備忘録_29 / ServersMan@VPS_10
ポートセキュリティについてはiptables設定とsshポート設定この二つを同時に考えた方が良いと思います。野球に例えるならばピッチャーとキャッチャーのような関係でどちらが欠けてもプレイにならない不可欠な存在に思えます。
エリアストレス上昇中!当該エリアは犯罪係数悪化の恐れがあります。
対象(>>offtoon)の脅威判定が更新されました。
接続ポートについて考える前に
iptableの初期化を試してみる
接続ポートのセキュリティ対策を考える前に、一つ試してみたい事があります。その機能を私にも扱えるか、或いは扱いかねるか、で前提条件が大幅に変わってくるからです。
・
DTI_ServersMan@VPS_マニュアル/
設定中のiptablesルール確認方法
[root@vps]# iptables -nL
[図_1]
コマンドを入力しましたところ、
# iptables -nL |
この様に出力されました。
さあ、それでは諸君。
偉大なる信託の巫女のはらわたを―――――。
一つ暴き出してやろうじゃないか。
[図_2]
こっそり、iptables設定ファイルを覗いてみます。
# vi /etc/sysconfig/iptables |
*filterに記述されたパラメータは、
- INPUT → すべて許可
- FORWARD → すべて許可
- OUTPUT → すべて許可
と、読むそうです。
[図_3]
Viエディッタより、設定ファイルの一番最後のコメント行…そのお尻の部分にこっそりと"#"を付け加えてみます。
# service iptables restart |
そして、サービスの起動や、サーバーの再起動などを試してみました。問題なく動いているようです。
[図_4]
さて、ここでMyDTIのServersMan@VPSコンソールより、[iptablesの初期化]をしてみます。
大方の予想が正しければ、"#"を付け加える前の[図_2]に戻るハズ…。
その結果は如何に、
[図_5]
ジャーン‼
ファイルは置き換わっていませんでした‼この機能がどの様に作用しているかが分からないです。
例えば、ファイルはこのままの状態で一時的に初期状態のiptables設定に戻されているのかも知れません。
しかし、元がバーチャルで動いているサーバーの上に更に一時的にバーチャルで設定を上書きするレイヤーを載せる凄腕ッスか…。
色々と試してみたのですが、ザ・素人の持てる力量では元の状態を再現できませんでした。
―――――――― システム系統から作為的に除外された免罪機能なのかな?
iptablesの初期化
iptablesの設定を申込時の状態に初期化します。申込時の状態に初期化すると元の状態には戻せませんのでご注意ください。
しかし、「元の状態には戻せません。」と書いてあっても元の状態に戻ってますから、あるいは機能していないのかも知れません。… その… 何か、空気嫁的にCentOS7に付いてはサポートが薄い感じがしていたので … 。
もう少し、情報が欲しい。そこで調べてみました。
これは触り始めてから気が付いたのですが、ServersMan@VPSについての情報はネットに少ない。
それで、手掛かりになればと記事を投稿しています。
DTI_会員サポート FAQ
ServersMan@VPSで、iptablesは初期化できますか。
はい、可能です。手順につきましてはこちらをご参照ください。
iptablesの状態を申込時の状態に初期化することができます。
パケットフィルタを行うことが可能なiptablesの初期化を行います。初期化すると元の状態には戻せませんのでご注意ください。
[図_6]
そして、それがその「こちら」なのですが、
今まで、ン十年くらいDTIを使い続けて何一つ不自由を感じた事は一度もありませんし、正直に言ってそれは他のプロバイダーサービスに乗り換える悪材料にもなりません。大丈夫、私は色相をクリアに保っています。
…が、こんな画面を見たのは初めてです。
それがシビュラの答えか、――――――――!!
