あなたの自宅サーバー感染していませんか?

2014-9-5 インターネットコムの記事から引用です。

米アカマイ、Linux の IptabLes と IptabLex の感染、DDoS 攻撃について警告 より

Akamai のセキュリティ部門シニア VP 兼ゼネラルマネージャの Stuart Scholly 氏は、次のように述べている。

「2014年における最大の DDoS 攻撃作戦のひとつが、Linux システム上の IptabLes および IptabLex マルウェアの感染によるものだったことを突き止めた。これまで Linux OS が DDoS ボットネットで使用されることは少なかったので、これはサイバーセキュリティにおける重大な展開だ。悪意ある攻撃者が、パッチの当たっていない Linux ソフトウェアの既知の脆弱性を利用して DDoS 攻撃を仕掛ける可能性がある。サーバーを保護するために、Linux のシステム管理者はこの脅威について知っておく必要がある」

ここに書かれている事は自宅サーバーで外部向けにホームページやメール等のサービスを動作させている人であれば注意しなくてはなりません。特に古いヴァージョンのLinuxで色々な脆弱性に対して、アップデートやパッチを当てておかないとDDoS攻撃を仕掛けるサーバーになる可能性があると言う事です。

この世界には絶対安心なんてありません。
他人様に迷惑を掛けないようにする事が大事です。

サーバーを放置プレイの方は先ずは点検とアップデートをお願いします。

Linuxの専門書は暇な時に読むのが良いと思う

ちょっと前にブックオフで安いLinuxの専門書を買ってきました。
「Fedora Core ビギナーズ バイブル」という2004年1月に初版で発行された本です。FedoraのVer1だった関係で3980円の本が200円程度でした。DVDも使っていなかったらしく封も開けていない状態です。これは、どこかの本屋さんで売れ残った本という印象です。確かに売れる本では無いと思う。

Fedora CoreはRedHat系のLinuxなので、CentOSもScientific-Linuxも内容的にはほぼ同じです。
説明されている内容も、DNSからネットワーク、Postfix,Samba,Apache,Squid,swatch,iptablesなど説明されていて、古いバージョンの本にも関わらず、現在のCentOSに置き換えても通用するものでした。

私は知っていても確認というか、どういう説明をしてあるのかが気になり、分かっているサービスの設定に関してもついつい読んでしまいます。同じサービスの設定方法が書かれていても専門書によっては難しい表現で分かりにくい物もあれば、初心者にも分かる簡単な言葉で書いてある専門書もあります。

ネットから得られる情報というのは、サービス設定のやり方、言わばストレートに設定方法が書かれていますが、専門書というのは、仕組みから経緯など背景がきちんと書かれているので、「そういう事だったのか」と思う事がしばしばあります。

新品の本だと、大体2000円~5000円くらいします。
中身の薄いLinux初心者向けの本は2000円前後ですが、こちらはあまりお薦めしません。やはり、それなりに内容の濃い、少し厚い本になりますが、4000円前後物が良い感じです。Linuxコマンド集などは持ち運んで電車の中で覚えたり、会社の休み時間に見たりする事もあるので、薄い本が良いと思います。

このブログの右サイドバーに4点の専門書広告を掲載していますが、こちらは実際、本屋で内容を見た上で掲載しています。それなりの値段はしますが、Linux好きな人であれば一冊手元に置いておいても良いのではないでしょうか。後は、ブックオフで安い本を足を使って探すというのも楽しいと思います。安いとついつい、Debianの本とかWordpressの本とかPHPの本とか買ってしまうんですが、それはそれで読んで身になれば損はしないはずです。

こういう専門書を読んでいると、難しい内容を分かり易く説明する技術というか、文章の書き方や文法など、とても勉強になります。これは小説とかも同じかと思いますが、技術的な決まり事をうまい言葉で分かり易く書くという事に惹かれます。2年以上もこのブログで色々な事を書いていますが、誤字脱字も多いし、後から自分で読んで見て、意味不明な内容に呆れる事さえあります。しかし、何度も書いていかないと上手い文章は書けないと思うし、専門書の説明のように的を得た分かり易さでブログに書いていけるようになりたいと思っています。

そのための投資としてブックオフで安い専門書を買う。
貧乏なLinuxユーザーとしては最適ではありませんか。

電車の中でスマホをやらず、分厚いCentOSの専門書を読んでいれば、理系の頭の良い男に見られるかも知れません。・・・お宅と思われるか?

