■cryptsetupの暗号化方式について 以下では、暗号化アルゴリズムをaes、ハッシュアルゴリズムをsha256、キーサイズを256とした。 debian Wheezyにdm_cryptを導入 http://d.hatena.ne.jp/labunix/20130516 ■dm-cryptとLUKSの組み合わせであること。 $ man cry…
■postfixを自身で作成した自己署名証明書のSSL対応にする。 「ssl-cert-snakeoil.pem」や「ssl-cert-snakeoil.key」を そのまま上書きする方法にも意図しないデーモンへの反映、上書きの可能性など、 メリット、デメリットが存在する。 ■自己署名証明書の作…
■debian Wheezy/Squeeze共に。 ■PAMのログインユーザをrootに制限する。 $ sudo touch /etc/nologin [sudo] password for labunix: $ ssh localhost password: Connection closed by 127.0.0.1 ■「pam_nologin」モジュールと同モジュールが参照する「/etc/no…
■「John the Ripper」と「cracklib」でパスワードの脆弱性をチェックする カスタム辞書を用意することで、個人的な、あるいはローカルな単純パスワードを効率的に発見できます。 勿論、パスワード強度の高いパスワードを設定するよう促す為の検査です。 ■環…
■debian Wheezyにdm_cryptの導入 使用用途は例えば、外付けのUSBディスクのデータの暗号化。 後述するが、読み書きの性能が低下するので、 小さな暗号化イメージを作成して扱うのもひとつの方法。 $ sudo apt-get install -y cryptsetup $ apropos cryptsetu…
■Wheezyにnagios3を導入する。 デフォルトのアカウントは「nagiosadmin」。 $ sudo apt-get install -y nagios3 $ sudo find /etc/nagios* -type f -print | sudo grep admin `xargs` /etc/nagios3/conf.d/generic-service_nagios2.cfg: contact_groups admi…
■Wheezy+openssl+apache2で使える自己署名証明書を作成する 以下の作業は面倒なので。。。 Wheezyのopensslでダイジェスト計算、ローカルCA認証局、自己署名証明書 http://d.hatena.ne.jp/labunix/20130513 ■DES3で暗号化した2048bitRSA秘密鍵(.key)、CSR/明…
■Wheezyのopensslでダイジェスト計算、ローカルCA認証局、自己署名証明書 opensslには多くの使い方がある。例えば以下も。 bashで素数×素数の生成(openssl/factor) http://d.hatena.ne.jp/labunix/20130227 opensslのaes-256-ofbでファイル暗号化 http://d.h…
■w3mで、LPI Japan が公開している例題をローカルに保存する(改定版) 以下の改定版です。このままだと「wget -r」や「curl」で充分になってしまうので。。。 w3mで、LPI Japan が公開している例題をローカルに保存する。 http://d.hatena.ne.jp/labunix/2011…
■Squeeze上のsid chrootにjessieのchroot環境を構築 Wheezyが安定版となったことにより、2013/05/03にjessieテスト版 (testing)が出ました。 ■wheezy の次の Debian のメジャーリリースのコードネームは、「jessie」です。 Debian「jessie」リリース情報 htt…
■WheezyのSamba3でNTドメインコントローラを構築。 Windoswドメインの代替として、Sambaドメインを構築可能。 NTLM認証とは、pdbeditによるSAM認証のことを指すものとする。 Windowsでは、NT LanManager (NTLM) セキュリティを使って、 ローカルのセキュリテ…
■ホームディレクトリの共有の設定 path行を追加 $ testparm -s 2>&1 | grep -A 6 "^\[homes\]" [homes] comment = Home Directories path = /home/%U valid users = %S create mask = 0700 directory mask = 0700 browseable = No $ sudo smbcontrol smbd re…
■Samba3ユーザ管理 $ pdbedit -L | grep "許可" tdb(/var/lib/samba/passdb.tdb): tdb_open_ex: could not open file /var/lib/samba/passdb.tdb: 許可がありません Could not open tdb: 許可がありません $ sudo pdbedit -L | grep ":.*:" labunix:1000:lab…
■Wheezyのsamba3のログで最初に気になるのはCUPSのとの接続エラーだと思います。 「cups-pdfを入れると良いですよ。」に至るまでのちょっと長い話。 pdbeditの話は置いといて。。。 $ sudo smbpasswd -a labunix && sudo smbpasswd -e labunix New SMB passw…
■sambaの導入。 ※Wheezyでは「samba*」のような指定をすると、samba3,samba4の区別が付かない。 winbindやdbgは必須では無い。 「xinetdじゃなくinetdなんだ。」とかはスルーします。 $ sudo apt-get source --download-only samba $ gunzip -c samba_3.6.6-…
