実際にやってみよう

ここんとこセキュリティ対策の話が続いてます、今朝のログには受信サーバーも送信サーバーもスキャンの形跡がありました、こわいこわい。

紹介っつうと変な感じですが、こんな感じです。

Authentication Failures:
rhost=::ffff:***.***.***.** : 65 Time(s)
Total SMTP Session, Message, and Recipient Errors 
handled by Sendmail: 65

みたいな感じです。

スキャンと言えば初心者の方はポートスキャンが浮かぶと思います、Linuxだとnmapというものをインストールすれば使えるようになるので、たけけんも実際にやってみようと思います。

$ sudo yum install nmap
$ nmap localhost
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
631/tcp open ipp

こんな結果になりました、631というポートは覚えがないっす。

ググってみるとリモートでプリンタを制御するプロトコルで(Internet Printing Protocol)の頭文字のIPPらしい、CUPSを止めれば閉じるみたい、やってみよう。

$ sudo /etc/init.d/cups stop

これでポートは閉じてまいた。

それではたけけんが借りてるサーバーをスキャンしてみませう。

PORT STATE SERVICE
53/tcp open domain
80/tcp open http
110/tcp open pop3
587/tcp open submission
631/tcp closed ipp

こっちは予定通りです。

sshはちゃんと表示がありません。(実は予定外ですが)

てなわけで、たけけんのサーバーは設定どおり動いてることが分かりました、正攻法でいくと今開いてるポートを使ってるサーバソフトウェアの脆弱性の対策をしっかりすればOKってわけか

あとはファイルの不正な変更をチェックするtripwireと、ルートキット対策のchkrootkitと
毎日のログをチェックするLogwatchを抑えとけば小規模というか、たけけんみたいに1台だけの環境とか、とりあえずはきっちり守れるのではないでしょうか。

 

Similar Posts:


Leave a Reply

Your email address will not be published. Required fields are marked *