「未分類」カテゴリーアーカイブ
ssh のセキュリティ強化
su コマンドで正しく root になった時に、身に覚えのない「最後の正しいログインの後に xxx 回の失敗ログインの試行があります」とメッセージが表示されたらアタックを疑った方が良い。
ログの確認
/var/log/secure ログを確認する。(Raspberry Pi なら /var/log/auth.log)
以下の様なエラーが出ていたら間違いない。
1 2 |
Oct 27 13:08:31 サーバ名 sshd[3304]: Failed password for root from IPアドレス port 13069 ssh2 secure-20151025:Oct 24 10:03:15 サーバ名 sshd[22948]: Invalid user adolfo from IPアドレス |
1行目:IPアドレスから sshを使って、rootユーザでログインしようとして失敗した。
2行目:IPアドレスから sshを使って、adolfoユーザでログインしようとした。
どこから来たか確認
「IP 国 確認」 などでググるとIPアドレスから国コードを調べるサービスが出てくる。
IPアドレスの国を調べると、Bahrain、Botswana、Brazil、Bulgaria、Canada、China、Czech Republic、France、Hong Kong、India、Iran, Islamic Republic of、Italy、Japan、Korea, Republic of、Moldova, Republic of、Netherlands、New Zealand、Nigeria、Poland、Romania、Russian Federation、Serbia、Singapore、Somalia、Suriname、Ukraine、United States
とりあえずサービス作ってみた。
対策1
/etc/ssh/sshd_conifg
1 2 |
PermitRootLogin no MaxAuthTries 6 |
1行目:リモートからのrootログインを不許可にする。リモートからは別のユーザでログインしてから su コマンドで root になる。
2行目:パスワードの間違えを何回まで許すかの設定。
設定した後は、sshd をリスタートする。
/etc/rc.d/init.d/sshd restart (CentOS6≧)とか
systemctl restart sshd (CentOS7)とか
対策2
特定の IP からの ssh アクセスを拒否る。
/etc/hosts.deny に以下の様に追記する。
1 2 3 |
sshd : 拒否するIPアドレス1 sshd : 拒否するIPアドレス2 : |
でも、はっきりいってキリがない。
対策3
特定の IP からの ssh アクセスのみ許容
/etc/hosts.allow に以下を記述
1 2 3 |
ALL: 192.168 ALL: 127.0.0.1 sshd: 許可するIPアドレス |
1行目:イントラからのアクセスを許可。172.16.x.x 系のネットワークなら 172.16 と記述
2行目:ローカルループバック接続を許可
3行目:外部からアクセスを許可する IP アドレスを記載。職場とか学校とか
/etc/hosts.deny
1 |
ALL: ALL |
全て拒否
その後 sshd をリスタート
※ 設定を失敗するとターミナルからしか接続できなくなる。
また、DHCP とかで振り直されてIPアドレスが変わっても接続できなくなる。(イントラからはOKだけど)
ちなみに、上記の設定で refused connect すると、アタックスクリプトの仕様的に4回であきらめるみたい。
bootstrapっぽくないサイトを作る
bootstrap はレスポンシブルになるなどメリットは多いが、全部 bootstrap っぽくなってしまう問題がある。
そこが良いという人もいれば、そこが嫌だという人もいる。
そこで bootsrap を bootstrap っぽくなくする方法
無料の bootstrap テーマがいくつも配布されているので、そこから気に入ったものを適用する。
いずれも テーマがいくつか用意されている。気に入ったテーマをダウンロードして使う。
# それでも bootstrap くささは拭いきれないかもしれない。 🙁
bootstrap free theme でググると更にたくさん見つかるので、他にも良いのがあったら教えてください。
Windows10 を入れた。
うちには PC が何台かあって 一台ぐらい多少不具合があってもいいので
7 Home Edition → 10 にアップグレードしてみた。
アップグレードは特に問題なくできて、Windows 10 Home になった。(3G空き容量があればいい。)
以前入っていたソフトも問題なく使えている。
正式アップグレード前の 10 テクニカルプレビュー版を仮想マシンにインストールして試していたが
それよりも、メニューまわりとかが落ち着いた感じ。
ただ問題は Wi-fi がプチプチ切れること。
最初は調子よくつながっているのだが、しばらくするとネットワークエラーになって、
タスクバーにある Wi-fi のアイコンに マークが出ている。
そうなると、 Wi-fi を一度切断して接続しないとつながらない。自動で復帰したりしない。
と思ったら、結構有名な既知の問題らしい。
あとは、ストアを立ち上げても、 のままで何も表示されない。
普段使いでは特に問題ないので、Wi-fi 問題はもうしばらく様子見かな。
Wifi が切れる原因の一つに電波強度が弱いというのがあるらしいので、Android タブレットに Wifi Analyzer を入れて調べた。
