2014年06月07日(土) - 18:46 | カテゴリ:
Linux
最近OpenSSLの重大バグ発見率上がっているなぁ~(´・ω・`)
………
OpenSSLのバグと言えば、Heartbleed発見で世界中が震撼したのが新しい記憶。
HBが見つかってから期間があまり経っていないのに、またもやデカイバグが発見されたとの事。
どうやら、SSL/TLS通信経路上での脆弱性らしい。
で、攻撃(改ざん等)を防ぐ為には"クライアント or サーバのどちらかで、脆弱性修正されたOpenSSLへ更新する"事が必須と。
脆弱性修正の施されたOpenSSLは、
-
OpenSSL1.0.1系統 → OpenSSL1.0.1h
-
OpenSSL1.0.0系統 → OpenSSL1.0.0m
-
OpenSSL0.9.8系統 → OpenSSL0.9.8za
なので、対応したバージョン(最新版)へ更新する必要がある。
てか、0.9.8系統のバージョン末尾がアルファベットの"z"を超えちゃったよw
HBの時程、世間では騒がれていないけど
世のサーバ管理者は着実に対応していく必要ある問題だわね(´・ω・`)
……という事で、自分の休日その1はOpenSSLのバージョンアップで無くなったのでした(´;ω;`)
2014年05月18日(日) - 19:10 | カテゴリ:
Network
現在のns-lab内部の各セグメント間ルータはCisco1812を使っているのだが、
Webブラウザから同時に10サイト位アクセスすると、
CBACが働き過ぎて応答不能状態になったりしている現状(´・ω・`)
まぁ、ソフトウェア処理なので重くなるのは仕方ないと妥協。
だがここで思ったのは、
『ネトゲやっている時にルータ過負荷で応答不能になったらどうなるのよ』という点。
と言っても自分は、普段ネトゲを全くやらないのでどこまでトラフィック流れているとか、
セッションがどうなっているとかは未知数だった。
という事で、ネトゲ枠(?)として唯一自分がプレイしているACVDを2時間位プレイして、
トラフィックとかCisco 1812のCPU負荷を計測してみた。
値はあくまで参考程度という事で―――
今回の構成(略図)は下記参照
本当はトポロジアイコン使うべきなんだろうけど、面倒なので仕方ないね(´・ω:;.:…
[PS3] -> [Cisco2950T] -> [Cisco1812J] -> [Gateway] -> [WAN] -> [ACVDサーバ]
※1812で、RIPv2とCBACを動かしている状態。他の特別なルーティングとかは無し
ローカルでやっていてもトラフィック計測する意味が無いので、
『傭兵登録->出撃』をひたすら2時間繰り返して計測。
値の取得は、LANに構築してあるzabbixからCiscoのSNMP(MIBで)を1分毎に取得する方法で行ってみた。
その結果のグラフが↓
実際に傭兵登録しだしたのが21:05あたり。で、初マッチが21:10あたり。
トラフィックグラフの縦軸スケールは最新値で最適化をしちょるので参考程度で。
やはり、セッションを張りだしてから(マッチング待機した直後)のCPU負荷がちょい上がっていた。
トラフィックの方も同じく、待機しだしてからが多めな印象。
しかし、ネットワークで出撃している最中のトラフィック量はそれ程多くなかった。
個人的には、1MByte/s程度は行っているのかと思っていたのだが、
瞬間的に30KByte/sを飛ばした後は、20KByte/sのデータをずっと飛ばしている感じだった。
ま~、20KByte/sで飛ばしていても積もれば山となるわけですが。
今回はMIBで、しかも1分毎の取得なのでリアルタイムという観点では正確性に欠けるのだが、
大体の値がわかったので個人的に満足。
…次やる時は、もっと上位のルータ+レギュレーションをちゃんと決めて計測したい所。
« 続きを隠す
2014年05月05日(月) - 22:21 | カテゴリ:
Network
先日、A氏から『nowskyさんのブログスゲー』という事実とは真逆の感想を戴いてしまったので、
“スゲー”にちょっとでも近づく為に真面目な記事を―――
…A氏よ。こんなエ○ゲブログを凄いと思っちゃアカンぜよ。でも、お言葉ありがとうございます。
………
4月第二週目あたりから、SSHブルートフォースアタック(以下SSHアタック)が頻繁に来るようになった。
以前からそれ用の対策として、既存のスクリプトと自作スクリプトでの防衛は行っていた。
まぁ、『SSHのポートを開けるなよ!!』というのは至極ごもっともなのだが、
如何せんコチトラ外からSSHに接続出来る事が必要な環境な為開けてあったりする。
と言っても、GlobalSrcIPとかプロバイダの制限はしちょるが(´・ω・`)
で、先の通りSSHアタックされるとされた側にはバッチリログが残るという。
そのログにはアタックしてきたGlobalIPとアタックに使用したユーザー名が載っていたり。
という事で、今回はそのSSHアタック時に記録されたユーザー名を過去2年分公開しようと思う。
―――これで、世のサーバセキュリティが少しでも上がってくれれば良い淡い期待を胸に。
何故公開に至ったかと言うと、
1). A氏の感想からチョットでも真面目な事を書きたかった
2). “最悪なパスワード”は有名だけど“最悪なユーザー名”はあまりランクアップされない
3). これしか書く事なかった(´・ω:;.:…
という事から。
※ このページをソースにして、機械式SSHアタックされても困るので伏せ字&画像多用
本題の、二桁以上の回数をSSHアタックされた同一ユーザー名リスト
よくSSHアタックされるユーザー名はr○○tが断トツに多かった。
次に多いのは○racle。多分、データベースのデフォルトユーザー名を突く為にやっているのだろう。
次にaとかtestとか簡単な物。これも、一時的に作成したテストユーザーを突く為かと。
他にはa○minとかnagi○sとかg○tとか、どれもこれもデフォルトユーザー名を突こうとしている。
特にa○minは、ルータとかスイッチとかアプライアンスとかでデフォルト使用されているユーザー名だったり。
“鯖落とすなら、ついでにNWも”という魂胆なのかもしれないが、
昔から”危ない”と言われていたユーザー名を片っ端からクローリングしているのには驚いた。
後は、Linuxのデフォルトで入っているであろうユーザー名とか、
有名処のソフトウェア名をそのままとか、エトセトラ…
それらを踏まえつつも、傾向としてわかったのは
“一度でもアタックに失敗したGlobalIPからは二度とSSHアタックが来なかった”という事。
当たり前っちゃ当たり前だが、だからこそGlobalIP単独での遮断は難しいという現状。
まぁ~、外からSSHで自鯖にログインするのは日本の限られたGlobalIPからだろうし、
鯖管理者各々が把握している筈。
なので、現実にはそれらのアクセス制限をかけつつ、
ユーザー名・パスワードを複雑化しておく事が有効なのだろう。
ともあれ、今回のログ調査でわかったのは”サーバユーザ名に簡単な物は使うな!”という、
基本でありながら疎かにしがちな事だった。
………
ちなみに、SSHアタックで仕掛けてきたユーザー名の2年分ログ(csv)はコチラ
これを元に、自宅サーバのセキュリティ対策に役立てて頂ければ幸いです。
« 続きを隠す
