GNU/Linux とネットワーク/セキュリティ
Unix 系 OS にとってネットワーク/セキュリティ知識は必須ではないかと思い
またそういったスレッドが見当たらないので建てました。
基礎的なネットワーク知識、セキュリティ
それらを実現するサービス
kernel 再構築によるセキュリティ確保など
関連団体などの情報も必須でしょう。
私のお薦め
初心者向け Network 講座
定番ですが
Roads to Node
http://www5e.biglobe.ne.jp/~aji/
フラッシュなどを用いて視覚的に解説がなされています
また読みものとしても面白いです。
みなさんも情報提供していただけませんか?
#蛇足ー個人の尊厳こそ Freedom >>50
さすがにそれは関係あるでしょう。
それぞれのユーザーが勝手に自分の方針でシステムの中核をいじくるといずれ破綻する。
シングルユーザーの場合のsuもsudoも気を引き締めるためのひとつの儀式なのだと思う。
ロードアベレージがある値を超えたら
Netfilterで特定のポートへのパケットをDROPする、
ということはできるのでしょうか?
iptables のモジュールで何か無いだろうかと
探したのですが見つけられませんでした。 xinetd の max_load でできそうな気がしてきました。 まぁ分かりやすい代表例として;
水牛のルーターでOpenWrt動かすとWAN側ポートがeth1、LAN側がeth0になる。
加えてヤマハのRT5x系のルーターでも、WAN側向けポートをLAN2として、(スイッチ有りの)LAN側向けをLAN1として扱ってる。
俺の自作ルーターでは別サブネットのLAN構成用のIFを増設する可能性を睨んで逆にしてある(WAN=eth0, LAN=eth1)んだが、
Linux/Unix的にWAN側IFとLAN側IFの命名法にお作法があるなら、その手法と理由を
教えてくだされ… そもそも「WAN側/LAN側」って区別はないだろう。
単に「異なる二つのネットワーク」でしかないと思うが。 主にWAN向けとして使われる想定のIFと、同様にLAN向けとして使われる想定の
IFの主従関係(無論OSから見ればそんな物は存在しないが…)みたいなのが、上みた
いになる例が多いのは何故かなと思ったワケです。ちなみにFonera+もそうなってまして…
上げます。
WiMAXですが、NECのWM3600Rというモバイルルーターをお使いの方はいませんか?
無線LANではなくてUSBで接続して充電しながら占有したいのですが、
同メーカーのWM3500Rと違ってネットでは動作報告が見つかりません。
USBに直接接続した場合に、cdc_etherドライバーで認識されるか試せる方いらしたらお願いします。
ちなみに今のところLinuxでUSB接続できるのは、WM3500RとMobileCubeの2機種のようです。 もしかして、whoisコマンドを連続実行すると怒られる? netstat 使うと、今現在使用中のプログラムが一覧できるけど
一瞬使って終了するプログラムは見れないです。
ネットワークを使った瞬間を捕まえる方法はありますか? ネット回りのソースから改変して自分でビルドしてハックするとか サーバーのselinuxやiptablesを無効にしていいのですか?
サーバーを一台一台セキュリティ設定すると手間が大変だと思うので、
サーバーは無防備にしてファイアウォールで外部からのアクセスをフィルタするのがいいと感じました
初心者なのでなにが正しいのか判断が難しいです
間違っていたら教えてください 自分で判断できない人がサーバなんか立てちゃだめです。 >>66
「初心者なのでなにが正しいのか判断が難しい」のに
「一台一台セキュリティ設定すると手間が大変」
と感じるほど大量のサーバを管理してるの?
一体どんな状況なのか想像がつかない つか、複数のサーバに全部同じ設定するなら
同じ設定ファイルを全部のサーバにコピーするだけでいいと思うんだが
何が大変なのかな 「プロプライエタリのアプリケーションは何をやっているか見えない。
もし個人情報をどこかに勝手に送信していたら、どうするんだ?」
「君はいつも何をやっているか見えないクラウドに
個人情報を自ら送信しているじゃないか」 >>71
前者はそのアプリがアクセスできる範囲にある情報全て。
後者は送信した情報のみ。
これが同じ運用をしてるってことか。 OpenVASのセキュリティホールわろた。Debianパッケージがアップデートされてないからポートあいてたらドンなボットでかなり簡単に乗っ取れてしまう。
アップデートする気ないならOPENVASはしばらく停止させないかんね iptables とか pf とか、ゴリゴリ掻くかね?