■「Net::LDAP」モジュールの導入 SqueezeにはパッケージがあるのでCPANは使わない。 $ apt-cache search Net::LDAP | grep perl libauthen-sasl-cyrus-perl - Perl extension for Cyrus SASL library libnet-ldap-perl - client interface to LDAP servers l…
■Postfixを導入、初期設定 $ sudo apt-get install -y postfix $ sudo dpkg-reconfigure postfix ■転送用のファイルの作成 $ hostname -f lpic3.openldap.local $ echo "openldap.local:[lpic3.openldap.local] .openldap.local:[lpic3.openldap.local] " | …
■WheezyのslapdでApacheのBASIC認証をLDAPと連携する ※LDAP認証のみのためUNIXアカウントのみのユーザも見れません。 ■apache2の導入 まずは待ち受けを「localhost」に限定します。 $ sudo apt-get install -y apache2 $ sudo grep ^Listen /etc/apache2/por…
■読み込まれているSchemaの確認。 $ sudo ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=schema,cn=config -W "schema" Enter LDAP Password: SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=…
■環境は以下。 別に初期化しなくても良いw。 WheezyでLDAP認証、SSHログイン http://d.hatena.ne.jp/labunix/20130418 slapdのDBのバックアップ(3パターン+1)、DBの初期化、リストア http://d.hatena.ne.jp/labunix/20130419 slapdのログをsyslogに渡す http…
■デフォルトではモノ言わぬslapdらしいが、「/var/log/syslog」に出るのは、 DEBUGレベル256の簡易ログといったところか。。。 環境は以下。 WheezyでLDAP認証、SSHログイン http://d.hatena.ne.jp/labunix/20130418 slapdのDBのバックアップ(3パターン+1)、…
■slapdのDBのバックアップ(3パターン+1)、DBの初期化、リストア WheezyでLDAP認証、SSHログイン http://d.hatena.ne.jp/labunix/20130418 ■バックアップとバックアップデータの検証 $ sudo slapcat -s "dc=openldap,dc=local" -l backup.ldif $ sudo slapadd…
■vmplayer上のWheezyにslapdを導入 ※ディスクを8GB⇒16GB、不要なUSB等は削除、ネットワークはNAT一本。 インストールでは、Debianデスクトップとプリンタサーバのチェックを外した。 [2013-02-17] Debian インストーラ 7.0 リリース候補 (Release Candidate)…
■4月13日、渋谷でシェル芸勉強会に参加していないのに解いてみた。 USP友の会「4月13日、渋谷でシェル芸勉強会」の予習をしたい方向け http://d.hatena.ne.jp/labunix/20130325 20130413シェル芸勉強会スライド http://www.slideshare.net/ryuichiueda/20130…
■同様の機能として、Tripwireがあります。 chkrootkit、tripwire、clamavチェック http://d.hatena.ne.jp/labunix/20120830 ■AIDEとは。 $ apt-cache show aide | grep ^Desc -A 16 Description-ja: 進化した侵入検知環境 - スタティック版ライブラリ AIDE …
■スワップの認識、3GB以上のメモリの認識、グラフィックの認識(?)の失敗に対処する。 Squeeze amd64版での症状。 3つ目のグラフィックの認識は放置することにしました。(後述) $ lsb_release -a No LSB modules are available. Distributor ID: Debian Descr…
■大抵のLinuxでは「mkpasswd/pwgen/apg」の3種類の自動パスワード生成コマンドが使える。 基本的に「/dev/urandom」から得るので、どうしてもパッケージが使えないなら下記でも良い。 ■pwgenに相当するパスワードを作成 $ dd if=/dev/urandom count=10 bs=51…
■参考 超制限付きユーザーの作り方 http://ameblo.jp/itboy/entry-10054454911.html 特定のコマンドしか実行できないユーザーIDを作成するには http://www.atmarkit.co.jp/flinux/rensai/linuxtips/363rbashuser.html ■Squeezeには既に「rbash」がある。 制…
■導入がまだなら。。。 Squeezeにfail2banを導入する http://d.hatena.ne.jp/labunix/20130323 ■fail2banのステータスを一覧する。 $ sudo grep "^\[\|= false\|= true" /etc/fail2ban/jail.conf | \ grep -v "^#\|DEFAULT" | \ xargs echo -n | \ sed s/"en…
■chroot環境のsidでSL5/6を導入、ホストのSqueezeに移動する chroot環境のsidで、rinseを使ってCentOS5/6のchroot環境を構築 http://d.hatena.ne.jp/labunix/20130313 ■rinseの導入は下記。proxyは「wgetrc」を編集 $ sudo chroot /home/labunix/cifs/sid ap…
