外部にさらす前に、入れておくべきものをしこしこ入れている。
apt-get install tiger tripwire systraq logcheck scanlogd snort oinkmaster snort-doc
��scandetdって、無くなったんだっけか?
まぁ、全部動かすかどうかは別として、まずは手元でいじってみることにする。
またiptablesも不要portへの入出力はふさぐ予定。
ざっくりこういう感じか?
# Generated by iptables-save v1.2.6a on Xxx X xx xx:xx:xx 200x
*filter
[0:0] -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
#すでにさらしているあるマシンは、SPAMMERのソースIPアドレスでport25への
#コネクトを個別に絞っているけど、ここでは省略
[0:0] -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
#sshのソースIPアドレスも絞った方がいいな
[0:0] -A INPUT -p udp -m udp --dport 1343 -j DROP
[0:0] -A INPUT -p tcp -m tcp --dport 20:21 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
[0:0] -A INPUT -p udp -m udp --sport 53 -j ACCEPT
[0:0] -A INPUT -p udp -m udp --dport 53 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 873 -j ACCEPT
[0:0] -A INPUT -i lo -p tcp -j ACCEPT
[0:0] -A INPUT -p icmp -j ACCEPT
[0:0] -A INPUT -i eth0 -m state --state INVALID,NEW -j DROP
[0:0] -A FORWARD -p udp -m udp --dport 1343 -j DROP
[0:0] -A FORWARD -i eth0 -m state --state INVALID,NEW -j DROP
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --dport 6666:6668 -j DROP
COMMIT
もうちょっと見直すか。
追加で
返信削除apt-get install bastille cron-apt checksecurity lcap nmap xprobe
を実施。
これもいじってみるか。