串 –          おやじdemo_CentOSを使う

506万人の情報だだ漏れの問題について

 ニュース記事, 個人的な意見  No Responses »
4月 182015
 

不正アクセス禁止法違反容疑で都内のプロキシサーバー業者が摘発されました。

このプロキシーサーバーですが、俗称は串と呼ばれています。

いわゆるインターネット接続を中継するサービスです。

一般的には、このプロキシーサーバーを使い、社内やグループ内のパソコンのインターネットの出入り口にすることにより、一度アクセスしたサイトをキャッシュとして保存して応答レベルを速くするという点とセキュリティを高めるという意味合いもあります。

私も家の鯖ではSquidを使いプロキシーを使ったりしています。

さて、今回の問題は、このプロキシーを使って中国など海外からのIPを日本のIPにすり替えて本来なら海外からのアクセスを禁止しているサイトにもアクセスできるような仕組みを取っている。

また、プロキシーは設定でログを保存しない設定にすれば、どこのだれか(IPなど)がアクセスしたのかが不明になり、足跡が残らないという事に。

鋏同様、良い道具にもなるし、危険な道具にもなる。

このプロキシーからアクセスされたサイトは、楽天、アマゾン、LINEの計3社の個人情報が506万件保存されていたという事です。接続が、昨年9月頃から繰り返し行われていた。この内、56.000件のIDとパスワードが接続されていたらしい。

もし、上記3社でクレジットカードで決済した人やIDを持っている人は、必ずパスワードの変更をお願いしたい。この506万件の件数も押収されたサーバー52台の一部であり、今後件数も増える可能性が高い。

以前から何度も書いているが、ネット通販での決済はクレジットカードは使ってはいかん。
少し面倒にはなるが、コンビに決済にすべきである。
そして、ネットバンクには大金は置くな。
情報は抜かれても金は取られるな。

三菱東京UFJ銀行の偽メールも開封しないでゴミ箱に捨てる。

国内では、海外からの中継サーバーはもっと調べる必要があるのではないか。

ただ便利だからと安易に使っていると落とし穴がある。
自分の身は自分で守るしかない。

ATOMサーバーにSquidclamavを設定する。

 Linux設定  No Responses »
1月 232014
 

家のサーバーであるATOM-D510ですが、ちょっと前にプロキシとしても動くようにSquidを導入しました。動作も上々です。当初はサーバーに設定するものが無くなり遊び半分でインストールしたのですが、ちょっと良い事を考えました。

それはXPのサポートが切れたら、このプロキシを経由させるという事です。
そして、そのプロキシには、Clamavでウイルスチェック(検閲)を行い、ウイルスがある場合にはブラウザ上で注意を促す、表示もさせない、ダウンロードもしないという形にしようと思いました。

XPにも、現在はウイルスソフトがあり、サポート停止ギリギリまでシグネイチャ(ウイルス情報)の更新をしておき、切れたらプロキシ経由に変更して、ATOMサーバーのチェックとXPのチェックの二重構造のセキュリティにしようかと考えました。少しはましに防御率が上がるでしょう。ドラクエで言えば、防具屋で布の服からくさりかたびらに変更した感じでしょうか。(ちょっと安っぽいですが)

そこで、先ず、既存のclamdのsoket変更と、squidclamavをインストールと設定をします。

◆参考にさせて頂いたサイト ⇔ プロキシサーバーでウィルスチェック(squid+clamav+squidclamav)
・・・・いつもCentOSとScientific-Linuxの設定でお世話になっています。

こちらのサイトを見ながら設定を行うと、squidclamavのバージョンが変わった事により、ダウンロードしてmakeした後のファイル構成やパスが変わったり、エラーが出たりと自分なりにファイル構成を調べて設定を行いました。・・・結構、これが面倒でした。

まぁ、XPのサポート終了まで時間ありますから焦る必要はありません。

途中で嵌ったのは、clamd.confのlocalsoketが設定では、/var/run/clamav/clamd.sock でsquidclamavの clamd_local /var/run/clamav/clamd.sockという形に合わせているのに、ERROR Can’t connect to clamd on local socket /tmp/clamd とエラー表示が出ます。何回も見直しても同様に・・・・(T_T)

