 1 root root 6808 3月 22 2007 /usr/sbin/usernetctl
-rws--x--x 1 root root 34824 3月 15 2007 /usr/sbin/userhelper
-rwsr-xr-x 1 root root 6240 1月 6 2007 /usr/sbin/ccreds_validate
-rwsr-xr-x 1 root root 172200 3月 22 2007 /usr/libexec/openssh/ssh-keysign
-rwsr-xr-x 1 root root 144537 3月 15 2007 /usr/kerberos/bin/ksu
-rwsr-xr-x 1 root root 18544 3月 15 2007 /usr/bin/rcp
-rws--x--x 1 root root 17900 3月 15 2007 /usr/bin/chfn
-rwsr-xr-x 1 root root 13108 3月 15 2007 /usr/bin/rlogin
-rws--x--x 1 root root 70892 1月 10 2007 /usr/bin/sperl5.8.8
-rwsr-xr-x 1 root root 46748 3月 15 2007 /usr/bin/chage
---s--x--x 2 root root 159096 1月 7 2007 /usr/bin/sudoedit
-rws--x--x 1 root root 1820868 3月 15 2007 /usr/bin/Xorg
-rwsr-xr-x 1 root root 8876 3月 15 2007 /usr/bin/rsh
-rwsr-sr-x 1 root root 311288 3月 15 2007 /usr/bin/crontab
-rwsr-xr-x 1 root root 47352 3月 15 2007 /usr/bin/gpasswd
-rwsr-xr-x 1 root root 43976 1月 6 2007 /usr/bin/at
-rws--x--x 1 root root 19064 3月 15 2007 /usr/bin/chsh
---s--x--x 2 root root 159096 1月 7 2007 /usr/bin/sudo
-rwsr-xr-x 1 root root 24556 3月 15 2007 /usr/bin/newgrp
-rwsr-xr-x 1 root root 22984 1月 7 2007 /usr/bin/passwd
[root@localhost ~]#

「chmod u+s」コマンドや「chmod 4755」コマンドにてコマンドにsuidを付与する事が出来ます。

iptables

Fri, 28 Dec 2007 23:12:39 +0900

[root@localhost ~]# /sbin/iptables -[AD] チェインルール
[root@localhost ~]# /sbin/iptables -P チェインターゲット
[root@localhost ~]# /sbin/iptables -L チェイン

オプション，チェイン，ターゲット，ルール
━━━━━━━━━━━━━━━━━━━━━━━
オプション　　概要
━━━━━━━━━━━━━━━━━━━━━━━
-A <チェイン> チェインの最後にルールを追加
-D <チェイン> チェインからルールを削除する
-P <チェイン> <ターゲット>　チェインのポリシーを変更する
-L <チェイン> ルールのリストを表示

━━━━━━━━━━━━━━━━━━━━━━━
チェイン　　    設定
━━━━━━━━━━━━━━━━━━━━━━━
INPUT  入力パケット
OUTPUT   出力パケット
FORWARD         転送パケット

━━━━━━━━━━━━━━━━━━━━━━━
ターゲット　    設定
━━━━━━━━━━━━━━━━━━━━━━━
ACCEPT  許可
DROP  破棄
REJECT  拒否（送信元に通知)

━━━━━━━━━━━━━━━━━━━━━━━
ターゲット　    設定
━━━━━━━━━━━━━━━━━━━━━━━
-s <送信元>     送信元のIPアドレスを指定
-d <送信先> 送信先のIPアドレスを指定
--support <ポート番号> 送信元のポート番号指定
--drop    <ポート番号> 送信先のポート番号指定
-j <ターゲット> ターゲットを指定
-p <プロトコル> プロトコルを指定
-i <インターフェース> インターフェースを指定(eth0,eth1,ppp0など)

『設定の確認』
[root@localhost ~]# /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

[root@localhost ~]# /sbin/iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@localhost ~]#

まずは，SSHにてアクセスを許可させる設定をしてみる。

※　リモートから設定はアクセス出来なくなる可能性があるので注意（今回はシェルにしてリモートから対応してみた)

[root@localhost ~]# cat iptable_config_base.sh
#! /bin/sh

#すべてのiptables設定を削除#
/sbin/iptables -F
/sbin/iptables -X

#すべてのパケットを拒否#

/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

#ループバックアドレスからのパケットを全て許可#
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

#ICMP許可全て->自分#
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -s 0.0.0.0/0 -d 192.168.11.5 -i eth0 -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp --icmp-type echo-reply -s 192.168.11.5 -d 0.0.0.0/0 -o eth0 -j ACCEPT

