2014年4月のアーカイブ

Search




TOPページへ

このブログのフィードを取得
[フィードとは]

Powered by
Movable Type 4.23-ja

template by tokyobuddha

 ■■■■■免 責■■■■■
このサイトを参考にしたために発生した一切の損害に「てきとー管理者」は一切関知しませんし、補償もしません。 また、本サイトの記述が正しいことも保証しません。
自己責任にてお願いします。
 -------------------------

Galler Chocolate
ベルギー王室御用達として認定されたチョコレートブランド、ガレー。

岩塩ならクリスタルキンガ
野菜、肉、魚など素材本来の味を引き出します。上質でクセがなく西洋料理はもちろん中華、日本料理にも幅広くお使い頂けます。

DNSサーバーへのDDoS攻撃

久々に個人利用のサーバーが落ちた。
原因を調査したらmessagesに大量に 'isc.org/ANY/IN' denied が記述されていた。
再帰的問い合わせは受け付けていないが、何故か影響を受けたらしい。

iptablesでも対応できるが、Bindにて対応させるのが良いだろうと言うことで、下記
の様に設定してみた。

●blackholeの設定

# vi named.conf

options {
(省略)
blackhole {
XXX.XXX.XXX.XXX; ←ホスト指定
XXX.XXX.XXX.0/24; ←ネットワーク指定
(省略)
};
(省略)
};


こんな感じでblackholeを登録すると、messagesへの書き込みすら無くなる。
当然、問い合わせも弾いてくれる

とってもいい感じ(^^)

投稿時間: 23:42

CentOS6.5にGOOGLEの2段階認証を設定してみた。

まず、環境を整えるために開発環境をインストール。
すでにインストール済だったので、pam-develの追加インストールを行なった。

作業するディレクトリに移動して、google-authenticatorをダウンロード

# /usr/local/src
# wget http://google-authenticator.googlecode.com/files/libpam-google-authenticator-1.0-source.tar.bz2
# tar jxvf libpam-google-authenticator-1.0-source.tar.bz2
# cd libpam-google-authenticator-1.0
# make && make install

インストールまで完了したら、google-authenticatorを実行

# google-authenticator
# google-authenticator

Do you want authentication tokens to be time-based (y/n) y
https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@DOMAINNAME%3Fsecret%3D■■■■■■■■■■■■■■■■■
Your new secret key is: ■■■■■■■■■■■■■■■■■
Your verification code is XXXXXXXXX
Your emergency scratch codes are:
XXXXXXXXX
XXXXXXXXX
XXXXXXXXX
XXXXXXXXX
XXXXXXXXX
↑「バックアップコード」らしい・・・
 ※一部文字を伏せています。

Do you want me to update your "/root/.google_authenticator" file (y/n) y
↑ ~/.google_authenticator ファイルを作成または更新します。更新した場合、QR コードの読み込みを再度行う。
これを何度か繰り返して、ログイン出来ずに煮詰まりました。

Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y
↑ 同じ認証コードを 2 回以上使えないようにします (中間者攻撃やリプレイ攻撃を防ぐため)。認証コードは 30 秒間同じものを使うため、30 秒以内に再度ログインすることはできなくなります。推奨値は y。

By default, tokens are good for 30 seconds and in order to compensate for
possible time-skew between the client and the server, we allow an extra
token before and after the current time. If you experience problems with poor
time synchronization, you can increase the window from its default
size of 1:30min to about 4min. Do you want to do so (y/n) y
↑ サーバとクライアントの時間のズレの許容値を、90 秒から 240 秒に増やします。時間がズレやすいホストの場合は y。通常の推奨値は n。

If the computer that you are logging into isn't hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting (y/n) y
↑ 30 秒間に試行できるログインを 3 回までに制限します。推奨値は y。


これだけで基本設定は完了。

携帯に認証のAPPをインストールし、上記の
https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@DOMAINNAME%3Fsecret%3D■■■■■■■■■■■■■■■■■
PCのプラウザでアクセスし、読み込ませる。


その後、サーバー側でSSHの設定を変更

/etc/ssh/sshd_config を変更

PasswordAuthentication yes
ChallengeResponseAuthentication yes
#ChallengeResponseAuthentication no
UsePAM yes


/etc/pam.d/sshd を変更

一番上に
auth required pam_google_authenticator.so
を追加。
そしてsshdをrestart

これで行けるはず。


投稿時間: 15:06