ntpdのセキュリティ対策

2014年2月に問題となったntpdの機能へのセキュリティ対策についての備忘録

参照：ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起https://www.jpcert.or.jp/at/2014/at140001.html

自分の職場のサーバでntpdを使用している場合、時刻同期先のNTPサーバを職場で用意してくれているものを利用するという対策をとった。

職場で配布された対策マニュアルには、”$  /usr/sbin/ntpq -c rv”

で、ntpdが動いているかどうかを確認・・・とあったが、うちの10.04サーバーでは単に

$  ntpq -c rv

だけで、

assID=0 status=c011 sync_alarm, sync_unspec, 1 event, event_restart,

version="ntpd 4.2.4p8@1.1612-o Tue Apr 19 07:08:18 UTC 2011 (1)",

processor="x86_64", system="Linux/2.6.32-21-server", leap=11,

（以下略）

と返ってきた。バージョンは4.2.4p8らしい。

次に、時刻同期先を

$  ntpq -pn

で調べ、外部サーバを使っていることを確認。対策マニュアルに「確認されたバージョンが4.2.7p26 より古いものの場合や、職場内部のNTPサーバと同期していない場合は/etc/ntpd.confを編集します」とのこと。

viなどで編集するべきだが、今回はftpでファイルを入手し、手元で書き換えてから戻した。

まず、以下の部分が有効になっていることを確認。原則NTP通信を行わないという設定。

restrict -4 default kod notrap nomodify nopeer noquery

restrict -6 default kod notrap nomodify nopeer noquery

その後、”server....."などで指定されている外部サーバの行をコメントアウト、もしくは削除して、末尾に職場内サーバを指定。

server （職場内NTPサーバ1）

restrict （職場内NTPサーバ1） mask 255.255.255.255 nomodify notrap noquery

server （職場内NTPサーバ2）

restrict （職場内NTPサーバ2） mask 255.255.255.255 nomodify notrap noquery

disable monitor

以上で設定終了なので、ファイルを上書きしてからntpdを再起動。

$  sudo /etc/init.d/ntp restart

最後に、ちゃんとこれらのNTPサーバを参照しているかどうかを”$  ntpq -pn”で確認。

Apache Struts 2のセキュリティ問題への対応：備忘録

管理者からの調査依頼内容
--------
2014/4/18、Webサーバで広く使用されている「Apache Struts2」で脆弱性が発見されました。
詳細は以下の通りです。

■影響を受けるバージョン
　2.0.0 から 2.3.16 まで
　
■バージョンの確認方法例
　Apache Struts 2 を利用しているウェブアプリケーションの
　 /WEB-INF/lib ディレクトリを開き、struts2-core-2.x.x.x.jar
　ファイルの名称を確認してください。
　2.x.x.x の部分が、利用している Struts 2 のバージョンです。
--------

実験機器用のサーバ（Ubuntu 10.04 LTS Server）なので、Apacheを使っていることは理解していたが、Strutsが使われているかどうかは全く不明。そこでまず、

$ find / -name struts2-core*.jar

で、該当ファイルを探すも、見つからず。ということは使われてないっぽい。
念のため、パッケージリストを確認。出力を手元に持ってくればいいのだが、今回は目視で。

$ dpkg -l | less

Ubuntuでのアクセスログの確認

サーバを立ててる時のログがどこにあるか。

※Apacheをつかっている時のアクセスログとエラーログ
　/var/log/apache2
　access.log
　error.log

※SSHのアクセスログ
　/var/log/auth.log（ログイン記録）

※sshdのアクセスログの取得法
　$ grep -c Invalid /var/log/secure
　$ grep -c Failed /var/log/secure
　$ grep -c Accepted /var/log/secure

Ubuntu 12.04LTSになってからのグループの設定

VirtualBox のバージョン ： 4.1.18
ホストOS ： Windows7 64-bit
ゲストOS ： Ubuntu 12.04LTS


1. 共有フォルダは、まずVirtualBoxの「デバイス」→「共有フォルダ」から設定。

2. この時、自動マウントしておくと、ゲストLinuxを立ち上げたときに/media/sf_○○にマウントされる。

3. Ubuntu 12.04では、「システム設定」の中からグループ設定をすることができない？ので、

$ sudo gedit /etc/group

として、/etc/groupを編集して、vboxsfというグループに自分を参加させる。

環境設定：基本操作その1

■ディレクトリの移動

例えば、/home/○○/document/を、/opt/document/に移動したい場合、

sudo mv /home/○○/document/ /opt/
とすれば充分。

sudo mkdir /opt/doc
とやってから、
sudo mv /home/○○/document/ /opt/doc/
とやると、documentディレクトリが/opt/doc/以下に作成される。


■pathの通し方

.profileに、

export PATH=$PATH:/opt:/opt/○○

などと追記して、

source .profile
を実行し、その後

echo $PATH
でパスが通ったことを確認。

NGS解析用ソフトのインストール

■Samtoolsなど

Ubuntuソフトウェアセンターより検索して、SamtoolsとBWAはインストールが可能。
ちゃんと最新版が入ってくれる。

■Bowtieのインストール

Sourceforgeから最新版をダウンロード。
適当なフォルダに解凍して、makeすれば使える。

※インストールに際し、参考にさせていただきました。
http://d.hatena.ne.jp/sesejun/20100728/p1

Virtual Box 4.0.6でLinuxゲストを使うときの、共有フォルダの設定

VirtualBox のバージョン ： 4.0.6

ホストOS ： Windows7 64-bit
ゲストOS ： Ubuntu 11.04

1. 共有フォルダは、まずVirtualBoxの「デバイス」→「共有フォルダ」から設定。

2. この時、自動マウントしておくと、ゲストLinuxを立ち上げたときに/media/sf_○○にマウントされる。

3. Ubuntu 11.04では、右上の電源ボタンから「システム設定」を開き、「ユーザーとグループ」からvboxsfというグループに自分を参加させる。

以下、日記。

----------------

数日前にVirtualBoxをアップデートした途端に、それまで使えていたUbuntu 10.10の共有フォルダがマウントされなくなってしまった。
何度も
sudo mount.vboxsf ○○ /home/××/○○
と試してみても、
/sbin/mount.vboxsf: mounting failed with the error: Invalid argument
と怒られてしまう。
ゲストOSが壊れたのかと、10.04LTSなども使ってみたり、何度もインストールしなおしたがダメ。
ググッてみたが解決策を見つけられず、仕方なくHelpファイルを見てみると・・・

With Linux guests, auto-mounted shared folders are mounted into the /media directory, along with the prefix sf_. For example, the shared folder myfiles would be mounted to /media/sf_myfiles on Linux and /mnt/sf_myfiles on Solaris.

The guest property /VirtualBox/GuestAdd/SharedFolders/MountPrefix determines the prefix that is used. Change that guest property to a value other than "sf" to change that prefix; see Section 4.6, “Guest properties” for details.

Note

Access to auto-mounted shared folders is only granted to the user group vboxsf, which is created by the VirtualBox Guest Additions installer. Hence guest users have to be member of that group to have read/write access or to have read-only access in case the folder is not mapped writable.

というわけで、どうやら自動マウントにしておくと、勝手に/media/sf_○○にマウントされるらしい。
そのままではこのフォルダはvboxsfというグループに属しているので、自分をこのユーザーグループに参加させて、再起動したら、ちゃんとこの共有フォルダにアクセスできるようになった。
# それにしても、リリース直後のUbuntu 11.04を使おうという考えたために、Unityの使い方から調べ直すという愚に陥ったのは、われながらミーハーな性格が災いしているなぁと反省・・・