あるところでグローバルIPをもらうことができたので、 セキュリティーの勉強を少しだけしてみます。 とりあえず、linuxでサーバをそこそこ立ち上げ、 外部からのアタックを検知をすることを目的にします。
不要なサーバ(デーモン)は立ち上げないことにしました。 外部に公開してよいと思ったのは、下の3つです。
ただ、ツールの中にはhtmlを吐き出すものもあるので、 httpもlocalhostに向けて立てることにしました。
rootでログインできる必要がないので、その点を変更しました。
設定がしやすく、堅牢な(らしい)proftpdを使いました。 ポート番号を変更し、すべてのユーザーに対しchrootを設定しました。 さらにrootでのログインはできないようになっています。
家のパソコンと研究室のパソコンとで、プログラムやホームページの情報を共有 したかったのでポートを開きましたが、sshを使った方法に切り替えようかと考 えています。
よく知られているポートというのがいくつもあります。それを調べる方法は,, このサイトに行ってみましょう。いくらでも検索できます。→ Snort.org Port Search Database
クラック対策のために、以下のtoolを使うことにしました。
やばそうなポートを探し出してくれるツール。
これもポートをスキャンするツール。
外部からの不審なアクセスを検知するツール
ファイル改竄をチェックするツール。結構マシンパワーを食う。
と思っていたら、夜中に一度起動するだけならそんなに大変ではないことが判明。 電源をつけたまま帰って、cronでチェックしましょう。
ログ監視ツールです。messageとかsyslogとかに変な単語「FALSE」などが出てき たら、beepを発声するとかの設定ができます。 しかし、あまりに処理が重いのでやめてしまいました。
で、軽そうなlogcheckerなる物を探してきました。cronで定期的に実行するよう に設定し、変なことが起ったらメールをしてくれるようになります。
# ln -s /usr/local/etc/logcheck.sh /etc/cron.daily
パケットスニッファ. つまり,パケットをのぞくツール.
といっても,TCPDumpみたいに直接中身を見るわけではなく, 全体の流量とか種類(TCP/UDP)とかをみるツール. リアルタイムに結果を見ることができ, localhost:3000にアクセスすると見ることができる. (ntop -w 8080みたいにすることでportを変えることもできる.)