迷惑メール対策のひとつとして、SPF(Sender Policy Framework)によるドメイン認証があります。
当サイトでは SPF によるドメイン認証として、SMTP サーバー Postfix の Policy Daemon 機能を使用した policyd-spf-fs をインストールしています。
インストール情報は
以前は、policyd-1.0.1 を使用していたのですが、JPCER/CC の 2008-11-06 付セキュリティ関連情報で、バージョン 1.2.8 以前の libspf2 にバッファオーバーフローの脆弱性があることが判明したため、その対応で libspf2 をバージョン 1.2.9 にしたところ、コンパイルができなくなりました。
セキュリティ面の問題であるため、libspf2 のバージョンは落とせませんので、policyd-1.0.1 から policyd-spf-fs に変更しました。
当サイトでは SPF によるドメイン認証として、SMTP サーバー Postfix の Policy Daemon 機能を使用した policyd-spf-fs をインストールしています。
インストール情報は
http://www.system-act.com/mail/policyd-spf.html
を参照してください。以前は、policyd-1.0.1 を使用していたのですが、JPCER/CC の 2008-11-06 付セキュリティ関連情報で、バージョン 1.2.8 以前の libspf2 にバッファオーバーフローの脆弱性があることが判明したため、その対応で libspf2 をバージョン 1.2.9 にしたところ、コンパイルができなくなりました。
セキュリティ面の問題であるため、libspf2 のバージョンは落とせませんので、policyd-1.0.1 から policyd-spf-fs に変更しました。
今後のサーバー運用管理面を考え、データベースサーバーを仮想サーバーで運用することにしました。
現時点のサーバー CPU が Intel Atom 330 (1.6GHzx2) であるため、PAE(Physical Address Extension:物理アドレス拡張)には対応していますが、Intel-VT(Intel Virtualization Technology:Intel 仮想化支援技術)には対応していません。
したがって、仮想サーバーの構築は、準仮想化で行うことになります。
KVM は準仮想化に対応していませんので、Xen による仮想化を採用することにしました。
構築に関しての手順等は、
現時点のサーバー CPU が Intel Atom 330 (1.6GHzx2) であるため、
したがって、仮想サーバーの構築は、準仮想化で行うことになります。
KVM は準仮想化に対応していませんので、Xen による仮想化を採用することにしました。
構築に関しての手順等は、
http://www.system-act.com/server/xen.html
を参照してください。
迷惑メール対策のひとつとして、SPF(Sender Policy Framework)によるドメイン認証があります。
当サイトでも、SMTP サーバーに SPF を使用したドメイン認証機能を実装していますが、その際に SPF ライブラリが必要になります。
そこで SPF ライブラリ libspf2 のインストール情報を
JPCER/CC の 2008-11-06 付セキュリティ関連情報で、バージョン 1.2.8 以前の libspf2 にバッファオーバーフローの脆弱性があることが判明してます。
そのため、かなり以前にバージョン 1.2.9 に更新していたのですが、インストール情報が古いバージョンのままでした。m<_ _>m
2010/02/13 インストールバージョンを 1.2.9 に変更しました。
当サイトでも、SMTP サーバーに SPF を使用したドメイン認証機能を実装していますが、その際に SPF ライブラリが必要になります。
そこで SPF ライブラリ libspf2 のインストール情報を
http://www.system-act.com/mail/libspf2.html
に記載しました。JPCER/CC の 2008-11-06 付セキュリティ関連情報で、バージョン 1.2.8 以前の libspf2 にバッファオーバーフローの脆弱性があることが判明してます。
そのため、かなり以前にバージョン 1.2.9 に更新していたのですが、インストール情報が古いバージョンのままでした。m<_ _>m
2010/02/13 インストールバージョンを 1.2.9 に変更しました。
バッファオーバーフローの脆弱性対応
当サイトでは、ソースファイル等のバージョン管理を行うため、バージョン管理システム Subversion を導入し、以下の方針で運用しています。
実際の運用についての情報は
2010/02/09 SSH 鍵の運用方法を変更しました。
1.Subversion サーバーとは SSH で接続します
2.SSH は鍵方式による接続のみ許可しています
3.システム上の実ユーザー(ログインユーザー)はプロジェクト単位に1つだけ作成します
4.リポジトリへのアクセスメンバーは実ユーザー(ログインユーザー)として登録しません
5.リポジトリへは複数のメンバーでアクセス可能にします
6.メンバー識別は、SSH 接続用の鍵で行います
実際の運用についての情報は
http://www.system-act.com/server/subversion.html
を参照してください。2010/02/09 SSH 鍵の運用方法を変更しました。
サーバー側で鍵セットを作成する運用から、メンバー(クライアント)側で鍵セットを作成する運用に変更しました。
DNS サーバーへのアタック対策として導入したログ監視ツール swatch ですが、SSH サーバーへのアタック対策も swatch で行うようにしました。
それに伴い、アタックを受けた時に実行するスクリプトを共通で使用できるように drop_ip_address として改修しています。
なお、現時点でもブロックのスクリプトは単に
詳細情報は、
それに伴い、アタックを受けた時に実行するスクリプトを共通で使用できるように drop_ip_address として改修しています。
なお、現時点でもブロックのスクリプトは単に
・iptables によるブロックを実現しているのみです。
・一定時間後にブロックを解除