あたしゃ、もうそんなに若くないよ メンドくさくて shorewall から乗り換えらんねー ファイヤーウォールルール
「DNSクエリ」
・そのまま通す。
「DNSリプライ」
・Netfilterキューにパケットを送る。
・判定プログラムでこれを一旦受け取る。
・libresolvライブラリでメッセージ解析。
・ダイアログ(Xdialog)で接続先のホスト情報を表示。
・問題のIPアドレスを、動的なホワイトゾーンか動的なブラックゾーンに登録。
・判定プログラムはパケットを改めて通す。
(したがって、アプリケーションはこのIPアドレスに接続要求を出す。)
「こちら(アプリケーション)側からインターネットへの接続要求」
上のリプライ解析でホワイトゾーンに入ったアドレスはACCEPT。ブラックゾーンはREJECT。
ってな感じで、(MacOSX環境でのHands Off!的な)外向き管理のファイヤーウォールが出来た・・もよう。
iptablesは直接叩いてないが、Shorewallいいよね。
材料:
・libnetfilter_queue(NETFILTER_NETLINK_QUEUEとその他諸々)
・libresolv
・libsqlite3
DNSリプライが予想以上にキューに(多分俺が止めてるから)流れ込んできて一悶着だったんだが、
もっとスマートな機構でも用意されてないのかな。
「このアプリがここに接続しますよ」ってカーネルさんが1つずつ優しく教えてくれるような・・・ ウィルスには強いよ。それは認めよう。
でもクライムウェアに掛かれば、BiOSの設定を変えられたり、時刻を変えられたり
そういう現象はトラブルとして起きるからね。
例の通信速度設定パラメータもいじられたりする。
鈍感なLinuxユーザーは気づかない。 ウイルスに強いのか?
あまり対象にされないだけじゃないのか。 質問させてください。
wLANアダプタ+hostapdによるPC-Wifiルータを作っているのですが、
・Wiredなら見える
・Wi-FiクライアントはDHCPはとれている
・Wi-Fi経由だとホストからもクライアントからもpingでもsshでも見えない
・それぞれが自己のwLAN NICにpingを投げると返ってくる
・firewallでないことは確認済み
何をみれば良いのでしょうか?アドバイスくださると幸いです。 自ホストのNICに、
Ubuntuなら/etc/network/interfacesで、
CentOSなら /etc/sysconfig/network-scripts/ifcfg-xxx で、
サブネットマスク定義しているけど、
これって何故定義するんだろうって思う。
と言うのは、「宛先ネットワークアドレス」とか、サブネットって、
送信元やルータが「このホストはこのネットワークに所属しているから
ここに転送する」って認識しているのであって、そのホストが
自身で決めるというよりは、外部のホスト毎に認識されるものなんじゃ
ないか?
ARPで問い合わせられたときに、「私のマスクはこの範囲です」って
言う感じで、「私のIPは1.2.3.4です(1点)」だけでなくて、範囲も返答
してるってこと?
そしてARPの返答を受け取った側が、受け取ったサブネットマスク値で
ルーティングテーブルを動的に登録してくれるってことでいいのかな。
(そうなると、ルータ側で、統一的にサブネット区分けをしているのが
容易に変更可能になってしまうが... staticなルートのほうが優先??)
同様に、DNSのドメイン名をホスト側のNICに設定するのもよくわからない
これってDNSサーバ側のリソースレコードで定義される情報なんじゃない
のかなって思う。しかもDNSの方は、ARPみたいな全てのホストに問い合わせる
仕組みじゃないはずだし。 いろいろごっちゃになってるな
自ホストと同一ネットワーク内にあるホスト宛にしかパケットは直接送れない
ネットマスクにより同一ネットワーク内にあるホストのIPアドレスの範囲が決まる
パケット送信先IPアドレスがその範囲内なら自分で直接パケットを送る
範囲外ならルーターにパケットを送り転送を依頼する
ARPは「このIPアドレスを使ってるのは誰?」と聞きMACアドレスを返してもらう
自分のIPアドレスを返したりネットマスクを返したりはしない
ルーティング情報の交換はまた別の話
それには動的ルーティングプロトコルでの通信が必要
OSインストール時等に入力する自ホストのドメイン名は
実際にはあまり使われていない >>86
めっちゃスッキリしました。ありがとう。
保存版にしたいわ。
そうか、NICで設定しているサブマスによってそもそも範囲内
ならルータに送らないのな。
ARPについては仰るとおりです。勘違いしていました。
DNSは気にしなくていいのね。 所属ネットワーク範囲内宛でもルータに送っても折り返して送ってくれることも多い
でも送り返してくれないこともあるしそもそも2回通信するのは無駄だしあまりやるべきではない
あと個人的意見になるけど今は「サブネットマスク」ではなく「ネットマスク」と言うべきだと思う
「サブネット」はクラスAとかCとか言ってた時代の古い言葉 >>88
つまり、こういうこと?
