セキュリティ ポリシーは伝達されましたが、警告があります。

昨夜、VPNでダラダラと会社のWindowsServerのイベントログを眺めていたら、「セキュリティ ポリシーは伝達されましたが、警告があります。0x5: アクセスが拒否されました。」とのエラーが5分置きにアプリケーションログに残されていた。
ドメインコントローラで、ドメインアドミニ持ってるのにアクセス拒否??
と思ってググってみる。
MSのサポートを見ながら早速調査開始!
まず、レジストリエディタを開いて、
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
の中の「ExtensionDebugLevel 」の値を2に変更。
詳細な情報を調べていないが、たぶん、ポリシー更新の際のデバッグログを残す設定らしい。
んで、
secedit /refreshpolicy machine_policy /enforce
で更新。
C:\WINDOWS\Security\Logs\
の中にwinlogon.logて、ファイルが出来ているので、中身を見てみる。
フムフム・・・。
messengerに対するポリシー変更の際にエラーを吐いている。
そういや、会社で買った資産管理ツール上の設定で、メッセンジャーやらwinnyやら禁止していたかな・・・。
ドメインコントローラもその対象だったっけ。
つまり、資産管理ツールで既に操作出来ない用にされているから、ポリシーの変更の際も操作出来ないってわけか。
ドメインポリシーの中にある、サービスの項目のmessengerに対する設定を未定義に戻して再度ポリシーの更新。。。。
上手くいったヽ(´ー`)ノ
つか、余計なもん買ってしまった・・・orz
ActiveDirectoryをもっと勉強してれば、あんな無駄なツールを買わずに済んだのに・・・。

logwatch

自宅サーバでデフォルトのまま動いていたlogwatchのレポートがウザかったので、設定を見直してみた。
Fedoraの場合、「/usr/share/logwatch/default.conf/logwatch.conf」に設定ファイルが置いている。
※RHEL4だと/etc/log.d/logwatch.confに置いてある。
# The ‘Service’ option expects either the name of a filter
# (in /usr/share/logwatch/scripts/services/*) or ‘All’.
# The default service(s) to report on. This should be left as All for
# most people.
Service = All
下記を追加
Service = -qmail
Service = -pop3
Service = -vsftpd
Service = -secure
これで毎日送られて来ていた数百行のlogwatchのレポートが軽くなるw
ウチは、ファイアウォールなんて上層に立てていないので、SSHやFTPで不正侵入を試みようとするログが数千行・・・。
加えて、ローカルから5分毎に新着メールを確認しているので、pop3のログが5分×15回×24時間=1800行以上・・・。
昨日のlogwatchでいうと、先頭の
##### Logwatch 7.2.1 (01/18/06) #####
から、最後の
##### Logwatch End #####
までの総行数は・・・
64095行!!!!
テキストだけのメールで2.6MBって、どんだけ~!?

会社のメールサーバのリプレース

先月末に会社のメールサーバのリプレースを行った。
合わせてSpamassassinで迷惑メールも弾くようにした。
迷惑メールの運用としては、

Spamassassinのスコア閾値は「6.5」
スコア値「6.5~10までは、件名を変えてメール配送」
スコア値「11以上は、別アカウントへ転送」
「どのメールが転送されたかを1日一回、ユーザへメールする」