詳細情報は、
http://www.system-act.com/server/swatch.html
を参照してください。最終更新日時 : 2010-02-01 11:47:24
ネットワーク経由でサーバーへログインし、シェル操作を行うことができれば便利です。
ただし、ネットワーク上をパケットが流れますので、サーバーとクライアント間の伝送経路は暗号化しておきたいものです。
それを実現するため、OpenSSH による Secure SHell 接続を行うことにします。
SSH 接続用のポートへは、サーバーへログインできることから、かなりの頻度で侵入を試みるアタックが行われてきます。
その対策として、認証方式は公開鍵方式のみとし、パスワード認証を禁止するとともに、root ユーザーでのログインも禁止するように設定します。
また、公開鍵方式を採っているため、パスワードの総当たり攻撃に対しては防御できるのですが、アタックを受けたログが大量に残ってしまいます。
そうなるとログから必要な情報を探すことが困難になってしまいますので、iptables を使用して、パスワード攻撃を仕掛けてきた IP アドレスからの接続を一定時間拒否するようにします。
詳細は、
なお、OpenSSH は CentOS をインストールする際に組み込んでいることを前提としています。
2010/02/01 鍵セットの作成と公開鍵の保存について加筆修正しました。
2009/12/06 不正接続ログ対策をログ監視ツール swatch による方法に変更しました。
ただし、ネットワーク上をパケットが流れますので、サーバーとクライアント間の伝送経路は暗号化しておきたいものです。
それを実現するため、OpenSSH による Secure SHell 接続を行うことにします。
SSH 接続用のポートへは、サーバーへログインできることから、かなりの頻度で侵入を試みるアタックが行われてきます。
その対策として、認証方式は公開鍵方式のみとし、パスワード認証を禁止するとともに、root ユーザーでのログインも禁止するように設定します。
また、公開鍵方式を採っているため、パスワードの総当たり攻撃に対しては防御できるのですが、アタックを受けたログが大量に残ってしまいます。
そうなるとログから必要な情報を探すことが困難になってしまいますので、iptables を使用して、パスワード攻撃を仕掛けてきた IP アドレスからの接続を一定時間拒否するようにします。
詳細は、
http://www.system-act.com/server/openssh.html
を参照してください。なお、OpenSSH は CentOS をインストールする際に組み込んでいることを前提としています。
2010/02/01 鍵セットの作成と公開鍵の保存について加筆修正しました。
2009/12/06 不正接続ログ対策をログ監視ツール swatch による方法に変更しました。
Web サーバーのアクセスログを解析し、その結果をブラウザ上で確認することができるツール AWStats のインストール情報を AWStats 6.9 に更新しました。
http://www.system-act.com/web/awstats.html
を参照してください。
http://www.system-act.com/web/awstats.html
を参照してください。
最終更新日時 : 2010-01-11 05:40:42
System House ACT のサーバーは、OS に CentOS を使用し、ゲートウェイサーバーとして動作させています。
ゲートウェイサーバー向けに設定したファイアウォール iptables の運用情報を以下に公開しました。
2010/01/11 悪質なアクセス元をブロックする設定を追加しました。
ゲートウェイサーバー向けに設定したファイアウォール iptables の運用情報を以下に公開しました。
http://www.system-act.com/server/iptables.html
あくまでも当サイトの設定内容であり、不正アクセス等が防げることを保証するものではありません。また、こうしなければならないというものでもありません。
iptables の運用や設定につきましては自己責任でお願いいたします。
iptables の運用や設定につきましては自己責任でお願いいたします。
2010/01/11 悪質なアクセス元をブロックする設定を追加しました。
Server構築情報に LVM (Logical Volume Manager) : 論理ボリュームマネージャーの運用 を追加いたしました。
http://www.system-act.com/server/lvm.html
になります。
http://www.system-act.com/server/lvm.html
になります。
OpenSSH運用情報 に記載している『SSH接続に失敗したIPを一定時間拒否する』スクリプト /usr/local/sbin/block_ssh_attack.sh ですが、『ログ監視ツール swatch を導入』でブロックに失敗するときと同じ問題がありました。
というより、swatch のスクリプトの該当箇所はこのスクリプトを元にしています。
OpenSSHで今までに問題が発覚しなかったのは、ブロック時間を5分に設定しているため、ほとんどの場合、IPアドレスが iptables に登録されていない状態だったためです。
ということで、OpenSSHのスクリプトも swatch と同じように修正しました。
なお、OpenSSH運用情報の記載も修正済です。
というより、swatch のスクリプトの該当箇所はこのスクリプトを元にしています。
OpenSSHで今までに問題が発覚しなかったのは、ブロック時間を5分に設定しているため、ほとんどの場合、IPアドレスが iptables に登録されていない状態だったためです。
ということで、OpenSSHのスクリプトも swatch と同じように修正しました。
なお、OpenSSH運用情報の記載も修正済です。
Copyright © 2004-2009 System House ACT. All Rights Reserved.
(Comments and Trackbacks each author is also exist Copyright.)
(Comments and Trackbacks each author is also exist Copyright.)
