2005年9月 6日

Mac miniにDebian(security関連その1)

外部にさらす前に、入れておくべきものをしこしこ入れている。

apt-get install tiger tripwire systraq logcheck scanlogd snort oinkmaster snort-doc
#scandetdって、無くなったんだっけか?

まぁ、全部動かすかどうかは別として、まずは手元でいじってみることにする。

またiptablesも不要portへの入出力はふさぐ予定。
ざっくりこういう感じか?

# Generated by iptables-save v1.2.6a on Xxx X xx xx:xx:xx 200x
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
[0:0] -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT 
#すでにさらしているあるマシンは、SPAMMERのソースIPアドレスでport25への
#コネクトを個別に絞っているけど、ここでは省略
[0:0] -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
#sshのソースIPアドレスも絞った方がいいな
[0:0] -A INPUT -p udp -m udp --dport 1343 -j DROP 
[0:0] -A INPUT -p tcp -m tcp --dport 20:21 -j ACCEPT 
[0:0] -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
[0:0] -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT 
[0:0] -A INPUT -p udp -m udp --sport 53 -j ACCEPT 
[0:0] -A INPUT -p udp -m udp --dport 53 -j ACCEPT 
[0:0] -A INPUT -p tcp -m tcp --sport 53 -j ACCEPT 
[0:0] -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT 
[0:0] -A INPUT -p tcp -m tcp --dport 873 -j ACCEPT 
[0:0] -A INPUT -i lo -p tcp  -j ACCEPT 
[0:0] -A INPUT -p icmp -j ACCEPT 
[0:0] -A INPUT -i eth0 -m state --state INVALID,NEW -j DROP 
[0:0] -A FORWARD -p udp -m udp --dport 1343 -j DROP 
[0:0] -A FORWARD -i eth0 -m state --state INVALID,NEW -j DROP 
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --dport 6666:6668 -j DROP
COMMIT
もうちょっと見直すか。

投稿者 his : 2005年9月 6日 03:40
このエントリーのトラックバックURL: http://hoop.euqset.org/blog/mt-tb2006.cgi/1321
コメント

追加で
apt-get install bastille cron-apt checksecurity lcap nmap xprobe
を実施。

これもいじってみるか。

Posted by: his : 2005年9月 6日 14:18
コメントする









名前、アドレスを登録しますか?





画像の中に見える文字を入力してください。