#ICMP許可自分->全て#
/sbin/iptables -A OUTPUT -p icmp --icmp-type echo-request -s 192.168.11.5 -d 0.0.0.0/0 -o eth0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type echo-reply -s 0.0.0.0/0 -d 192.168.11.5 -i eth0 -j ACCEPT

#sshパケットの許可自分のセグメント->自分
/sbin/iptables -A INPUT -p tcp -s 192.168.11.0/24 -d 192.168.11.5 --dport 22 -i eth0 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -s 192.168.11.5 --sport 22 -d 192.168.11.0/24 -o eth0 -j ACCEPT

#loggingの設定#
/sbin/iptables -N LOGGING
/sbin/iptables -A LOGGING -j LOG --log-level warning --log-prefix "DROP:" -m limit
/sbin/iptables -A LOGGING -j DROP
/sbin/iptables -A INPUT -j LOGGING
/sbin/iptables -A OUTPUT -j LOGGING

※SSHもICMPも接続可能Ａｐａｃｈｅ（Ｐｏｒｔ８０）は接続出来なくなってました。

━━━━━━━━スクリプトの編集(Apache追加)━━━━━━━━━━━━

Apacheの接続を最後に設定に追加して，保存して終了。（またリモートからの作業なので，シェルスクリプトの編集）

[root@localhost ~]# cat iptable_config_base.sh
#! /bin/sh

#すべてのiptables設定を削除
/sbin/iptables -F
/sbin/iptables -X

#すべてのパケットを拒否

/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

#ループバックアドレスからのパケットを全て許可
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

#ICMPパケットの許可 (方向)trusthost->myhost
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -s 0.0.0.0/0 -d 192.168.11.5 -i eth0 -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp --icmp-type echo-reply -s 192.168.11.5 -d 0.0.0.0/0 -o eth0 -j ACCEPT

#ICMPの許可 (方向)myhost->trusthost
/sbin/iptables -A OUTPUT -p icmp --icmp-type echo-request -s 192.168.11.5 -d 0.0.0.0/0 -o eth0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type echo-reply -s 0.0.0.0/0 -d 192.168.11.5 -i eth0 -j ACCEPT

#sshパケットの許可 (方向)trusthost-> myhost
/sbin/iptables -A INPUT -p tcp -s 192.168.11.0/24 -d 192.168.11.5 --dport 22 -i eth0 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -s 192.168.11.5 --sport 22 -d 192.168.11.0/24 -o eth0 -j ACCEPT

# HTTP 80,443 許可#
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT

# 内部から行ったアクセスに対する外部からの返答アクセスを許可#
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

[root@localhost ~]#

━━━━━━━━保存と再起動━━━━━━━━━━━━

[root@localhost ~]# /etc/rc.d/init.d/iptables save
ファイアウォールのルールを /etc/sysconfig/iptables に保存中[ OK ]
[root@localhost ~]# /etc/init.d/iptables restart
ファイアウォールルールを適用中:                            [ OK ]
チェインポリシーを ACCEPT に設定中filter                   [ OK ]
iptables モジュールを取り外し中                            [ OK ]
iptables ファイアウォールルールを適用中:                   [ OK ]
iptables モジュールを読み込み中ip_conntrack_netbios_ns     [ OK ]
[root@localhost ~]#