原因はsquidclamav を make install した際に、参照する設定ファイルが/usr/local/etc/squidclamav.confになっているのですが、パスが/etc/squidclamav.confになっているではありませんか。これは/usr/local/etc/側のファイルを修正するか、/etc/squidclamavにリンク(シボリックリンク)を張るか、どちらかすれば良いと判明しました。

そして、clamd及びssquidを再起動して、嘘ウイルスzipファイルを(参照するサイトにある)ダウンロードできるか?確認をします。すると・・・

おおぉ~! ブラウザが起動し「このファイルはウイルス云々」と表示され、ダウンロード出来ません。
悩んだ甲斐があったもんだぜ。

◆おさらい◆

1.このsquidclamavを動作させるためには、httpdとclamavとsquidを先に設定しなくてはならない。
2.参照するサイトの情報(バージョンが違う)が古いケースもあり、何種類か事前に見ておく
3.ウイルスが表示されない場合には、サーバーのsquidのキャッシュとブラウザのキャシュも削除する
4.起動をしていても、嘘ウイルスチェックが出来なければ信用できないと考える(logを確認)

先にsquidを普通に立ち上げて、プロキシとしての動作を確認してみましょう。
内容的に隠蔽するような事は必要ありませんが、機能としては確認してみてください。

これでXPをこの串経由にすれば多少はましになるかも知れません。

自宅に鯖ありの方はいかがですか。

ATOM鯖にプロキシ設定をする

 Linux設定  No Responses »
11月 162013
 

普通にネット接続をしているとルーターがあってハブがあればどこからでもPCはネット接続が出来ます。これは有線でも無線でもしかりです。今回プロキシ設定をしてみようかと考えたのは、ネットの接続速度が上がる(というよりもキャッシュでサイトのデータを保存しているので表示速度が速くなる)と言うことと、外部とプロキシサーバーを経由することによりセキュリティ面も安全になるという観点からです。

どうしても串方式(プロキシ)だと、悪い面ばかり考える人が多いですが、あえて自己情報を隠蔽するために行うためでは無い事を先にお伝えしておくことにします。設定は内部のPCからであればATOM鯖のポートとIPをクライアントのブラウザーで設定すればすぐに串経由となります。

家のパソコンに子犬壱号機も出来て、やはり古いCPUなので、ネット接続する際に少しでも速く表示出来るのではないかと考えました。結果的には立ち上がりが一瞬で表示されますし、重いサイトでも以前の半分程の時間で全てが表示されるようになりました。

欠点と言えば、全てのサイトが串経由ではオープンしない事です。

特にGoogleやFB、など個人の情報を収集して表示するようなサイトでは表示が出来ません。Windowsのupdateなどもそうかと思います。でもそのような場合には、最初から串経由をしなければ良い訳ですし、個人情報を表示出来ないからサイトに繋がらせないというのもどうかと思います。サービス的にはお気楽なシステムですが、接続すると個人の情報となるIPやブラウザ等抜かれているんだなと意識ができるようにもなります。

CentOS6.4 64bitではsquidというソフトをyumでインストールをして設定します。
注意して欲しいのは、ver2とver3ではsquid.confの大きさが異なります。
ver3の方はとても小さなconfigとなっています。

squid.confの変更箇所については、個人個人設定が違うと思いますので、あえてここには記しませんが、[centos プロキシ squid 設定]で検索すると設定方法が親切に書かれているHPが見付かると思います。ここで注意して欲しいのは記述方法が先ほどのver2とver3では多少違うので、色々なHPを参考にした上で行って欲しいと思います。

参考にされるサイトでは設定後の串の状態が外部からどう見えているか?検証してくれるHPもあります。AとかBとか、一部プロキシと思われる記述があります等表示されます。設定後確認のために使ってみてはいかがでしょうか?

このsquidにウイルスソフトのclamavを連携させる事もできます。この設定にするとプロキシサーバーとして経由させる意味合いというのが出てきます。こちらは、CentOSサーバーの設定方法のサイトで設定方法が書かれています。

休みの空いている時間でお試しあれ。