といった運用にする。
.procmailrcに下記を記述。
———————-
PATH=/bin:/usr/bin:/usr/local/bin
MAILDIR=$HOME/Maildir
DEFAULT=$MAILDIR/
LOCKFILE=$HOME/.lockmail
#Spam判定されていないメールは一度SpamAssassinへ送る。
#アカウントが150個以上もあるので、2MBを越すメールに対しては
#チェックを行わない。
:0fw
*!^X-Spam.*
* < 2097152 |/usr/bin/spamc #ヘッダーの「X-Spam-Level」を確認して、’*’が11個以上だったら #メールの送信時間を環境変数$MATCHへ格納。
#格納した$MATCHの値を、Spam-Listファイルへ記述。
:0 c
*^X-Spam-Level: \*\*\*\*\*\*\*\*\*\*
*^Date: *\/.*
| echo “Time:$MATCH” >> $HOME/Spam-List
#ヘッダーの「X-Spam-Level」を確認して、’*’が11個以上だったら
#メールの送信者を環境変数$MATCHへ格納。
#格納した$MATCHの値を、Spam-Listファイルへ記述。
:0 c
*^X-Spam-Level: \*\*\*\*\*\*\*\*\*\*\*
*^From: *\/.*
| echo “From:$MATCH” >> $HOME/Spam-List
#ヘッダーの「X-Spam-Level」を確認して、’*’が11個以上だったら
#メールの件名を環境変数$MATCHへ格納。
#格納した$MATCHの値を、Spam-Listファイルへ記述。
:0 c
*^X-Spam-Level: \*\*\*\*\*\*\*\*\*\*\*
*^Subject: *\/.*
| echo “Subject:$MATCH” >> $HOME/Spam-List
#ヘッダーの「X-Spam-Level」を確認して、’*’が11個以上だったら
#空白行をSpam-Listファイルへ記述。
:0 c
*^X-Spam-Level: \*\*\*\*\*\*\*\*\*\*\*
| echo “” >> $HOME/Spam-List
#ヘッダーの「X-Spam-Level」を確認して、’*’が11個以上だったら
#管理者アカウントにメールを転送。
:0
*^X-Spam-Level: \*\*\*\*\*\*\*\*\*\*\*
! virus@xxxxxxxxx.com
———————-
このprocmailの内容で、メールが届くたびに内容をチェックし、一定レベル以上のスパムだと、Spam-Listファイルにこんな感じのメールリストが記述される。
Time: Tue, 06 Nov 2007 00:06:13 -0500
From: “Beau Z. Juarez”
Subject: *****SPAM***** If you treat your filly as a goddess, why not become a God in her bedroom?
(ここは空白行)
次に行うのは、「どうやってここのユーザにメールを送るか?」だ。
今回の場合、お粗末だが「.spam-report.sh」と言った簡単なシェルスクリプトを組んでみた。
.spam-report.shに下記を記述。
———————-
#!/bin/sh
#pwdコマンドで得た結果(/home/ユーザー名)から、‘ユーザー名‘のみを抜き出し、’name’に代入する。
pwd > name
name=`cut -c 7- name`
#スクリプトにて追加した文字をSJISに変換する。
nkf -j Spam-List > Spam-List-j
#ユーザーへメールを送信する。
mail -s “SPAM Mail-Block Report” $name@xxxxxxxxx.com < Spam-List-j #古い情報が記録されているSpam-Listを削除。以降の情報を記録するSpam-Listの作成。 rm -rf Spam-List touch Spam-List chmod 660 Spam-List #’何時から取得している情報です‘って意味にしたかったんだけど、コレは要らんかもしれない。 date +"%Y/%m/%d %k:%M ~" >> Spam-List
echo “” >> Spam-List
#ユーザへ通知したい文の入力。
#ここは好きなようにしてくれ。
echo “お疲れ様です。” >> Spam-List
echo “$nameさんのスパムメールのブロック情報を通知します。” >> Spam-List
echo “情報が記載されていない場合、ブロックされたメールはありません。” >> Spam-List
echo “” >> Spam-List
———————-
Spamassassinに転送する.qmailファイルを合わせても、3つのファイルをユーザディレクトリに配置する。
さすがにそこはコピーするだけのスクリプトを組んだが・・・。
そうそう。
新規ユーザが作成された時に一緒に作成されるように、/etc/skelにも追加する事。
一定時間にスクリプトを走らせるから、下の記事で書いているように、/var/spool/cron/にユーザ分のcronファイルをコピって上げればよい。

