スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

322.アプリケーションのセキュリティ

322.1 BIND/DNS
BINDはDNSの中でも有名なパッケージの一つだけどやたらと脆弱性が報告され、
いつもverUpやってる印象。

そのセキュリティの中で出るのは
chroot

まずDNSサーバを構築するときはこれを組み合わせて使う。
こいつは特定のディレクトリ以下をルートと見せかける。
その分マウントとかの設定が厄介だった気がする。

ACL
特定のホストからしか問い合わせを受け付けないようにする。
これにより例えば社内にあるDNSサーバは社内のIPからしか受け付けないようにしてセキュリティを高めることができる

ファイルにかけるACLとかでも、BINDが起動するユーザ(普通はnamed)が特定のファイル以外にアクセスできないようにするとかがある。

これらを怠ると
DNSキャッシュポイズにング
中間者攻撃
Smurf攻撃などを受ける


named-checkconf
よくあるコンフィグをチェックするコマンド。正常なら何も出ない。
またコード0を返す。
chrootしている場合は-tでルートを指定する。


ゾーン転送

マスターの情報をスレイブにコピーする。
DNSの問い合わせはUDP53を使うがゾーン転送にはTCP53を使う。
まあ失うとまずいのでTCPを使ってるんだと思われ。

この時変なサーバと同期しないように共通鍵で認証を行う。
それがTSIG

鍵は以下で生成
/usr/sbin/dnssec-keygen -a HMAC-MD5 -b 512 -n HOST 鍵の名前

この時2つの鍵ができるが
.keyとつく方に書かれている値が共有カギとなる

322.2 メールサービス
sendmail
postfix

メールサービスはこの二つが有名だがsendmailは古いうえ設定が結構複雑なのでどんな脆弱性があるかという把握だけでいいみたい。

・バージョンから脆弱性が漏れる危険性→設定でバージョンが出ないようにする。
Telnetなどでアクセスを試みようとすると設定がないとバージョンを返してしまうので返さないようにする。

・chroot jailを使うことで特定のディレクトリ以下にしかアクセスできなくなる。

・TLSを有効化し通信の暗号化をする

・踏み台として利用されないようにリレーに制限をかける

・デフォルトだと存在するメールアドレスが大三社にわかるため、わからないようにする。

上記が対策となる

postfixの設定
・main.cf メール配信に関する設定を行う
よく出るのはメールサーバ間の通信暗号化する設定。
smtpd_use_tls・・・starttlsコマンド使用の可否。
smtp over sslの違いは最初から暗号化するかコマンド後から暗号化するか。
smtpd_tls~で証明書などの管理を行う。

・master.cf プロセスに関する設定を行う
service
type
private
unpriv
chroot
wakeup
maxproc
command + args

設定ファイルは/etc/postfix/以下
設定後はreloadする必要がある

chrootするには専用のスクリプトを動かし
master.cfのchrootの部分をyにする。ただしlocalデーモンはnoのまま
rootは /var/spool/postfix/以下となる

proxymap
読み取り専用のテーブル検索サービス
・chroot外のファイルへアクセス
・複数のプロセス間での共有によりDB接続エラーの回避。


Apache/HTTP/HTTPS
Basic認証はhrpasswdコマンドで行う
-b・・・パスワードをコマンドラインで
-c・・・作成するファイル名
-D・・・ユーザ情報の削除

AllowOverrideディレクティブで.htaccessが設定できる項目を設定する。
All・・・全部
none・・・読み込まない
AuthConfig・・・、ユーザに認証の設定だけを許したい際に、明示的に指定
FileInfo・・・ドキュメントタイプの設定
Indexes・・・ディレクトリインデックスの設定
Limit・・・ホストへのアクセス制御(Allow,Deny,Order)
Options・・・

.htaccessは各ディレクトリにおきその中での制限事項を定める。
スポンサーサイト

コメントの投稿

非公開コメント

最新記事
カウンター
月別アーカイブ
カテゴリ
リンク
RSSリンクの表示
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。