これはたまたま重箱の隅に突き当たったのでしょう。… … 全く見なかったことにしましょう。そっ閉じ…
――― 興味深い内容だ。短期間でこれにたどりつくとは君の調査能力は大したものだな。
――― ところでこの「404」だがこれはオープンドア・データと呼ばれるものだ。重要機密を暴こうとする
――― 社会不適合者をおびき寄せて把握するための罠。君はそれにまんまと引っ掛かった。
――― 何?何の話をしてるの?やめて…。私、何も知りませんから…。キャー!全部忘れるから…!!嫌ぁ~
接続ポートについて考える
――― 私たちは前提条件を間違えていた。焦点にすべきは「iptablesの初期化」機能じゃない。
――― 人がユビキタスな未来を選ぶんじゃないわ。ユビキタスが人の未来を選ぶの。私はそう信じてる。
ポートセキュリティについて考える
DTI_ServersMan@VPS_マニュアル/
こちらの3種類のマニュアルですが、同時に考えて構築する必要があると思います。いずれもネット接続のセキュリティに触れたものだからです。
自宅のwindows・mac/PC
イソターネット空間
ServersMan@VPS CentOS7
もし、
iptableの設定を間違えたら、
● sshよりサーバー操作
―――――ログイン ――――✕|
● 各種 Linuxコマンドの受付
● ブロック
以後二度と、ログイン出来ない。
iptableとは?
iptableは、windows・Macのような家庭用PC機器に例えるならファイアーウォールやルータとおなじ役割を果たす装置の呼び名です。そのiptableですがCentOS7より廃止されiptablesからfirewalldへと変更されました。つまり正式にファイアーウォールになりました。一方で仮想専用サーバーServersMan@VPSはOpenVZという仮想化方式を採用しており、Linuxカーネルをインスタンスで共有しているため、カーネル部分を操作する一部の制御系のコマンドが使えなくなっています。同じくKVM仮想化方式を採用しているVPSとかではもっと融通の利く操作を行えるようですが。
とにかく、ServersMan@VPS CentOS7のファイアーウォールの設定はiptableより行います。
VPS開発チームの提供する仮想サーバーの構築は複雑な仕掛けのもの、機能が制限されて融通が利かない設定になっている、ということは翻って侵入を試みる側にとっても一筋縄にはいかないという事だと思います。実はその事がなによりも強固なセキュリティになっていたりするのではないでしょうか?休むに似たりのザ・素人考えですが … 。
sshとは?
sshはSecure Shellの略であり、安全にリモートコンピュータと通信するためのプロトコル。パスワードなどの認証部分を含むすべてのネットワーク上の通信が暗号化される。
それ以前のTelnetやFTPは、ネットワーク上に平文でパスワードを送信してしまうため、パスワードをネットワーク経路上でのぞき見されてしまう危険性が高く、商業的なインターネット空間では問題が大きかった。
ネットワークを介してサーバーに命令(コマンド)を与える時の為の通信プロトコルです。例えば今、自宅にサーバーがあり目の前にコンソール画面と手元に操作するキーボードがあるならば、sshは使わない機能です。しかし、仮想専用サーバーはデータセンター内で一括管理されたサーバー群のほんの一区画を間借りする形で存在しており、RloginやPuTTYなどのクライアントソフトを利用して操作します。Linux系OSの初期設定では通常ssh専用のポート番号は「22」番に予め割り振られている事が多いようです。
final answer
MyDITの[iptableの初期化]ボタンは今のところ使い勝手が分からないので、取りあえず当てにしない方向でセキュリティを考えたいと思います。次回投稿記事は実際にiptable設定をやってみます。
今回は以上です。
執行モード、リーサル・エリミネーター。慎重に照準を定め対象(>>offtoon)を排除してください。
← | 備忘録_28 / CentOS7のパスワード変更方法 | 前 |
次 | 備忘録_30 / iptableの設定方法 | → |
□ | 備忘録_31 / 公開鍵認証の設定方法 | → |
□ | 備忘録_32 / AirDisplayの設定方法 | → |
セキュリティ編 1 |
セキュリティ編 3 |
セキュリティ編 4 |
セキュリティ編 5 |
EyeCatch画像:Rudy and Peter Skitterians/Pixabayからの画像