|
|
| |||||||
| |||||||||
巻き戻し中。
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2010-01-09(土)
いろいろ [長年日記]
_ 
試してみた
まずはFreeBSD8.0から。
VMで7.2Rを起動してfreebsd-updateから-rでやてみた。
色々動いた状態で試したら、見事に失敗。
そりゃそうだな、kernelはGENERICじゃないから他のバイナリだけ先に置き換わる。
途中でエラー続出。
結局CDイメージで起動して普通にアップデート完了。
デバイス周りはsioやらUSB周りがちょっと変わってるので要注意。
おうち鯖のアップデートの時に気を付けよう。
_ FreeNAS
試しにVMこしらえて入れてみた。
ふーん、確かに入れるの簡単。
設定画面の日本語も結構使える。
SMBはCP932やUTF-8も使えるので問題ナス。
UPnPは一瞬便利かとオモタけど、メディアファイルの曲名とかプロパティの日本語が化けるのでダメだなぁ。
って、どうするつもりなんだ?わしゃw
2010-01-06(水)
おっと! [長年日記]
_ FreeBSD8.0
出てるのは分かっていたけど、Japanのページだけいつまでも更新されないなぁ。
X.0でいきなりは生贄っぽいし、本番鯖は8.1ぐらいまで待つか。
それまではISOイメージをVMにmountしてVerUpの実験でもしてるかな。
2010-01-03(日)
宿題 [長年日記]
_ 思い出した
ので、夜中にゴソゴソ。
_ 年賀状
もう、出すの止めてから何年か経つ。
でも結構来るなぁ。
出してくれた人、ありがとうございますた。
(*^ー^)ノ♪
生存と居所確認には良い手段だよなぁ。
自分のバヤイは、whoisすれば判るかと。。(^^ゞ
2010-01-02(土)
始動 [長年日記]
_ あらら
アメブロ正月からお祭りですな。
「不正アクセスで被害届」って以前に情報管理がおかしい気がするんだけど。
そもそも自身が持っている非常に大きな問題を、被害者という立場を取ってウヤムヤにしようとしてる感じがありあり。
あー、昔某大手通販でそんなことがありましたな、「サイバーノーガード戦法(爆)」ってのが。
_ 疑問?
いや、某n氏もTwitterに書いてたけど、何でユーザの生パスが一覧で存在するのかとかさ。。。。
俺んち鯖だって家族のパスワードは(゜⊿゜)シラネ。
用事があれば断ってsuするし、忘れちゃったら本人が再設定。
こっそり代行で書き込むなら管理者権限からsuすりゃいいじゃん。
そんな仕組みもねぇって事?
2009-12-31(木)
はぁ [長年日記]
_ DHCP
内部DNS立てたついでに、dhcpdと連動でddnsにしてみた。
dhcpd側は
ddns-updates on;
ddns-update-style interim;
key "key.hoge.jp" {
secret "hogehogehoge";
algorithm hmac-md5;
}
# Internal
zone in.hoge.jp. {
primary 192.168.0.x;
key key.hoge.jp;
}
# 192.168.0
zone 0.168.192.in-addr.arpa. {
primary 192.168.0.x;
key key.hoge.jp;
}
で、対応するbindも内側のviewに
view "localnet" {
notify no;
match-clients { localnet; };
recursion yes;
allow-query { localnet ; };
allow-transfer { localnet ; };
zone "0.0.127.IN-ADDR.ARPA" {
type master;
file "/etc/namedb/localhost.rev";
allow-update { none ; };
};
zone "in.hoge.jp" {
type master;
file "/etc/namedb/in.hoge.jp.hosts";
allow-update{ key "key.hoge.jp"; };
};
zone "0.168.192.in-addr.arpa" {
type master;
file "/etc/namedb/private-net.rev";
allow-update{ key "key.hoge.jp"; };
};
};
と、globalな所に
acl localnet {
192.168.x.0/24;
127.0.0.0/16;
};
key "key.hoge.jp" {
algorithm hmac-md5;
secret "hogehogehoge";
};
でおk。
_ でもって
Webminの設定から覗いていて大体見当は付くんだけど、ちゃんとマニュアルみましょうw
TSIGkeyのsecretは「dnssec-keygen」で作って突っ込むんだけど、Webminの入力欄だとちょっとイミフ。
allow-updateはkeyで縛るか同じホスト上だから127.0.0.1/自分のIPで縛るかだなぁ。
SourceAddressを詐称される可能性も含めてどっちが安全なんだろう。
2009-12-30(水)
うへへ・・・ [長年日記]
_ 脆弱性
スキャン完了。
鯖はガッチリ固めるとして、「色物たち」のOS検出状況ワロタ。
[HPのプリンタ:C5175] Operating System : HP JetDirect Printer [東芝のDVR:RD-XS46] Operating System : VAX/VMS 7.1 [LinkSysのAP:WAP54G-JP] Operating System : Linux Kernel 2.4.20 [みかかのルータ:RT-S300NE] Operating System : FreeBSD 3.4 FreeBSD 3.5 FreeBSD 4.2 FreeBSD 4.3 [DSi] Number of vulnerabilities Open ports : 2 Low : 3 Medium : 0 High : 0 Remote host information Operating System : [Wii] Number of vulnerabilities Open ports : 2 Low : 3 Medium : 0 High : 0 Remote host information Operating System : [PSP] Number of vulnerabilities Open ports : 3 Low : 4 Medium : 0 High : 0 Remote host information Operating System :
_ 評価
ゲーム機関連はちゃんとしてるなぁ。空いてるポートもほとんど無いし。
みかかルータは間違いっぽいなぁ。
LinkSysのKernel2.4xは時期的にも合ってると思う。
あれ?
ちょっwwwwwDVRのVAX/VMSって・・・・さすが東芝様ですね。*1
っつーか、そんなアーキテクチャでビデオ処理するってどんだけでかい設備なんすかw
まぁ、誤検出にしてもどういう判断でVAXに見えたのか是非聞いてみたい。*2
_ 穴
最初のスキャンで14個あったMiddleの項目を2個まで減らした。
このうち1個は外部から見えないサービスで、もう一つは「釣り」のためにわざと開けてるサービス。
このため、対策は完了であります。(`・ω・´)ゝ”
結構SSL/TLSでバージョン古いの使えちゃうとかキー短いとかが多い。
smtp/pop/httpd関連でそれぞれCipherListを弄って設定変更。
後はOSやバージョン情報の隠避ですな。
一応、釣りエサ以外の外部から見えるものは隠したけど、そもそもこのページにこれだけOSとかの話書いているから意味無い気もするんだが。。。
さて、最後はWAFを外してどれだけ指摘項目が増えるかチェックだな。
2009-12-29(火)
スキャンしまっせ [長年日記]
_ 刺さる
みかかの某ルーターはNessus4で「やっておしまい」モードだと刺さって再起動。
出てくる脆弱性もちょいとやばそうなもの。
さっさと対応してね。。。。
LinkSysの無線は突き刺さって止まっちゃいましたw
電源リセットで回復。
もう、古いから何も期待してませぬ。。。
他はプリンタも大丈夫そう。
DVRはIP生きてるけど上物が落ちたっぽいな。
| Tweets by RC31E | |||||||||
| |||||||||
| |||||||||