FC2ブログ

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

CentOS 5.x 6.xでのbash脆弱性対応

先週末に注意喚起されているbashの脆弱性ですが、保守顧客のCentOS 5.xと6.xのサーバーで対応したのでメモ。CGIとか経由して悪用される可能性があるので、Webサーバーを公開しているとこはOUTだと思った方がいい。


■脆弱性があるかどうかの確認

# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test


envで始まるコマンドを実行し、上記のように vulnerable を含む結果が返ってくると脆弱性があるbashなので対応が必要


■bashのバージョン確認

# yum list installed | grep bash
bash.x86_64 4.1.2-15.el6_4 @updates



■bashのアップデート

# yum clean all
# yum -y update bash



■bashのバージョン確認

# yum list installed | grep bash
bash.x86_64 4.1.2-15.el6_5.2


CentOS 6.xなら bash-4.1.2-15.el6_5.2 になっていればOK
CentOS 5.xだと bash-3.2-33.el5_10.4 になる。


■ldconfigの実行

# /sbin/ldconfig



■再度bashの脆弱性を確認する

# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test


vulnerableが返ってこなければOK
スポンサーサイト

[Logwatch] DovecotのDisconnected: Logged outエントリを消す

CentOS 6.xのLogwatchで、Disconnected: Logged outなんちゃらとDovecotのログアウト情報が延々とエントリーされてウザイのでどうにかした話。

SourceForge/Logwatch Code
↑まずはここから最新のdovecotスクリプトと、dovecot.confファイルを落としてきます。

dovecotスクリプトは /etc/logwatch/scripts/services/の下に「dovecot」ファイルとして置きます。
dovecotのconfファイルは /etc/logwatch/conf/services/の下に「dovecot.conf」ファイルとして置きます。

これだけだとDisconnected: Logged outがエントリーされなくなるかわりに、ログイン情報が延々と表示されるようになるので/etc/logwatch/scripts/services/dovecotを修正。


# vi /etc/logwatch/scripts/services/dovecot

pop3のログイン情報を出力しない
157行目の「info:」を消します※赤字のところ

} elsif ( ( ($User, $Host) = ( $ThisLine =~ /^pop3-login: Login: (.*?) \[(.*)\]/ ) ) or
( ($User, $Host) = ( $ThisLine =~ /^pop3-login: Info: Login: user=\<(.*?)\>.*rip=(.*)\, lip=/ ) ) ) {



} elsif ( ( ($User, $Host) = ( $ThisLine =~ /^pop3-login: Login: (.*?) \[(.*)\]/ ) ) or
( ($User, $Host) = ( $ThisLine =~ /^pop3-login: Login: user=\<(.*?)\>.*rip=(.*)\, lip=/ ) ) ) {


imapのログイン情報を出力しない
166行目の「info:」を消します※赤字のところ

} elsif ( ( ($User, $Host) = ( $ThisLine =~ /^imap-login: Login: (.*?) \[(.*)\]/ ) ) or
( ($User, $Host) = ( $ThisLine =~ /^imap-login: Info: Login: user=\<(.*?)\>.*rip=(.*)\, lip=/ ) ) ) {



} elsif ( ( ($User, $Host) = ( $ThisLine =~ /^imap-login: Login: (.*?) \[(.*)\]/ ) ) or
( ($User, $Host) = ( $ThisLine =~ /^imap-login: Login: user=\<(.*?)\>.*rip=(.*)\, lip=/ ) ) ) {


修正したらlogwatchの出力確認。
# logwatch --print

VMware Toolsが起動しない場合の対処方法

CentOSでVMware Toolsが起動しなくなった場合の対処方法

yum updateでカーネルのバージョンが上がったりすると VMware Toolsが起動しなくなる場合があります。もう一度インストールし直してもいいんだろうけど、あまりスマートじゃない気がするのでその場合の対処方法を。

ステータスを確認すると・・・起動していない
[root@vm01 ~]# status vmware-tools
vmware-tools stop/waiting

手動で起動しようとしてもダメ
[root@vm01 ~]# start vmware-tools
start: Job failed to start

コンフィグスクリプトを走らせる
[root@vm01 ~]# /usr/bin/vmware-config-tools.pl
Initializing...

全てEnterで応答する

ゲストOSの再起動
[root@vm01 ~]# shutdown -r now

再起動後 VMware Toolsの起動確認
[root@vm01 ~]# status vmware-tools
vmware-tools start/running

【Linux】サーバーのバージョン情報を非表示にする

Webサーバーやメールサーバーのバージョン情報を非表示にする方法。


■Apache 2.2x
conf/extra/httpd-default.confを変更

ServerTokens Full

ServerTokens ProductOnly

ServerSignature On

ServerSignature Off



■BIND
named.confのoptionsに「version "";」を記述

options {
version "";
};



■Postfix
main.cfのsmtpd_bannerのコメントアウトを解除

#smtpd_banner = $myhostname ESMTP $mail_name

smtpd_banner = $myhostname ESMTP $mail_name

メールアカウントを大量に作成する時のコマンド

新規にメールアカウントを200ほど作る必要がありましたので下記手順で登録しました。

①ユーザーアカウントの作成
useradd -s /sbin/nologin -M user01
useradd -s /sbin/nologin -M user02
useradd -s /sbin/nologin -M user03



useradd -s /sbin/nologin -M user200

※オプションはsshやtelnetでログインさせない&homeディレクトリを作成しないです。

アカウントの作成は普通にuseraddで追加するだけです。Excelで加工して、メモ帳等で
テキストの形式に保存。あとはコマンドをコピペするだけですね。

問題はパスワードなんですが、passwdでパスワードを登録するとパスワードを2回入力
する必要があるので、コマンドのコピペじゃうまくいきません。


②パスワードの登録
パスワードをまとめて登録したい場合はchpasswdコマンドを使用します。
アカウント名:パスワード の書式でテキストファイルを用意します。

user01:password
user02:password
user03:password



user200:password ←最終行は改行しないように注意して下さい

これをpasswd.txt(任意のファイル名)で保存して、後はchpasswdにファイルを読ませます。

# chpasswd < passwd.txt

/etc/shadowを見るとちゃんと暗号化された状態でパスワードが登録されています。

FC2カウンター

プロフィール

yuitopapa

Author:yuitopapa
 
[自己ベスト]
5km:19分44秒(1人TT 2015)
10km:41分45秒(足立2016)
Half:1時間30分40秒(印西2017)
Full:3時間11分39秒(古河2017)
※全てネットタイム

JogNote
最新記事
最新コメント
最新トラックバック
カテゴリ
月別アーカイブ(折りたたみ)
ブロとも一覧

広くてそれなりに深いブログの筈
検索フォーム
リンク
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。