今更気づいたが、なぜかbootに13GBも割り当てていた事が判明。
[root@mario /]# df -h
Filesystem サイズ 使用 残り 使用% マウント位置
/dev/hda3 4.8G 3.9G 607M 87% /
/dev/hda6 13G 1.5G 11G 13% /usr/local
/dev/hda5 4.8G 618M 3.9G 14% /var
/dev/hda1 13G 177M 12G 2% /boot
tmpfs 379M 0 379M 0% /dev/shm
bootってfsck出来なかったと思うから、再インストール決定!・・・orz
4月8日付けで、CentOS5.6がリリースされました。
手順はリリースノートに書いてある通り。
(めんどくさかったので、僕はそのままyum updateを実行w)
【結果】
Install 5 Package(s)
Upgrade 114 Package(s)
Remove 2 Package(s)
Reinstall 0 Package(s)
Downgrade 0 Package(s)
[root@hoge ~]# cat /etc/issue
CentOS release 5.6 (Final)
Kernel \r on an \m
sendmailで処理されるメールが全てキューに入って送信されない現象が発生。
SMTPポートにtelnetを叩くと、RCPT TOのところで異常時と正常時の違いがあった。
【正常時】
rcpt to:jun@jhhk-family.net
250 2.1.5 jun@jhhk-family.net… Recipient ok
【異常時】
rcpt to:jun@jhhk-family.net
250 2.1.5 jun@jhhk-family.net… Recipient ok (will queue)
sendmailの再起動で直ったっぽいけど、なんだったんだコレ?
up2dateやyumで特定のインストール済みパッケージを除外する方法のメモ
opensshなど、ディストリビューションに最初から入っているパッケージはかなり古めのバージョンが使われているが、依存関係とかの兼ね合いで削除する事が出来ない。
ソースからインストールしても、場所によってはパッケージのアップデートに潰されてしまうので、ソースからインストールしたソフトウェアを、パッケージの更新から除外する。
up2dateの場合
/etc/sysconfig/rhn/up2dateファイルに、pkgSkipList=php*;httpd*;とかを書く
yumの場合
/etc/yum.confファイルに、exclude=php*;httpd*;とかを書く
opensslの最新バージョンが2月8日にリリースされていたので早速アップデートを実施。
(1)最新のファイルをダウンロードして・・・
wget http://www.openssl.org/source/openssl-1.0.0d.tar.gz
(2)解凍して・・・
tar zxv openssl-1.0.0d.tar.gz
(3)configして・・・
cd openssl-1.0.0d
./config –prefix=/usr/local/
(4)makeとインストールする。
make
make install
【旧バージョン】
openssl version
OpenSSL 1.0.0c 2 Dec 2010
【新バージョン
openssl version
OpenSSL 1.0.0d 8 Feb 2011
地震や放射能やらの騒ぎでチェックしていなかったけど、3/16にPHP5.3.6がリリースされていたので、アップデート。
初めてmake checkをやったけど、8435件もテスト項目があったなんて知らなかった。
自宅サーバのiptablesの設定。
今こんな感じ。
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# 127.0.0.1からの通信を全て許可
-A INPUT -p tcp -i lo -j ACCEPT
# 自宅N/Wからの通信を全て許可
-A INPUT -p tcp -m tcp -s 192.168.100.0/24 -j ACCEPT
# セッション確立後のパケット疎通は許可
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
# SSHへの接続制限
# 会社からの接続は許可
# それ以外は、ログを残して拒否
-A INPUT -p tcp -m tcp –dport 22 -s xxx.xxx.xxx.xxx -j ACCEPT
-A INPUT -p tcp -m tcp –dport 22 -j LOG –log-level debug
-A INPUT -p tcp -m tcp –dport 22 -j REJECT
# SMTPへの接続許可
-A INPUT -p tcp –dport 25 -j ACCEPT
# HTTPへの接続許可
-A INPUT -p tcp –dport 80 -j ACCEPT
# 上記以外を全て拒否
-A INPUT -p tcp -j LOG
-A INPUT -p tcp -j REJECT
COMMIT
昨日に引き続き、セキュリティのお話。
携帯ブラウザは、ページのソースを見る機能はありません。
imodeブラウザ2.0からJavaScriptが搭載されたので、JavaScriptを使った携帯サイトのソースを見れる方法が紹介されていました。
http://mpw.jp/blog/2009/11/188.html
昨年末からいろいろあって、全てのWEBサーバのセキュリティ診断を行っています。
診断は、業界では有名なLAC社に委託をしているので、技術力は問題無いのですが、その指摘の細かさに驚きつつ、そんな穴誰も突付かないだろw(決してラックには言えませんが・・・)
とツッコミつつも、ミドルウェアの設定を変更したりバージョンアップを行っています。
で、その中では僕の認識が甘かった部分や、知らなかった物が何個もあったので、その対策とかのメモ。
【Apache】
(1)ローカルユーザー情報の漏洩
Userdir public_htmlとかなっていると、
http://ドメイン/~存在するユーザー名 ・・・ Forbbiden
http://ドメイン/~存在しないユーザー名 ・・・ Not Found
となり、生きてるユーザーがいる事が分かってしまう。
まぁ、会社のシステムでは使っていない機能なので停止。
Userdir disabled
(2)エラーページからシステム情報の漏洩
デフォルトだと400系や500系の時にApache情報が記載されるので、
そこから脆弱性が漏れる可能性がある。
ServerTokens Prod
ServerSignature Off
【SSL】
(3)脆弱な暗号化(SSLv2)のサポート
SSLv2をサポートしている事自体がダメなんだって。
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:!SSLv2:+Exp:+eNULL
SSLProtocol ALL –SSLv2
【PHP】
(4)PHPトラッカー情報の漏洩
これもシステム情報の漏洩系。
expose_php = Off
昨年の11月に買ったばかりのHP DL360で、CPUの温度異常だとよw
Mar 19 14:36:23 hogeserver hpasmxld[3774]: WARNING: System Overheating (Zone 21, Location System, Temperature 66C)
Mar 19 14:36:23 hogeserver hpasmxld[3774]: A System Reboot has been requested by the management processor in 60 seconds.
Mar 19 14:36:23 hogeserver wall[9101]: wall: user root broadcasted 1 lines (79 chars)
週明けの火曜日ににハード交換だな。