自宅サーバーの管理と外部からの攻撃について

花粉が飛び始めました。特に関東圏については飛散が1週間昨年よりも早いとの事です。
仕事先でもくしゃみや鼻水全開で集中力が無くなります。
早めに処置をしようと思います。

さて、今回はサーバーの攻撃について書きたいと思います。
というのが、ちょっと前の投稿で攻撃についての記事を書きましたが、この2.3か月にサーバーのhttpdやNTP、そしてdovecotなどのサービスに毎日のようにしつこい攻撃跡がlogに残されています。

その対応として、攻撃先のIPを遮断したり、エラーログから自動的に該当するIPを停止させていますが、それでも攻撃が無くなりません。

毎日のようにメールで止めたIPの報告が自動的に上がってきます。

仕事が忙しい人はサーバーのlogをゆっくり見るという行為が出来ないので心配な面が多々あると思います。攻撃を受けても、サーバーが遮断、httpdであれば404で返すという一連の仕事をサーバーがこなしてくれている分には心配ありませんが、自分の知らないソフトの脆弱性や攻撃を仕掛けてくる連中の「これがダメなら、違うやり方で突破する」という考え方があるので、そのまま放置という訳にもいきません。

事前に怪しいIPはdenyIPにすべきです。

私の場合にはSSHはローカルのみでしか使えないように設定してありますが、外部から操作出来るように設定をされている方は、安易なIDやパスワードは止めて、合鍵を作るかなどの方策を取った方が良いと思います。一度突破されてしまうと裏口を作られてしまい、いつでも侵入を許す事にもなりかねます。

また、不要なサービスを停止させる事も忘れないでください。

結構な量のIPアドレスをdenyにしていますが、それでも攻撃があるという事は、その分の量が乗っ取られているという風にも考えられます。特にIPアドレスが連続しているものは、企業のIPアドレスなど使用しているように思えます。

◎個人サーバー=個人の責任
◎企業サーバー=会社(部署)の責任?

企業と言っても、大きな企業から中小企業まで存在しています。
その中でも社内にシステム部門や情報管理部門が無い企業のサーバーが狙われていると思います。

◎システム(情報部門)が無い=誰かが兼任で時間の空いている時に作業している

こんな構図になると思います。
そうなると、サーバーの日々の内容やlogなど誰が責任をもって管理しているかが曖昧になってしまい、もし問題が起きても最悪気が付かない、気が付いた時点でもう乗っ取られた後という最悪のシナリオが待っています。このような企業のIPがこのような攻撃IPに活用されてしまっているのが多いと考えます。問題点は経営者がPCの知識やセキュリティ面について投資をするつもりもないし、理解度が低いという事もあるかと思います。

「そんな企業のサーバーだから乗っ取られても当然の結果だろ」

と感じる人も多いと思いますが、兼任で管理させられていても、最低限やるべきことはやっておく、それが出来ないなら、一時的にも外部の技術者に依頼をして、攻撃されても遮断されるような機能を追加しておくべきです。後々、IPがブラックになっている事実が分かってからでは遅いですからね。最悪はネットバンクのIDやパスワードを盗んだりするような犯罪に使われる可能性だってある訳です。

我々が趣味として運用しているサーバーもきちんとした管理をしなくてはなりません。
本当にセキュアーな面が不安な人は外部との接続を停止して、その間、自分なりにファイヤーウォールを作ってから接続をするという方式も検討すべきではないかと思います。

休みが終焉を迎えるとブルーな気分(まだ2日あるぜ)

この年末年始が9連休の方は多かったと思います。
残りはあと2日しかありません。
休みが始まる前はuki-ukiだけど終わる頃はブルーですよね。

正月休みに皆さんは何をしましたか?

このブログを読んでくれている方々は家でPCライフを満喫していたのではないでしょうか。Linuxに挑戦された方は上手く出来上がっていますでしょうか。それとも設定が出来ずに困っている事などありますか?最初は誰でも扱い方がwindowsと違うので悩むところはありますが、これは左ハンドルの車と同様、使っている脳みその位置が違うのではないでしょうか。使っていない部分ですから鍛えなくてはなりません。とりあえず諦めずにじっくり考えてやってみる事です。

後、2日ありますからね。

CentOSにしろubuntuにしろセッティングがバッチリ合えば本当に扱い易いOSになります。
そして、徐々にwindowsからLinuxへシフトして行けば、あなたも脱windows派です。家からwindowsが無くなるという事は無いにしろ、パソコンが今までと違った使い方が出来ると思います。sambaを設定して自宅内のファイルサーバーでもOKですし、家の中だけのLocal設定でもサーバーの勉強にはなるはずです。一つ一つの設定を焦らずゆっくりと自分が理解するように覚えながら進めてください。

そして大事な事はノートに記すようにすることです。

とりあえず出来上がったら、毎日触るだけです。

触っている内に段々と扱い方が分かってきます。

難しい設定やサーバー設定などは慣れてきてからでも大丈夫です。desktopであれば、インターネットに繋がる、見れる、DVDがちゃんと見れる、youtubeも見れる、音も聞こえる、文字も滲み無くきれいに表示される。というところまでくれば完璧です。windowsのマシンがあればwindowsからTeraTermを使いSSHで遠隔操作が出来るようにしましょう。SSHの設定自体はそんなに難しくないので、ここまではやってみましょう。TeraTermは窓の杜とかでダウンロードしてください。

ここまで出来るとwindowsから操作が可能になるので面白くなります。最初はパーミッション(属性)や実行権、所有権などでファイルの扱いが難しいかも知れませんが、私にも出来ましたから皆さんも挑戦してファイル操作が端末から出来るようにして欲しいと思います。

