「最高レベルのセキュリティ」「過失はない」「地震のようなもの」って強調すればするほど、隠さなければならないほど初歩的で恥ずかしいミスがあったとしか思えないですねぇ(w 「それは仕様です」に並ぶ言い訳キーワードになるかも。「再考レベルのセキュリティ」なら分からなくもないですが。じょうじょうかんれんでやましいところがあるのかな(ぼうよみ
IPAに相談したってのも、「まずココを見れ!」ってツッコまれてるんじゃ。そういや、24日の時点でWindows Server 2003 Microsoft-IIS/6.0に戻ってたっぽい。
Internet Watch - 「過失はない」としながらも不正アクセスの詳細の言及は避ける http://internet.watch.impress.co.jp/cda/news/2005/05/25/7754.html ITmedia - 「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず http://www.itmedia.co.jp/news/articles/0505/25/news086.html IT Pro - 「価格.com」事件,「当社に過失はなかった」とカカクコム社長 http://itpro.nikkeibp.co.jp/free/SI/NEWS/20050525/161513/ IT Pro - カカクコムは情報をきちんと公開すべきだ http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050525/161530/
ITmedia Webアプリの脆弱性はほぼすべてのWebサイトに存在 http://www.itmedia.co.jp/enterprise/articles/0505/25/news038.html IPA - 消費者向け電子商取引サイトの運用における注意点 http://www.ipa.go.jp/security/vuln/20050304_ec_security.html
キリンビバレッジ - ニュースリリース 「午後の紅茶 ロイヤル ワインレッド」新発売 http://www.beverage.co.jp/company/news/news/2005032202/
いいかげんsshのログがうっとうしくなったのでSSHピンポンダッシュの対策をした。LoginGraceTimeを短くして、MaxStartupsで認証待ちの状態でどれだけ接続を受け付けるかという設定を厳しめに設定。当初MaxStartupsを1:100:1なんて設定にしておいたが、sshにDoSアタックがあった場合はリモートから接続できなくなることに気付いて、少し数値をゆるめておいた。ホストあたりの接続数制限だったらいいのに。iptablesでいじくるとか..。
sshdはパスワード認証等不可、公開鍵認証方式のみに設定。 詳細は以下のサイトやmanコマンドで確認のこと。 OpenSSH 日本語マニュアルページ http://www.unixuser.org/~euske/doc/openssh/jman/ Linux研究会 - インターネットサーバの構築・運用 http://www.mtc.pref.kyoto.jp/linux-ken/2003/server9.htm ITmedia - Linux Tips SSHピンポンダッシュを防ぎたい http://www.itmedia.co.jp/help/tips/linux/l0541.html /etc/ssh/sshd_configの追加設定例 ------------------------------------------------------ # ログインする際の猶予時間 # (これ以上たったらタイムアウトで切断される) LoginGraceTime 60 # 認証待ちの接続要求を許可する数 # (認証済みの接続数はカウントに入らない。) # (少しきびしめだがDoSアタックを受けた場合はきつくなるリスクはある) MaxStartups 2:90:3 # 利用できるユーザを制限 # (個人鯖、小規模だとこの制限で十分。仕事鯖だとAllowGroups等で) AllowUsers hoge ------------------------------------------------------ # root権限でのログインを禁止する PermitRootLogin no # パスワード認証を禁止する PasswordAuthentication no #空のパスワードを禁止する PermitEmptyPasswords no