ホーム » 2020 (ページ 13)

年別アーカイブ: 2020

システム

最近の投稿

アーカイブ

カテゴリー

geoipdeny より kr, tw, hk を削除

2020-03-02

最近、自宅よりアクセスできないサイトがあるみたい。特に日本のページのはずだけど、WiFi を切って携帯キャリア接続にすると、問題なく見える。あるとすれば、自宅のファイアウォールの問題か。

自宅では、IPアドレスの国ドメイン割り振り情報を元に、特定の国の IP アドレスをフィルタで接続を拒否している。対象国は自宅サーバへのアクセス履歴で私に縁の無い国から選んだ。でも、最近ではネットワーク接続的に近隣の国のサーバを経由している場合もある。そうなってくると、韓国kr、台湾tw、香港hk の制限が問題になっている可能性が高い。

ということで、これらの国を削除してフィルタを作り直し。

MacBookAir(2011年購入)にUbuntu18を入れる

2020-02-29

随分前に購入してSSD入れ替えやバッテリー入れ替えをして愛用機ではあったが、最近は全然使っていなかった 2011年購入のMacBookAir だけど、知り合いが Ubuntu 入れてた記事があったので、自分も入れてみた。MacOS だと、1つの Apple のアカウントに紐付けされている PC が多くて、バックアップのメモリが足りないとか警告が来るし。

インストールは、書いてある通りに進めればいいけど、インストールするためのUSBをGPT(GUID Partition Table)でフォーマットするのに一手間。最近の MacOS では、GPT でのフォーマット機能は隠してあるみたい。やむなくコマンドラインにて作業。

$ diskutil eraseDisk FAT32 SECDISK GPT /dev/disk3
  # FAT32形式、ボリュームラベル=SECDISK、GPTでフォーマット

あとは、Etcher とかいう、GPT などにも対応した Image 書き込みソフトで、ブート USB を作って、option キーを押しながら boot させ、EFI のブートメニューから Ubuntu を選ぶ。

日本語のキーボード周りの設定がちょっと面倒だけど、簡単 Linux 環境のできあがり。

ぼ〜

2020-02-29

{CAPTION}

@TohruSaitoh-20/02/28

2020-02-28

  • 02/28 げろげろ…でもしゃーねーよなぁ…(今届いたメールの感想)
  • 02/28 どこが科学なんだよ(# (I_Д敷) https://twitter.com/shimizufumika7/statu…
  • 02/27 @sawazaki 何故か、ツンデレな彼らはテストが大好きなようで… ^_^ [元記事]
  • 02/27 勉強嫌いと言いながら、期末テストが終わっても学校に毎日くる学生さん、学校大好きなんやねぇ〜、ツンデレかよ。(^_^;

あなたを猫で表現すると診断

新型コロナウィルス対策

  • 02/28 朝のニュースで、「アナウンサー○○は、臨時の育児休暇で○○が替わってお伝えします」なんてやるようになったら、日本は変わる気がする。 #新型コロナウィルス対策
  • 02/28 「臨時休校で保護者困惑」というニュースで煽るんじゃなくって「臨時休校に合わせて育児休暇が取れないブラック企業」っていう論調にならないのかな… #新型コロナウィルス対策


この記事は@TohruSaitohのつぶやきのまとめです。

@TohruSaitoh-20/02/23

2020-02-24

  • 02/23 きちんとボールペン使えよ。(万年筆なやついる?) https://twitter.com/dalia0x0/status/1230…
  • 02/22 英語の先生から、「コミケ試験の支援よろ…」のメール。
    えーっと、薄い同人誌の評価?コスプレの審査員?と瞬間おもってしまったけど、普通に英語コミュニケーションだよね。

ねこすた

アミューズTwitterCP

猫の日

2020-02-22

今日は、にゃおーん にゃおーん年、にゃん月にゃにゃぁ日の猫の日です。
{CAPTION}

WordPress多要素認証をTwo Factorに変更

2020-02-22

WordPress は広く普及しているCMSソフトだからこそ、いい加減な設定だと乗っ取り被害も多く、パスワードの管理は極めて重要。

miniOrange

その中で、今までは miniOrange 社の 2段階認証プラグインを使っていた。機能も多く便利だったけど、便利な認証が有償機能になり、一般的な”Google Authenticator”のような有効時間付きPIN番号の認証機能を使っていた。

他にも様々な2段階認証の方法が使えるけど、その認証は有償だし、他の認証プラグインを探す。

Google Authenticator

改めて探すと、Google Authenticator という名前の認証プラグインが見つかった。名前通りの”Google Authenticator”対応。でも個人の作者の作品みたい。

上記の Google Authenticator は、認証が”Google Authenticator”とバックアップコードだけど、バックアップコードはメモしておくのが面倒なんだよな。

Two Factor

ということで、さらに探してみたら”Two Factor”というプラグインがある。

作者も Plugins Contribution という団体?だし、多要素認証もメールへの認証コード送信、認証アプリ、FIDO認証キー、バックアップコードと基本的な機能を網羅している。ということで、これを入れて登録。

ネットワーク攻撃の目的

2020-02-18

ブラックハッカーがインターネットで攻撃する目的は何か?

