●/etc/servicesでポートを確認しておくこと。

●/etc/inetd.confの中で必要ないサービスは、コメントアウトにしておく。

●/etc/syslog.confを確認しておく。以下の3行を追加するものよいかもしれない。

----- Start -----

auth.* /var/log/auth.log

lpr.debug /var/log/lpd_err.log

local2.* /var/log/ppp.log

----- End -----

ちなみに、リモートロギングするには、以下を追加するとよいでしょう。

（注意；大量のログが溜まる可能性がある。）

----- Start ----

*.* @logkeeper

----- End -----

●LOGを回転（rotate）させるように設定する

/etc/logrotate.d/syslogの｛｝内に以下を追加するなどが考えられる。

----- Start -----

rotate 7

size 50M

----- End -----

●/etc/fstab(ファイルシステムテーブル)

----- 変更前 -----

/dev/hda8 / ext2 defaults 1 1

/dev/hda1 /boot ext2 defaults 1 2

/dev/hda6 /home ext2 defaults 1 2

/dev/cdrom /mnt/cdrom iso9660 noauto,owner,ro 0 0

/dev/hda5 /usr ext2 defaults 1 2

/dev/hda7 /var ext2 defaults 1 2

/dev/hda9 swap swap defaults 0 0

/dev/fd0 /mnt/floppy ext2 noauto,owner 0 0

none /proc proc defaults 0 0

none /dev/pts devpts gid=5,mode=620 0 0

----- End -----

----- 変更後 -----

/dev/hda8 / ext2 defaults,errors=remount-ro 1 1

/dev/hda1 /boot ext2 defaults 1 2

/dev/hda6 /home ext2 defaults,nosuid,nodev 1 2

/dev/cdrom /mnt/cdrom iso9660 noauto,owner,ro 0 0

/dev/hda5 /usr ext2 defaults,nodev 1 2

/dev/hda7 /var ext2 defaults,nodev 1 2

/dev/hda9 swap swap defaults 0 0

/dev/fd0 /mnt/floppy ext2 noauto,owner 0 0

none /proc proc defaults 0 0

none /dev/pts devpts gid=5,mode=620 0 0

----- End -----

/homeは、nosuidやnoexec(全てのプログラムの実行を不可)

●パーミッションの確認

• AnonymousFTPなど

●SUID/SGIDの確認

# find . -user root -perm 4000 -print

●コマンドchattrによって、ファイルを保護したりしておく。

●/etc/default/useraddの内容を確認後、スケルトンディレクトリが/etc/skel/にあるならば、その中の不要な雛型は削除しておく。

●セキュリティーツールのインストール

• Swatch（LOG監視ツール）
• tripwire（ファイルのチェックサムを作成してデータベースを比較するツール）←なるべくソースからコンパイルしてインストールするほうがよい。
• COPS（スキャナ）
• torjan.pl
• SATAN（スキャナ）
• courtney（SATAN感知システム）
• tcp_wrapper（TCP/IPのラッピング）
• OPIE（使い捨てパスワードOTP）
• SSH

●物理的なセキュリティーを強化する

• LILOのシングルモードにパスワードをかける←特別講座＜lilo編＞を参照せよ。
• BIOSでFDからの起動を禁止する。
• BIOSにパスワードをかける。　

■日々の管理

●LOGの管理←LOGファイルのメンテナンス（LOG溢れ）にも注意

• コマンドlastlog（/var/log/lastlogの確認）
• コマンドw（/var/run/utmpの確認）
• コマンドlast（/var/log/wtmpの確認）
• (/etc/crontab)
• コマンドls -l /usr/local/apache/var/logで表示される3つのLOGを確認する。
• （/var/log/secure）←tcp_wrapperのLOG
• error_logは重要。httpサーバのセキュリティーホールを狙った攻撃がLOGに残る。

●システム監視・分析コマンドの活用

• コマンドps（Trojanなどが動いてないかどうか調べましょう）
  # ps aux | less
• コマンドtop
• コマンドuptime（コマンドwを使った時と、一行目の情報と同じ）
• コマンドdf
  # df -maT
• コマンドdu
  # du -ahx . | less
• コマンドifconfig
• コマンドarp
• コマンドroute
• コマンドping
• コマンドtraceroute
• コマンドnetstat
  # netstat -a
• コマンドlastcomm（ユーザの使ったコマンドの履歴が見れる。RedHatでは存在しないので、インストールしておく。）
• コマンドtcpdump

●注意点

• 特定のホストからICMP ECHOパケットパターンがあれば、Attackに備えてください。そのためには、日頃からScanlogdやNetguardなどを装備しておき、pingやポートスキャンを検出するように設定しておく。

■侵入を発見したらどうするか？

　academic officeのWhat do we do when we are intruded ?を熟読してください。以下に、簡単に要点をまとめておきました。

●要点

• 一般利用者としてログインする（いきなり、suを実行しないこと）。
• .bashrcが書き換えられていないことを確認する。
• ls・rm・cpコマンド等のエイリアスをチェック。
• whichコマンドで正しいディレクトリから読み込まれているか確認する。
• ls -lコマンドなどで各コマンドバイナリのサイズとタイムスタンプを確認する。
• netstat -nコマンドで現在のセッションを確認する。
• LOGを確認する（詳しくは、LOG管理を参照してください）。
• ps axコマンドなどで現在のプロセスの実行状況を確認する。
• 設定ファイル等の確認する（例；/etc/inetd.conf、/etc/passwd、/etc/rc.d/rc.local、/etc/rc.d/init.d、/etc/crontab、/etc/cron.d）。

• 『クラッキング防衛大全』

過払い金の回収ならこちら 生命保険の切り替えはココ 専門学校情報が満載♪