過去のいろいろ

セキュリティ対策としてのハニーポットというのは流行が終わってしまったのだろうか。
T-Potというディストリビューションのダウンロード用isoも消えているしDionaeaのサイトも消えているようである。
Googleでハニーポットを検索しても東大HoneyPotというユニドルのグループが出てくる始末である。

/yumのリポジトリを/etc/yum.repos.d/10genに以下の内容で追加。

[10gen]
name=10gen Repository
baseurl=http://downloads-distro.mongodb.org/repo/redhat/os/x86_64
gpgcheck=0
enbaled=1

インストール。

yum update
yum -y install mongo-10gen
mkdir -p /data/db
mongod --fork --logpath /var/log/log

/opt/td-agent/embedded/bin/fluent-gemでfluent-mongo-pluginをインストールするとfluentからmongoに書き込める

<match td.apache.access>
  type mongo

  database log
  collection access

  include_tag_key true
  tag_key tag

  host localhost
  port 27017

  flush_interval 10s
  buffer_chunk_limit 10m
</match>

https://toolbelt.treasuredata.com/sh/install-redhat-td-agent2.sh でインストールできる。

/etc/td-agent/td-agent.conf で設定。

/etc/init.d/td-agent で起動

セキュリティというのは結局金儲けのためのバズワードで成り立っているのかと思うが、標的型攻撃が流行りはじめてから名前を聞かなくなってしまったものにWAFことWeb Application Firewallというものがある。WAFの中でもフリーで利用可能なのがModSecurityだ。

適切に効果のある使い方をするためにはチューニングや運用などを検討する必要があるが、ただ単純に使ってみるだけならとても簡単である。
epelでパッケージが配布されているのでCent OSを使っている場合だと以下のようにインストール可能だ。mod_security自体はモジュールのみなのでcrs(Core Rule Set)をインストールすることで基本的な設定を導入することができる。epelではさらにcrs-extrasというパッケージも配布されている。

yum -y install epel-release
yum -y install mod_security
yum -y install mod_security_crs

しばらく動かして/var/log/httpd/modsec_audit.logを見ると攻撃をブロックしているのが確認できると思う。

Let’s Encryptではletsencrypt-autoコマンドで-dでドメインを複数指定することでマルチドメイン証明書が発行できる。発行される証明書は最初に指定したドメイン名のもので別名として複数指定したドメインが設定されている。

apacheでポート443のvirtualhostの設定を行うとマルチドメインのSSLが使えるようになるが、SSLの設定自体がvirtualhostの内側で設定するので若干冗長な感じになってしまう。