愉快犯・自己主張

ハッカーが攻撃を行う理由は、古くは愉快犯だったり自己顕示欲といった理由であった。

  • 愉快犯 – システムが動かずに混乱している様を楽しむ
    • DoS 攻撃(Denial of Service: サーバが仕事ができないようにする攻撃)
    • システムのデータベースを破壊する
  • 自己主張
    • 自己顕示欲 – すげーことしたという満足感
    • 政治的主張 – 堂々とできない批判を行う
  • 別の攻撃の地盤づくり – 地盤を作る目的は…次の「金」を参照
    • ウィルス/マルウェアの拡散
    • 他の攻撃のための踏み台
    • ボットネットの構築

金、カネ、Money…

しかし最近は、お金が目標。

  • 宣伝 – アダルトサイトの宣伝による広告収入目
    • Webサイトに、不正な広告へのリンクを書き込む
    • 不正な広告を行う迷惑メールを大量送信
  • 脅す – XXされたくなかったら金を送れ。
    • DoS 攻撃でシステムを止めるぞ!
    • 奪ったデータを公開するぞ!
    • 重要データを暗号化した。元に戻したかったら金を送れ!(ランサムウェア)
  • 盗む
    • 軍事機密、機密研究の情報を盗む。
    • ネットバンクで不正送金、クレジットカード情報で買い物、仮想通貨で盗む

ファイル操作・リダイレクト・LOG解析

2020-02-18

ファイル操作やリダイレクトといったLinuxでのファイルの基本操作については、講義用資料を参照。 実際の操作演習に使うファイルを、Raspberry-Pi によるサーバに入れてある。そのファイルで腕試しをしてね。

ファイアウォールとiptables

2020-02-18

インターネットからの攻撃を防ぐには、ファイアウォールが必要となる。外部からの接続をうけるコンピュータは、ファイアウォールがどう設定されているのか把握することが重要。

ファイアウォールとDMZ

ファイアウォールは、パケットの(送信元IPアドレス,送信元ポート番号)、(宛先IPアドレス,宛先ポート番号)を見て、通信を制限するルータであり、専用のファイアウォールではさらに細かい制限を加えたり、通信履歴を保存することができる。

組織向けの外部公開のWebサーバやメールサーバを持つ組織では、外部からの接続をうける必要があり、脆弱性があればサーバは乗っ取りなどの被害に会いやすい。サーバが被害を受けたらファイアウォール内部のコンピュータに被害が広がる(トロイの木馬)のは危険であることから、(1) DMZ(非武装地帯)内部に外部公開のサーバを置き、(2) 対外FireWallで外部からのパケットはすべてDMZだけに通す。(3) 内部FireWall では、DMZ の特定の受信パケットだけ流す様にする。

DMZ内部のサーバは、外部からの攻撃をうけるため、極めて慎重にセキュリティ対策を行う必要がある。

iptables

Linux で FireWall を構築するときには、iptables を用いる。iptables では、主に以下の3つのルール(チェイン)でパケットを制限できる。

  • コンピュータに入ってくるパケットに対するルール(INPUT チェイン)、
  • コンピュータから出ていくパケットに対するルール(OUTPUTチェイン)、
  • コンピュータで中継するパケットに対するルール(FORWARDチェイン)

iptables の設定を見るには、iptables -L を実行する。

$ sudo iptables -L  # すべてのルールを表示
Chain INPUT (policy DROP)
target     prot opt source           destination         
DROP       all  --  anywhere         anywhere      state INVALID
ACCEPT     all  --  192.168.11.0/24  anywhere            
ACCEPT     tcp  --  anywhere         anywhere      tcp dpt:http
ACCEPT     tcp  --  anywhere         anywhere      tcp dpt:https
:
Chain FORWARD (policy DROP)
target     prot opt source           destination         
DROP       all  --  anywhere         anywhere      state INVALID
ACCEPT     all  --  127.0.0.0/8      anywhere            
ACCEPT     all  --  192.168.11.0/24  anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source           destination         
ACCEPT     all  --  anywhere         anywhere      state RELATED,ESTABLISHED

iptables で制限のための設定を間違えると、通信ができなくなるので、基本的な考え方だけを紹介する。

「条件にマッチしたパケットをどうするのか」というルールを、チェインに並べておき、パケットが届くとチェインの先頭からルールを適用し、ACCEPT/REJECT/DROPなどの対応を決める。

iptables でルールを登録する場合は、一般的に以下の書式で、条件1,条件2… をすべて満たすパケットをどうするのかのラベルを最後に記載する。

$ iptables -A チェイン 条件1 条件2 … -j ラベル

$ iptables -P INPUT DROP            # デフォルトポリシーの設定
  # INPUT のルールにどれもマッチしない場合はDROP(パケット廃棄)
$ iptables -P OUTPUT ACCEPT
  # OUTPUT のどのルールにもマッチしなければACCEPT(受信許可)

$ iptables -A INPUT -s 127.0.0.1 -j ACCEPT
  # INPUT の末尾に、"送信元IPが 127.0.0.1 ならACCEPT" を追加

$ iptables -A INPUT --dport 80 -j ACCEPT
  # INPUT の末尾に、"宛先ポートが 80 ならACCEPT" を追加

$ iptables -A INPUT -s 11.22.33.44 -j DROP
  # INPUT の末尾に、"送信元IPが 11.22.33.44 ならDROP" を追加

iptablesのオプション引数
  -P      デフォルトポリシーの設定
  -A      末尾にルールを追加
  -s      送信元IPアドレスの条件指定
  -d      宛先IPアドレスの条件指定
  --sport 送信元ポート番号の条件指定
  --dport 宛先ポート番号の条件指定
  -j      指定ラベルに移動

INPUT chain
  |
<送信元IPが127.0.0.1なら>----ACCEPT
  |
<宛先ポートが80なら>----------ACCEPT
  |
<送信元IPが11.22.33.44なら>--DROP
  |
  DROP

投稿ナビゲーション

過去の投稿 新しい投稿

Google 検索

My Google   Yahoo

Microsoft

ファンサイト