赤いのがうちので電波強度は十分。ちなみに緑のは近隣のルーター。特に干渉はしていない。
たいていの無線LANルーターの初期設定はチャンネル自動なので、近くに同じチャンネルのルーターがあると、自動的にチャンネルをずらす。
うちの近隣は1チャンネルと11チャンネルの電波強度が強めにでるので、自宅のルーターは6チャンネル固定に設定。
これで勝手に近隣がチャンネルを避けてくれるので電波干渉なくつかえる。
それでも切れる。
ちなみにIPアドレスをDHCPではなく固定にしても切れた。
もう有線しかないのかなあ。
しばらくいろいろ試してみよう。
CloudFlashを買ったのだが・・・
秋葉原の上海問屋で 『CloudFlash』 が売っていたので衝動買いしてしまった。
(1) CloudFlash は、Wi-fi でアクセスできる SDカードで、カメラに入れておいて、スマホやPCから Wi-fi で接続して画像を取ったりすることができる。
同様なものに
(2) Flucard
(3) PQI Air Card
(4) Eye-fi
(5) FlashAir
などがある。
(1)、(2)、(3) は Linux が動いていて telnet で接続ができる。
(5) も Linuxベースだが、現時点では telnet では接続できないっぽい。しかしながらAPIが公開されるなど、相当にHotSpotになっている(笑)
参照:FlashAir Developers
使い方
CloudFlash を挿したデジカメやUSBアダプタ経由で電源を入れるとしばらくすると、無線の一覧に CloudFlash が表示される。
無線LANスポットから選んで接続すると、ブラウザから http://192.168.1.1/ にアクセスすることでCloudFlashのWebページが表示されるので、ここから設定したり画像をダウンロードする。
iOS や Android から接続できる専用アプリも用意されてる。
ちなみに、telnet や ftp でパスワードもなくさくっと接続できていろいろ遊べる。
通常は、CloudFlash が無線LANのサーバになる感じ。
/proc/cpuinfo
[code lang=”bash”]
Processor : ARM926EJ-S rev 5 (v5l)BogoMIPS : 421.06Features : swp half fastmult edsp javaCPU implementer : 0x41CPU architecture: 5TEJCPU variant : 0x0CPU part : 0x926CPU revision : 5Hardware : KeyASIC Ka2000 EVMRevision : 0000Serial : 0000000000000000
[/code]
/proc/version
[code lang=”bash”]
Linux version 2.6.32.28 (root@ubuntu-desktop) (gcc version 4.5.2 (Sourcery G++ Lite 2011.03-42) ) #137 PREEMPT Fri Mar 22 18:21:52 CST 2013
[/code]
インフラストラクチャモードにならないよう
でも、やはり自宅の無線LAN環境に接続したいので、インフラストラクチャモードにするべく、いろいろ試してみたのだがまだ解決できていない。
SDカードのルートディレクトリに autorun.sh を置くと、それが実行されるので、そこでネットワークの設定を記述する。
autorun.sh は linux 側の /etc/init.d/rcS の中に SD のルートに autorun.sh があれば、それを実行する記述があるので実行される。
基本的に SDカード内の linux は ReadOnly で、SD カード(/mnt/sd にマッピング)または、/mnt/mtd/ からコピーして使う。
autorun.sh にシンボリックリンクの設定をして、 SD に html を置けばそれが使えるようになるし、Perl のスクリプトも記述できる。
(ただし、Perl が動くのは /cgi-bin 以下のみ)
autorun.sh から wpa_supplicant を使ってWPA認証の無線LANルーターに接続できるようにするという理屈はわかるのだが
Wifi設定を弄っているだけあって、ちょっとしくじるとスグ接続できなくなる。
それでも、まあつながらなくなったら、SDカードをフォーマットすると工場出荷時に戻る。
# 多分 DICM とか 指定の画像とかがないと、リカバリするようになっているんだと思う。
こんなことなら PQI Air Card とか、最初からアクセスポイントに接続できるカードを買えばよかったよ。
CloudFlash 情報少なすぎ。
最近 Androidスティックに興味がある。
最近、知人から「Android スティックに Linux 載せて云々・・・」という話を聞いて、俄然興味が出てきた。
Linux ボードは良くても Dual コア留まりなのに(Odroidとか例外はある)、Quad とか出ている。
しかも Ubuntu っぽいのが載るらしい。
ダメならだめで本来の使い方すればいいだけだしね。
この小ささで、Wifi、bluetooth 付きというのは嬉しい。
I/O はないけどね。
VIERAのスカイプ用カメラ
うちのテレビはVIERAだ。
もちろんネットワークにつながっているので、Youtube を見たりできる。
なので、スカイプつかったらどうなるだろうと、うちにころがっていたカメラを2・3個試した。
結果は軒並みエラー。
「ビエラ コミュニケーションカメラをつないでください。」と表示される。
純正品を買わないとだめなのかな。
結構いい値段するんだよな。
実験のためだけに9K円は払えないよ。