Archive for the 'セキュリティ' Category
さくらの専用サーバーの無防備っぷり
先日、さくらインターネットで専用サーバーをレンタルしました。で、サービスのセットアップや動作確認など準備を進めている最中なのですが…
サーバーをレンタルしてから数日後、ふとログファイルをチェックしていたところ、/var/log/maillogに見覚えのないログがつらつらと…
…思いっきりSPAMの踏み台にされていましたorz
もしや!! と思い、iptablesで解放portを調べてみたところ…
# /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destinationChain FORWARD (policy ACCEPT)
target prot opt source destinationChain OUTPUT (policy ACCEPT)
target prot opt source destination
うは、完全ノーガード!! iptablesの設定が空っぽでした。/etc/sysconfig/iptables ファイルが見あたりません。せめてhttpとsshだけとか、初期状態で解放portを絞っておいてくれればいいのになぁと思うのですが。すっかり油断していました。さくらさん、頼みますよ…
慌てて/etc/sysconfig/iptablesを用意し、httpとssh以外はrejectするように設定。/etc/sysconfig/iptables を以下の内容で作成します。
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp –icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT –reject-with icmp-host-prohibited
COMMIT
そしてiptableを再起動します。
# /etc/init.d/iptables restart
再起動後、iptablesでチェック。
# /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all — anywhere anywhereChain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all — anywhere anywhereChain OUTPUT (policy ACCEPT)
target prot opt source destinationChain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all — anywhere anywhere
ACCEPT icmp — anywhere anywhere icmp any
ACCEPT esp — anywhere anywhere
ACCEPT ah — anywhere anywhere
ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp — anywhere anywhere state NEW tcp dpt:ssh
ACCEPT tcp — anywhere anywhere state NEW tcp dpt:http
REJECT all — anywhere anywhere reject-with icmp-host-prohibited
というわけで、無事反映されました。今のところ問題はなさそうです。
最近、利用者の多いさくらインターネットのレンタルサーバーですが、利用開始したら、まず真っ先にiptablesの設定を見直して、不要なportを塞いでおきましょう。あと不要なサービスの停止も忘れずに。
追記:
SMTPのリレーに関してご指摘があったので、再度ログを精査したところ、リレー拒否されていました。というわけで「SPAMの踏み台に~」のくだりは訂正します。申し訳ありません。とはいえ、portを塞いでおくのは重要だと思うのと反省の意味を込めてこのエントリは残しておきます。