ここんとこセキュリティ対策の話が続いてます、今朝のログには受信サーバーも送信サーバーもスキャンの形跡がありました、こわいこわい。
ということでポートスキャンを実際にやってみようの巻。
紹介っつうと変な感じですが、こんな感じです。
Authentication Failures: rhost=::ffff:***.***.***.** : 65 Time(s)
Total SMTP Session, Message, and Recipient Errors handled by Sendmail: 65
みたいな感じです。
スキャンと言えば初心者の方はポートスキャンが浮かぶと思います、Linuxだとnmapというものをインストールすれば使えるようになるので、たけけんも実際にやってみようと思います。
$ sudo yum install nmap
$ nmap localhost
PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 631/tcp open ipp
こんな結果になりました、631というポートは覚えがないっす。
ググってみるとリモートでプリンタを制御するプロトコルで(Internet Printing Protocol)の頭文字のIPPらしい、CUPSを止めれば閉じるみたい、やってみよう。
$ sudo /etc/init.d/cups stop
これでポートは閉じてまいた。
それではたけけんが借りてるサーバーをスキャンしてみませう。
PORT STATE SERVICE 53/tcp open domain 80/tcp open http 110/tcp open pop3 587/tcp open submission 631/tcp closed ipp
こっちは予定通りです。
sshはちゃんと表示がありません。(実は予定外ですが)
てなわけで、たけけんのサーバーは設定どおり動いてることが分かりました、正攻法でいくと今開いてるポートを使ってるサーバソフトウェアの脆弱性の対策をしっかりすればOKってわけか
あとはファイルの不正な変更をチェックするtripwireと、ルートキット対策のchkrootkitと
毎日のログをチェックするLogwatchを抑えとけば小規模というか、たけけんみたいに1台だけの環境とか、とりあえずはきっちり守れるのではないでしょうか。
