fail2ban – ページ 2 –          おやじdemo_CentOSを使う

ATOM鯖の再セットアップについて

 Linux設定, ハード(機器)関係  3 Responses »
11月 082012
 

現在、httpdはこちらのサイトにリンクを飛ばしているだけで、ほぼ休止しています。
すぐにATOM鯖を停止させて、CentOSの64bitをいれようか?とも思いましたが、ここは焦らず少し、考えてから実行することにしました。

■理 由
○ハード的に交換するする物があるかどうか?
○Linuxと言っても色々あるので、今度は何を入れるか?
○サービスをどこまでセットするか?
○セキュリティ面をどうするか?

今の状態は、ATOM鯖にApache2,SWAT,MySQL,postfix+Dovecot,proFTP,などなど設定してあり、これ以外にもセキュリティのソフトが稼働しています。
一台の鯖で全てのサービスを動かすと結構な負荷がかかっています。
特にWordPressなどデータ量が多くなってくると重たくなりますし、cronで自動的に処理をしているウイルスデータ更新、chorootなど色々あります。
元々ATOMという省電力のPCなんで無理させるのもちとかわいそうな感じがしています。

この次は、httpdの設定をしますが、ここにブログを移設したので移動はさせずに固定しようか?と思っています。(容量も余っている事ですし)
そうなると、postfix+Dovecot,FTP,SSH,ClamAV,spamassasin,Fail2ban,iptablesぐらいでしょうか。もう一台、ATOMが用意できたら2台の鯖でサービスを振り分けてもいいかな?とも思っています。一台で済むことは済むのでもったいないですね。

そんな事を検討している次第であります。

昨日は、仕事の関係でこのクライアント(CentOS GNOME2.82.2)を使い、Open-Officeでワープロしてましたが、フォントがMSと違うので、ちょこっと、MS明朝とMSゴシックをLinuxに組み込み設定をしました。

こちらのフォントの方がやはりMSーOfficeと合わせるにはしっくりきます。
もちろん、Mozilla FireFoxでも表示可能です。

メモリ増設時に再起動したら・・・

 Linux設定  1 Response »
6月 172012
 

約1ヶ月ぶりに再起動した鯖ちゃんなんですが、再起動して気が付く事がありました。
というのが起動している最中に各種サービスでエラーがあるとOKと出ずにFaildと赤文字で表示されますが、サービスで1件だけこのFaildがありました。
システム的には大問題・中問題・小問題とありますが、小問題なので時間に余裕がある時に修正をしたいと思っています。

・・急いでやるとロクな事にならないのが分かっているので。

問題となったのが、自動アップデートしたサービスが現在のシステムに合ってないよ!という内容です。システム的には動作していますがログにエラー表示が出てくるので面倒というか、A型の性格の人にはそのままにしておけない感じであります。

いかなる場合でもiptablesとFail2banのセキュリティ関係のサービスは動作しているか確認しておかなくてはなりません。一番問題なのはサービス知らないうちに落ちていることです。無防備な状態ということは無いと思いますが、secureなサービスだけは確認が必要です。

自分ではサービスを再起動(restart)させて確認します。

一番はやはりこまめに再起動してみてサービスの止まり方、起動の仕方が正しいかどうか画面を見て確認が必要です。

調子が良い時には変にアップデートしない方が良いかも知れません。

dovecot攻撃している輩はこのIPだ!

 Linux設定  1 Response »
5月 262012
 

 今日サーバのサービスfail2banからメールが届いていました。

The IP 50.104.153.226 has just been banned by Fail2Ban after
3 attempts against dovecot.
Here are more information about 50.104.153.226:

Regards,

Fail2Ban

3回認証を間違えたのでIPを遮断したという内容です。

ログを確認してみます。

# cat /var/log/secure

May 26 16:48:20 mini2 auth: pam_succeed_if(dovecot:auth): error retrieving information about user admin
May 26 16:48:34 mini2 auth: pam_unix(dovecot:auth): check pass; user unknown
May 26 16:48:34 mini2 auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=test rhost=50.104.153.226
May 26 16:48:34 mini2 auth: pam_succeed_if(dovecot:auth): error retrieving information about user test
May 26 16:48:47 mini2 auth: pam_unix(dovecot:auth): check pass; user unknown
May 26 16:48:47 mini2 auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=admin rhost=50.104.153.226
May 26 16:48:47 mini2 auth: pam_succeed_if(dovecot:auth): error retrieving information about user admin
May 26 16:48:50 mini2 auth: pam_unix(dovecot:auth): check pass; user unknown
May 26 16:48:50 mini2 auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=test rhost=50.104.153.226

userはadminとtestで認証しようとしていました。まぁ辞書攻撃ですね。

腹がたつのでこのIPをdigコマンドで調べてみました。

#dig 50.104.153.226

<<>> DiG 9.7.3-P3-RedHat-9.7.3-8.P3.el6_2.2 <<>> 50.104.153.226
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 35958
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;50.104.153.226.                        IN      A

;; AUTHORITY SECTION:
.                       10800   IN      SOA     a.root-servers.net. nstld.verisign-grs.com. 2012052600 1800 900 604800 86400

どうやら海外の模様。

きっと他のサーバーも攻撃しているでしょう。

前と違うIPで来ているところを見ると固定IPではなく、ADSLなど使用している率が高いのではないでしょうか。

今度来たらまた載せて(公開して)あげますね。

 Older Entries  Newer Entries