FC2ブログ

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

322.アプリケーションのセキュリティ2

322.4 FTP
主に下記2つのサービスについてでるらしい問題集にはvftpdしかなかった。

・Pure-FTPd
あんまり資料がない
システムユーザを使うのではなく
バーチャルユーザを使うみたい
pure-pw useradd hoge -m -u ftpuser -d /home/ftp
みたく設定
起動オプション
-E(anonymousユーザのログインを禁止する)
-k 90(ディスク容量が残り90%になったら書き込みを禁止する)
-C 5(同一IPからの接続数を5に限定。数字は任意)


・vsftpd FTP
vsftpd.confに設定を記載主な設定は以下
chroot_list_enable・・・アクセスして来た時にユーザのホームディレクトリ配下にchrootする。
YESでリストを指定しNOは全てのユーザが対象となる
chroot_list_file・・・上記でYESを指定した時にユーザリストのファイルを指定する。
chroot_local_user・・・指定したディレクトリにchrootするか否か
passwd_chroot_enable ここに指定したディレクトリにchrootする

上2つと下2つはどっちが優先だろう

他にSSL/TLSの設定が出そうな雰囲気

322.5 OpenSSH
そこそこ重要そう。
ただ基本的なことが多かったので自分が知らなかったことだけ
・ssh-vulnleyコマンド。
鍵がセキュリティ上安全か確認するコマンド
脆弱性のあるlibsslを使って公開鍵を作成していると、認証が通らないことがある。
その時にこのコマンドを使うと原因がわかる。
COMPROMISEDと表示されるとそれは安全でないことを示す。

オプションとか特に指定しなくてもよさそうなのでこのコマンドで~./sshを調べてるのかな

./ssh/config
StrictHostKeyChecking

接続するホストが新規の時とかの振る舞いを指定する。
yes・・・自動的に鍵を追加しない。つまり手動?鍵がなかったり違うと認証まで進まない
no・・・何も聞かずにknown_hostsに追加される。同じホストで鍵が違ったら上書きされる。警告が出るだけで接続はできる。
ask・・・確認したときだけ鍵が追加される。

322.6 NFSv4
vごとに仕様が異なるので厄介。優先度は低いみたいなので簡単に。
その割には本家サイトの主要な知識範囲が広いような。

認識しておくべきは
セキュリティ上の問題→rpcを使わなくなったことによりポート番号が固定化されたこととか。ただしrpc関連のプロセスは起動しておかないといけない。
疑似ファイルシステム→pseudo
LIPKEY,SPKM,kerberos→セキュリティタイプ

322.7 syslog
syslogはかなり古いのでもうそれに代わるsyslog-ngとかrsyslogとかが使われるんじゃなかろうか。
設定的に好みなのはsyslog-ngの方
UDP514を使うのでパケロスをすることがある。というかカーネルパラメータをいじくらないとデフォルトだと
アプリケーション側でもつバッファサイズがカーネルで設定しているサイズと合わずかなりロスる。
ちなみにTCP514はrshこれも枯れた技術。
問題集にはリモートサーバに送る方法ぐらいし書かれていなかった。
セキュリティ上の問題やchroot環境に関しても出そう。
スポンサーサイト

コメントの投稿

非公開コメント

最新記事
カウンター
月別アーカイブ
カテゴリ
リンク
RSSリンクの表示
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。