routeコマンド

忘れないように自分用の備忘録。
NICを2枚つんだLinuxマシンの場合、routeコマンドを使ってスタティックな転送経路を作ってあげる必要がある。
会社の構成だと、
データセンターのIP:eth0=xxx.xxx.xxx.195(一応伏字だけど、グローバルIP)
            :eth1=172.23.8.2(会社⇔iDC間のVPN)
会社のIP:192.168.2.x
当たり前だが、デフォルトゲートウェイは1つだけだから、この場合はグローバルIPが振ってあるeth0になる。
会社からサーバのeth1に疎通を図っても、デフォルトゲートウェイからパケットを出そうとするので応答が帰ってこない。
そこで、routeコマンドを使い、
route add -net 192.168.2.0 gw 172.23.8.1 netmask 255.255.255.0 eth1
と打って、スタティックルートを設定してやらなければならない。
【200/11/12追記】
rooutコマンドでは、ネットワークの再起動を行った時に設定内容がクリアされてしまう。
恒久的に設定を行う場合、/etc/sysconfig/network-scripts/route-eth*に設定内容を記述する必要がある。
【route-eth* の記述例】
「ネットワーク[192.168.2.0/24]へは、ゲートウェイ[192.168.1.1]を経由する」と記述をする場合。
192.168.2.0/24 via 192.168.1.1
これでネットワークを再起動してもスタティックルートが消滅しない。

靴を買いましたw

昨日、靴を買いましたw
新鎌ヶ谷のイオン内の靴屋さんでセールを行っていて、2足で5300円でしたw
左の靴は、元値が11000円ぐらい。
嫁さんのチョイスですヽ(´ー`)ノ
右の靴は、元値が5000円ぐらい。
こっちは、私の一目ぼれw
でも今週もほとんど雨っぽいなぁ・・・。
いつ、卸そうかなぁ( -人-).。oO(・・・・・・)

上場企業と強制ゴルフ

今日、半年お世話(?)になった会社に退職届を提出してきました。
まぁ、半年しか在籍してなく、ずっと親会社に出向してたから1週間ぐらいしか本社に出勤していないけど、一応ねw
さて、次行く会社は、過去の日記でも書いた気がするが、今出向している親会社になりますwwwww
なんの縁なんかねぇ・・・。
今行っている情報システムの業務はそのままで、席だけ転籍w
私自身、明るい(アホ?)な性格だから、専務取締役や、人事部長と気軽に話せるのが良かったのかな?
しかも、先日専務取締役と飲みに行った時に言われたんだが、中卒で社員なのは、私だけだってwwwwwwwwww
ちょwww特例待遇wwwwwwww
っと、浮かれるのはこのぐらいにして、飲みの席で言われたもう一言。
【漢字検定2級ぐらい取れ!】
ちょwwwおまっwwwwwww
2級っていったら、アレ!
【高校在学・卒業程度】のレベルじゃないですかwwwwwwwwww
でもまぁ、持ってても損はないし、8月にCCNA失効したから、資格が0になった訳だし、まぁいいか。
内部統制が落ち着く来年の3月までに取れるように勉強してみるか。
さて、10月から行く会社には、【強制ゴルフ】って行事がある。
強制と言っても、【任意参加だけど、出席しないと役員からの印象がねぇ・・・】って、オッサン!それって強制とどう違うのよ!!!
で、そのゴルフが今日から行う下半期全体合宿の後に待ち構えている・・・。
出ればいいんでしょ!出れば!

またまた転籍します。

10月より、今勤務している会社の親会社へ「情報システム担当」として転籍します。
親会社はマザーズ上場しているし、世間体や、給与面、を考えても、今勤務している会社よりメリットが大きいと判断したのでwww
まぁ、今の会社は、半年しか所属していないし、3月の時の転職みたいに「お世話になりました!」間が全然無いから、メンタル的にはそう辛くは無い。
ただ、親会社がね、、、
社風かもしれんが、半期毎に合宿があって、その度にゴルフに参加しなければならない、、、
それだけが苦痛、というか、憂鬱だ。
だってさ、クラブすら握った事が無い人間に対して、「半強制的」にゴルフに参加させるのってどうなのよ?
ゴルフ?
「ファー!!」って言えばいいの?(みんなのゴルフ情報)
芝を千切って、風を読めばいいの?(なんかの漫画情報)
旗包みって本当にできるの?(プロゴルファー猿情報)
つか、ゲートボールなら小学校の頃にやった記憶があるけど、それの「フルスイングバージョン」と思っていればいいのかな?www
ゲートボール感覚でプレイしたら、社長と専務から怒られそうだから、とりあえず雑誌でも勝手読んでみるか・・・orz