mod_security2

Sun, 23 Dec 2007 23:58:52 +0900

⑴　Source Fileのダウンロード

wget http://www.modsecurity.org/download/modsecurity-apache_2.1.4.tar.gz

⑵ インストール

make
make install

⑶ ルールファイルを読み込むために，httpd.confの変更

⑷ 設定完了したら，Apacheの再起動してみる。（設定ファイルは以下のような感じ）

設定ファイル例

※　mod_unique_idがApacheにロードされて無い場合は，予め追加しておく必要があるようです。

[root@localhost metadata]# /usr/local/apache2/bin/apxs -cia mod_unique_id.c
/usr/local/apache2/build/libtool --silent --mode=compile gcc -prefer-pic   -DLINUX=2 -D_REENTRANT -D_GNU_SOURCE -D_LARGEFILE64_SOURCE -g -O2 -pthread -I/usr/local/apache2/include -I/usr/local/apache2/include   -I/usr/local/apache2/include   -c -o mod_unique_id.lo mod_unique_id.c && touch mod_unique_id.slo
/usr/local/apache2/build/libtool --silent --mode=link gcc -o mod_unique_id.la -rpath /usr/local/apache2/modules -module -avoid-version    mod_unique_id.lo
/usr/local/apache2/build/instdso.sh SH_LIBTOOL='/usr/local/apache2/build/libtool' mod_unique_id.la /usr/local/apache2/modules
/usr/local/apache2/build/libtool --mode=install cp mod_unique_id.la /usr/local/apache2/modules/
cp .libs/mod_unique_id.so /usr/local/apache2/modules/mod_unique_id.so
cp .libs/mod_unique_id.lai /usr/local/apache2/modules/mod_unique_id.la
cp .libs/mod_unique_id.a /usr/local/apache2/modules/mod_unique_id.a
chmod 644 /usr/local/apache2/modules/mod_unique_id.a
ranlib /usr/local/apache2/modules/mod_unique_id.a
PATH="$PATH:/sbin" ldconfig -n /usr/local/apache2/modules
----------------------------------------------------------------------
Libraries have been installed in:
   /usr/local/apache2/modules

If you ever happen to want to link against installed libraries
in a given directory, LIBDIR, you must either use libtool, and
specify the full pathname of the library, or use the `-LLIBDIR'
flag during linking and do at least one of the following:
   - add LIBDIR to the `LD_LIBRARY_PATH' environment variable
     during execution
   - add LIBDIR to the `LD_RUN_PATH' environment variable
     during linking
   - use the `-Wl,--rpath -Wl,LIBDIR' linker flag
   - have your system administrator add LIBDIR to `/etc/ld.so.conf'

See any operating system documentation about shared libraries for
more information, such as the ld(1) and ld.so(8) manual pages.
----------------------------------------------------------------------
chmod 755 /usr/local/apache2/modules/mod_unique_id.so
[activating module `unique_id' in /usr/local/apache2/conf/httpd.conf]
[root@localhost metadata]# ls -l /usr/local/

詳細は，オフィシャルサイト参照下さい。

LinuxとDHCP Client

Sun, 16 Dec 2007 00:17:06 +0900

利用している，ネットワークカードにDHCPクライアントの設定をする。

[root@localhost ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0
# ADMtek NC100 Network Everywhere Fast Ethernet 10/100
DEVICE=eth0
BOOTPROTO=dhcp
HWADDR=00:90:CC:E0:0C:A4
ONBOOT=yes

※Debian系のディストリビューションの場合は, /etc/network/interfacesに記入。

DHCPコマンドを直接実行する場合は。　pump, dhclient, dhcpcdコマンドなどを利用します。
[root@localhost ~]# dhclient eth0

[root@localhost ~]# dhclient
Internet Systems Consortium DHCP Client V3.0.5-RedHat
Copyright 2004-2006 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/sw/dhcp/

Listening on LPF/eth0/00:90:cc:e0:0c:a4
Sending on LPF/eth0/00:90:cc:e0:0c:a4
Sending on Socket/fallback
DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 6
DHCPOFFER from 192.168.11.1
DHCPREQUEST on eth0 to 255.255.255.255 port 67
DHCPACK from 192.168.11.1
bound to 192.168.11.4 -- renewal in 70777 seconds.
[root@localhost ~]#

Linuxとnetwork

Sun, 09 Dec 2007 01:10:00 +0900

名前解決順序

[root@localhost ~]# cat /etc/host.conf
order hosts,bind
[root@localhost ~]#

[root@localhost ~]# more /etc/nsswitch.conf
#
# /etc/nsswitch.conf
#
# An example Name Service Switch config file. This file should be
# sorted with the most-used services at the beginning.
#
# The entry '[NOTFOUND=return]' means that the search for an
# entry should stop if the search in the previous entry turned
# up nothing. Note that if the search failed due to some other reason
# (like no NIS server responding) then the search continues with the
# next entry.
#
# Legal entries are:
#
#       nisplus or nis+         Use NIS+ (NIS version 3)
#       nis or yp               Use NIS (NIS version 2), also called YP
#       dns                     Use DNS (Domain Name Service)
#       files                   Use the local files
#       db                      Use the local database (.db) files
#       compat                  Use NIS on compat mode
#       hesiod                  Use Hesiod for user lookups
#       [NOTFOUND=return]       Stop searching if not found so far
#