「集合に属している要素」からみてその「集合」はあくまで
「集合」であって、それに「サブ」をつけるのはおかしいって
感じ?
単純に考えればあくまでも「自分の番号」と「自分をグルーピングしている範囲」
を指定すればよいって事か。 >>89
理屈の話じゃなくて歴史的な話
https://www.nic.ad.jp/ja/basics/terms/cidr.html
昔はクラスフルなアドレス体系で
各組織に区切り位置固定のざっくりしたネットワークアドレスを割り振っていた
それを組織内でいくつかのサブネットに分けて使っていた
今はもうクラスレスで区切りをどこにでも置けるから
何かの一部かどうかとかあんまり気にしない
どうせいまどき直接使うのは192.168.xx.0/24とかでしょ
それは何の「サブ」なのか気にしないよね、ってこと OtEjdxK0 やべえなネットワークの解説本書けるぞ
# もしかしてすでに書いてたり? 誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。
グーグル検索⇒『宮本のゴウリエセレレ』
KAIFYLUYV5 僕の知り合いの知り合いができた副業情報ドットコム
関心がある人だけ見てください。
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
KX34O ここ数日、TCPに関する重大なバグの影響により、アップデートが大量に来ている。
また、
◆snapアプリのアップデートはaptコマンドでは不可能である。
初心者向けに、Ubuntuを例にセキュリティーアップデートの手順を示す。(Kubuntu、Xubuntu、LubuntuなどのUbuntuフレーバーたちも同じ)
(1)ターミナルを開き、下記のコマンドを打ち、最新情報を取得する。
$ sudo apt update
(2)最新の情報が取得され、システムは最新ですとの表示が出たら(4)に飛ぶ。もし、アップデートの必要のあるパッケージがあることが示されたら、次のコマンドを打ち、パッケージをダウンロードしてインストールする。
$ sudo apt -y upgrade
ちなみに「-y」オプションは付けても付けなくても良いが、付けなかった場合には、ダウンロード直後に本当にインストールして良いかを[Y/N]と表示して確認してくる。この場合はYesを意味するYを押すことでインストールが始まる。
「-y」オプションを付けるとこの手順が飛ばされてダウンロードが完了次第、すぐにインストールが開始される。
(3)次の2つのコマンドは、それぞれ上記のコマンド実行の結果として、不要となった古いパッケージ、不要となったキャッシュを削除する。掃除であるから実行はたまにで良いが、ストレージ容量が少ない環境の人は頻繁にやるべきだろう。
$ sudo apt autoremove
$ sudo apt autoclean
(4)次にsnapアプリの更新を行う。
$ sudo snap refresh
snapアプリをインストールした覚えが無くとも、システムがsnapを使っているため必ず実行すること。例えばGNOMEシェルはsnapであり、Ubuntu18.04.x LTSはすでに更新の必要が出ているので、未実行であれば直ぐに実行し最新版にしよう。
GUIからはすべてのアップデートや掃除はできない。取り分けsnapは(4)の手動アップデートでなければ更新できない。
出来るだけ毎日、しっかりアップデートを行い、セキュアなLinuxライフを送ろう。 >>90
それ言っちゃえば10.0.0.0/8のLANをサブネット分割する場合もあるし
どのネットワークのサブネットかという分類は今でも現役でしょ。
サブセット・スーパーセットとかの用法と同じでいいんでないの? 熱々のカキフライを乳首の上に乗せる仕事始めたら母親が泣いた ipコマンドってみんなちゃんと使ってる?
いまだにifconfigに頼ってない?