2014年 12月 15日
SUSE Linux VPN 接続で tcpdump で外部との通信を確認/遮断する
SUSE Linux で外部ネットワークとのSSH接続を拒否します。
sles11:/etc # cat hosts.allow
# ローカルネットワークを許可(追加)
sshd : 192.168.1.0/24
sles11:/etc # cat hosts.deny
# 他のネットワークからの接続は拒否(追加)
#http-rman : ALL EXCEPT LOCAL
sshd : all
これで、一応外部からの SSH 接続はできず、VPN で内部のホストに接続しない限り VPN サーバには接続できなくなりました。 hosts.allow と hosts.deny は設定するとサービスを再起動しなくても即時適応されるそうです。
SSHでのホスト制限
http://hiro7216.dyndns.org/blognplus/index.php?e=116
なお SUSE の場合 http-rman というのがありますがウェブブラウザから man ページにアクセスするインターフェースです。通常不要なので削除しても構いません。
rman RosettaMan - Filter for Manpages
http://www.novell.com/products/linuxpackages/opensuse/rman.html
-確認方法-
このサーバーが外部と通信しているかを確認するには tcpdump コマンドで内部ネットワーク(192.168.1.1-254)以外のパケットをキャプチャして、外部とどのような通信をしているかを確認します。
vpn:~/ # tcpdump \(src net not 192.168.1.0/24\) and \(dst net 192.168.1.0/24\)
tcpdumpの使い方
http://d.hatena.ne.jp/chipa34/20080210/1202650183
-ついでに-
ntpd にも脆弱性があることが分かったので、塞いでおきます。
ntps:/etc # cat ntp.conf
: 中略
disable monitor
増幅攻撃はDNSだけではない――NTPサーバーの脆弱性に注意喚起
http://www.atmarkit.co.jp/ait/articles/1401/15/news126.html
対策は、脆弱性を修正したntpd 4.2.7p26(開発版)にバージョンアップすることだ。もし開発版の適用が難しい場合は、ntpdの設定ファイル「ntp.conf」に「disable monitor」という一行を追加し、monlist機能を無効化することで回避可能という。
その他の情報は
islandcenter.jp
-KeyWord-
SUSE Linux Enterprise Server NTPD 脆弱性 SSHを外部ネットワークから拒否 SSH接続元を限定する tcpdump 外部ネットワークとの通信確認