# To use db, put the "db" in front of "files" for entries you want to be
# looked up first in the databases
#
# Example:
#passwd: db files nisplus nis
#shadow: db files nisplus nis

passwd:     files
shadow:     files
group:      files

#hosts: db files nisplus nis dns
hosts: files dns

名前解決

[root@localhost ~]# cat /etc/resolv.conf
; generated by /sbin/dhclient-script
nameserver 192.168.1.1
search localdomain
[root@localhost ~]#

[root@localhost ~]# cat /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1 localhost.localdomain localhost
::1 localhost6.localdomain6 localhost6
[root@localhost ~]#

ホスト名，ホスト名，GW，使用/不使用

[root@localhost ~]# cat /etc/sysconfig/network
NETWORKING=yes
NETWORKING_IPV6=yes
HOSTNAME=localhost.localdomain
GATEWAY=192.168.1.1
[root@localhost ~]#

IPアドレスの設定

（以下：DHCPの場合)

[root@localhost ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0
# ADMtek NC100 Network Everywhere Fast Ethernet 10/100
DEVICE=eth0
BOOTPROTO=dhcp
HWADDR=00:90:CC:E0:0C:C5
ONBOOT=yes
[root@localhost ~]#

（以下：IP指定の場合)

[root@localhost ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0
# ADMtek NC100 Network Everywhere Fast Ethernet 10/100
DEVICE=eth0
BOOTPROTO=static
HWADDR=00:90:CC:E0:0C:C5
BROADCAST=192.168.1.255
IPADDR=192.168.1.10
NETMASK=255.255.255.0
NETWORK=192.168.1.0
ONBOOT=yes
[root@localhost ~]#

※　NETWORK,BROADCASTなどは記入しなくても良い場合は多い。

コマンド色々：

hostコマンド

[root@localhost ~]# host yahoo.co.jp
yahoo.co.jp has address 203.216.227.176
yahoo.co.jp has address 124.83.139.192
yahoo.co.jp mail is handled by 10 mx5.mail.yahoo.co.jp.
yahoo.co.jp mail is handled by 10 mx1.mail.yahoo.co.jp.
yahoo.co.jp mail is handled by 10 mx2.mail.yahoo.co.jp.
yahoo.co.jp mail is handled by 10 mx3.mail.yahoo.co.jp.
[root@localhost ~]#

[root@localhost ~]# host 203.216.227.176
176.227.216.203.in-addr.arpa domain name pointer f1.top.vip.tnz.yahoo.co.jp.
[root@localhost ~]#

netstatコマンド

[root@localhost ~]# netstat -at
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State
tcp        0      0 *:838                       *:*                         LISTEN
tcp        0      0 *:mysql                     *:*                         LISTEN
tcp        0      0 *:sunrpc                    *:*                         LISTEN
tcp        1      0 192.168.11.4:46259          ftp4.ncnu.edu.tw:http       CLOSE_WAIT
tcp        1      0 192.168.11.4:46262          ftp4.ncnu.edu.tw:http       CLOSE_WAIT
tcp        1      0 192.168.11.4:40359          centos.at.multacom.com:http CLOSE_WAIT
tcp        1      0 192.168.11.4:40363          centos.at.multacom.com:http CLOSE_WAIT
tcp        1      0 192.168.11.4:40361          centos.at.multacom.com:http CLOSE_WAIT
tcp        1      0 192.168.11.4:40365          centos.at.multacom.com:http CLOSE_WAIT
tcp        0      0 *:webcache                  *:*                         LISTEN
tcp        0      0 *:http                      *:*                         LISTEN
tcp        0      0 *:ssh                       *:*                         LISTEN
tcp        0    132 ::ffff:192.168.11.4:ssh     ::ffff:192.1:carrius-rshell ESTABLISHED
[root@localhost ~]#

-a 全てのソケット
-c 1秒毎リアルタイム表示
-i ネットワークインターフェース状況
-n アドレス，ポートを数値で表示
-p PIDとプロセス名も表示する
-r ルーティングテーブル表示
-t TCPポートのみ表示

routeコマンド

Destination → 宛先 Gateway→GWのアドレス Genmask→宛先のSubnet(ホストは255.255.255.255 GWは0.0.0.0)