仕事忙しすぎw

あ~。
最近、常駐先の親会社が内部統制を始めたもんで、システム関係が全部私に回ってきて、死ぬほど忙しい。
アミューズメントの会社で、私を含めて理解している人間が運用していたので、サーバの仕様書などあるわけもなく、それを一から作成しなければならない。
まだ運用に関する手順はいいんだけど、構築仕様なんて、作った当事者しか分からない情報もあるわけで・・・。
まぁ、以前派遣で行ってた会社に在籍中にISO2701を取得したから、な~んとなくだけど、作らなきゃいけない資料ってのは理解しているが、上層部がITを全然理解していないので、リスクを提示しても、それすら理解できないんじゃないかと思う・・・。
—備考—
先日、ソラリスをはじめました。
DELLマシンへのインスコ段階から少々コケたけど、なんとか完了。
さて、ソラリスで何をしようかなw

FTPとSFTPの使用制限

会社の公開FTPサーバ。
何故かFTPユーザーにもbashが付与されており、さらに外部業者とのやり取りはインターネットを介して行われる為、パケットキャプチャされたらユーザー名とパスワードがバレバレな状況で稼動していました。
ディスクも8GBの物を使用していた為、ディスク増設を期にセキュリティを上げる事にします。
外部からの接続は、FTPからSFTPに。
さらに事業部毎でデータ容量が違うので、quotaを設けます。
・quota使用の宣言
fstab内の、容量制限を行なうパーティション欄に”usrquota”を追記する。
今回は、/homeに対してquotaを掛ける。
vi /etc/fstab
LABEL=/home /home ext3 defaults,usrquota 1 2
・/homeの再マウント
quota使用する為、パーティションの再マウントを行なう。
mount -o remount /home
・quota設定のデータベース作成
quotacheck -cumv /home/
・ユーザ毎のquota設定
edquota hogehoge
Disk quotas for user hogehoge (uid 501):
Filesystem blocks soft hard inodes soft hard
/dev/hda5 36 9961472 10485760 8 0 0
quotaの設定は、容量(blocks)と、ファイル数(inodes)に変われており、それぞれ警告表示(soft)と物理境界線(hard)に分類される。
今回は、容量を10GBまでと設定するので、blocksのsoftに9.5GB分、hardに10GB分の数値をキロバイトで入力。
ここまで完了したら、再起動を行なう。
再起動後、quotaが有効になる。
ためしに、ファイル数のhardを12とし、13個以上ファイルのアップロードを行なおうとしたら、
200 PORT command successful. Consider using PASV.
553 Could not create file.
とエラーが表示され、アップロード出来なかった。
さて、問題はココから。
社内から通常のFTPアクセスを行なわせ、社外からはSFTPにて接続させたと思っている。
その際の接続制限の方法が見当たらない。
単純に、/etc/hosts.allowに、
in.ftpd: 127.0.0.1 192.168.0. 192.168.1.
と記述しても、FTPの処理を行なうのはFTPデーモンになるので、ネットワークレベルの規制は無理なんじゃないか?
デーモンレベルでアクセスを制限する方法しか知らんので、別の制限方法を探して見るか。
・・・2007/07/28 追記・・・
どうも、SFTPはSSHポートのみしか使わないらしい。
つーことは、/etc/hosts.allowでの制限でいけるんじゃない?w
と思って、設定。
あれ?
制限が掛かんない。hosts.allowの設定が反映されない・・・。
おかしい!と思ってググってると、どうも記述フォーマットが変更されたらしい。
ftpd: 127.0.0.1 192.168.0. 192.168.1.
と、”in”を外したら上手く制限できましたw
定期的に勉強しないと過去覚えた事も、すぐに古くなって使えなくなるから困ったものだ。