サーバー設定されている方は、セキュリティ面、iptableの設定なども考慮してください。

今はサーバーを立ち上げると直ぐに攻撃してきます。「まだ立ち上げた事なんて分からないだろう」と思っている人、それは大間違いです。どこからともなく察知して奴等はやってきます。中途半端の設定ではWANに接続をしないようにしてください。知らない間にスパムメールが配信されるか、サーバーが乗っ取られているかも知れません。初心者の方はSSHはローカルだけしか認めない設定にするようにしてください。IDやパスワードもよくある名称、番号、サイトから察知されそうな記号などは止めるようにしてください。もし、そういうIDであれば、違うIDに変更してください。

この2日間で満足のいけるマシンに仕上げてください。

ATOM鯖の再セットアップについて

現在、httpdはこちらのサイトにリンクを飛ばしているだけで、ほぼ休止しています。
すぐにATOM鯖を停止させて、CentOSの64bitをいれようか?とも思いましたが、ここは焦らず少し、考えてから実行することにしました。

■理 由
○ハード的に交換するする物があるかどうか?
○Linuxと言っても色々あるので、今度は何を入れるか?
○サービスをどこまでセットするか?
○セキュリティ面をどうするか?

今の状態は、ATOM鯖にApache2,SWAT,MySQL,postfix+Dovecot,proFTP,などなど設定してあり、これ以外にもセキュリティのソフトが稼働しています。
一台の鯖で全てのサービスを動かすと結構な負荷がかかっています。
特にWordPressなどデータ量が多くなってくると重たくなりますし、cronで自動的に処理をしているウイルスデータ更新、chorootなど色々あります。
元々ATOMという省電力のPCなんで無理させるのもちとかわいそうな感じがしています。

この次は、httpdの設定をしますが、ここにブログを移設したので移動はさせずに固定しようか?と思っています。(容量も余っている事ですし)
そうなると、postfix+Dovecot,FTP,SSH,ClamAV,spamassasin,Fail2ban,iptablesぐらいでしょうか。もう一台、ATOMが用意できたら2台の鯖でサービスを振り分けてもいいかな?とも思っています。一台で済むことは済むのでもったいないですね。

そんな事を検討している次第であります。

昨日は、仕事の関係でこのクライアント(CentOS GNOME2.82.2)を使い、Open-Officeでワープロしてましたが、フォントがMSと違うので、ちょこっと、MS明朝とMSゴシックをLinuxに組み込み設定をしました。

こちらのフォントの方がやはりMSーOfficeと合わせるにはしっくりきます。
もちろん、Mozilla FireFoxでも表示可能です。

鯖の攻撃元IP 6/14~6/30

以下はこの6月14日から6月末までにiptablesにひっかかった悪い連中です。
denny_hostに追加をお願い致します。

以下のIPは【攻撃元IP】リストにも追加してあります。

まぁ何度もしつこいIPもありますのでチェックしてください。

■——–以下7/5追加分——————————————————————————

222.90.232.199
221.174.25.146
71.164.246.108
58.23.64.196
183.232.65.38
219.143.204.117
46.251.237.241
218.200.101.12
203.217.178.196
124.40.117.83
71.164.246.108
134.160.38.1
222.95.3.17
222.168.48.197
77.232.1.125
88.87.71.106
120.198.124.121
202.103.226.187
50.56.240.32
201.151.165.43
222.42.1.210
61.51.18.235
194.42.64.130
120.198.124.121
210.14.146.155
218.108.85.252
46.23.76.9
61.16.162.184
46.23.76.9
50.56.240.32
195.234.84.111
211.235.228.43
110.249.151.197
218.94.156.70
59.108.123.83
61.155.106.210
123.112.70.32
1.34.22.39
61.38.252.72
184.107.73.152

メモリ増設時に再起動したら・・・

約1ヶ月ぶりに再起動した鯖ちゃんなんですが、再起動して気が付く事がありました。
というのが起動している最中に各種サービスでエラーがあるとOKと出ずにFaildと赤文字で表示されますが、サービスで1件だけこのFaildがありました。
システム的には大問題・中問題・小問題とありますが、小問題なので時間に余裕がある時に修正をしたいと思っています。

・・急いでやるとロクな事にならないのが分かっているので。

問題となったのが、自動アップデートしたサービスが現在のシステムに合ってないよ!という内容です。システム的には動作していますがログにエラー表示が出てくるので面倒というか、A型の性格の人にはそのままにしておけない感じであります。

いかなる場合でもiptablesとFail2banのセキュリティ関係のサービスは動作しているか確認しておかなくてはなりません。一番問題なのはサービス知らないうちに落ちていることです。無防備な状態ということは無いと思いますが、secureなサービスだけは確認が必要です。

自分ではサービスを再起動(restart)させて確認します。

一番はやはりこまめに再起動してみてサービスの止まり方、起動の仕方が正しいかどうか画面を見て確認が必要です。

調子が良い時には変にアップデートしない方が良いかも知れません。

次のページ →