Flags→経路状態(U:有効, H:宛先はホスト, G: GW, !:経路無効) Metric→距離(HOP) Ref→ルートの参照数,

Use→経路参照回数　　Iface→ネットワークインターフェース

[root@localhost ~]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.11.0    *               255.255.255.0   U     0      0        0 eth0
169.254.0.0     *               255.255.0.0     U     0      0        0 eth0
default         air.setup       0.0.0.0         UG    0      0        0 eth0
[root@localhost ~]#

route add で追加

route del で削除

LinuxをRouterとして扱うような場合は，異なるネットワークのパケットを転送する必要がるのでip fowardを1に設定する。

0＝パケット転送拒否　1＝パケット転送許可

[root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward
0
[root@localhost ~]#

TCPDUMP

-i インターフェース

-s バイト数

-X 16進とASCII文字で表示

-n アドレスを名前変換しないで表示

port ポート番号指定

proto プロトコルを指定

[root@localhost ~]# tcpdump -X -i eth0 port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
01:09:10.196603 IP 192.168.11.2.gxtelmd > 192.168.11.4.http: S 3053066467:3053066467(0) win 16384         0x0000: 4500 0030 601c 4000 8006 0355 c0a8 0b02 E..0`.@....U....
        0x0010: c0a8 0b04 0934 0050 b5fa 18e3 0000 0000 .....4.P........
        0x0020: 7002 4000 d366 0000 0204 05b4 0101 0402 p.@..f..........
01:09:10.239801 IP 192.168.11.4.http > 192.168.11.2.gxtelmd: S 2904952068:2904952068(0) ack 3053066468 win 5p,nop,sackOK>

whoisコマンド

Sun, 09 Dec 2007 00:30:38 +0900

[admin@localhost ~]$ whois yahoo.com
[Querying whois.verisign-grs.com]
[whois.verisign-grs.com]

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

   Domain Name: YAHOO.COM
   Registrar: MARKMONITOR INC.
   Whois Server: whois.markmonitor.com
   Referral URL: http://www.markmonitor.com
   Name Server: NS1.YAHOO.COM
   Name Server: NS2.YAHOO.COM
   Name Server: NS3.YAHOO.COM
   Name Server: NS4.YAHOO.COM
   Name Server: NS5.YAHOO.COM
   Status: clientDeleteProhibited
   Status: clientTransferProhibited
   Status: clientUpdateProhibited
   Updated Date: 22-jul-2005
   Creation Date: 18-jan-1995
   Expiration Date: 19-jan-2012

>>> Last update of whois database: Sat, 08 Dec 2007 15:29:10 UTC <<<

NOTICE: The expiration date displayed in this record is the date the
registrar's sponsorship of the domain name registration in the registry is
currently set to expire. This date does not necessarily reflect the expiration
date of the domain name registrant's agreement with the sponsoring
registrar. Users may consult the sponsoring registrar's Whois database to
view the registrar's reported date of expiration for this registration.

TERMS OF USE: You are not authorized to access or query our Whois
database through the use of electronic processes that are high-volume and
automated except as reasonably necessary to register domain names or
modify existing registrations; the Data in VeriSign Global Registry
Services' ("VeriSign") Whois database is provided by VeriSign for
information purposes only, and to assist persons in obtaining information
about or related to a domain name registration record. VeriSign does not
guarantee its accuracy. By submitting a Whois query, you agree to abide
by the following terms of use: You agree that you may use this Data only
for lawful purposes and that under no circumstances will you use this Data
to: (1) allow, enable, or otherwise support the transmission of mass
unsolicited, commercial advertising or solicitations via e-mail, telephone,
or facsimile; or (2) enable high volume, automated, electronic processes
that apply to VeriSign (or its computer systems). The compilation,
repackaging, dissemination or other use of this Data is expressly
prohibited without the prior written consent of VeriSign. You agree not to
use electronic processes that are automated and high-volume to access or
query the Whois database except as reasonably necessary to register
domain names or modify existing registrations. VeriSign reserves the right
to restrict your access to the Whois database in its sole discretion to ensure
operational stability. VeriSign may restrict or terminate your access to the
Whois database for failure to abide by these terms of use. VeriSign
reserves the right to modify these terms at any time.

The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.[admin@localhost ~]$