So-net無料ブログ作成
前の3件 | -

CentOS 7 の firewalld

CentOS 7 の firewalld で,http, https 接続を許可して,ssh は送信元IPアドレスを制限する。
CentOS 7 は VittualBox 上に vagrant で作成した。Windows に vagrant をインストールしておくと,出来合いの CentOS 7 仮想マシンがネット経由で作成できる。
https://royalwin.blog.so-net.ne.jp/2018-12-16

初期設定は dhcpv6-client sshサービスが許可されていた。

[root@localhost vagrant]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources:
  services: dhcpv6-client ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

始めに http https 接続を許可する。

firewall-cmd --zone=public --add-service=http
firewall-cmd --zone=public --add-service=https

ssh は送信元制限を行うリッチルールを設定する。192.168.0.109 と 192.168.0.110 からの ssh 接続を許可する。

firewall-cmd --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.109" port protocol="tcp" port="22" accept"
firewall-cmd --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.110" port protocol="tcp" port="22" accept"

初期設定の ssh 接続全部許可を削除する。

firewall-cmd --zone=public --remove-service=ssh

firewall-cmd --list-all でランタイム状態を確認する。

[root@localhost vagrant]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources:
  services: dhcpv6-client https http
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:
        rule family="ipv4" source address="192.168.0.109" port port="22" protocol="tcp" accept
        rule family="ipv4" source address="192.168.0.110" port port="22" protocol="tcp" accept

ランタイムの変更は再起動時に消えて無効になってしまうので,runtime を permanent にする。

firewall-cmd --runtime-to-permanent

firewall-cmd –permanent でコマンドを実行した場合は保存されるが,リアルタイムに有効にならない。
その場合は,firewall-cmd –reload の実行で有効になる。



nice!(0)  コメント(0) 

ssh公開鍵認証で chroot SFTPファイル転送

SFTPでホームページ更新を ssh 公開鍵認証,chroot でアクセスできるディレクトリを制限する。
Windows 10 WSL で Linux が Windows 上で動く。Ubuntu や Debianもあるが,Kali Linux でやってみた。
Kali Linux には,OpenSSH 及び apache2 をインストールしてある。
コマンドプロンプトで kali と入力して Kali linux を起動する。

apache10005

ssh公開鍵認証を用意する。接続ユーザーはこの例ではatc5。
ssh-keygen コマンドで,.sshディレクトリに秘密鍵ファイル id_rsa,  公開鍵ファイルid_rsa.pub が生成される。
公開鍵ファイルは,authorized_keysにリネームしておく。
.ssh ディレクトリのパーミッションは700,.ssh/authorized_keysは600にする。

cd /home/atc5
mkdir -p .ssh
ssh-keygen -t rsa    
mv .ssh/id_rsa.pub .ssh/authorized_keys
chmod 700 .ssh
chmod 600 .ssh/authorized_keys

chroot の対象にするディレクトリは上位のディレクトリも含めてrootのみライト可(755以下)にしないと接続できない。rootでchroot用のディレクトリを作成する。

mkdir –p /home/chroot/atc5/html

/var/www/html/site1 がホームページのドキュメントルート。

drwxr-xr-x 1 root root 512 Mar  1 22:30 .
drwxr-xr-x 1 root root 512 Feb 27 22:55 ..
drwxrwxrwx 1 atc5 atc5 512 Mar  1 22:30 site1
drwxrwxrwx 1 usr1 usr1 512 Mar  1 22:29 site2
drwxrwxrwx 1 usr2 usr2 512 Mar  1 22:29 site3

site1ディレクトリのオーナーは atc5 なので,site1 に  chroot できない(オーナーがrootではないため)。
site1のオーナーをrootで755にした場合,chroot はできるか,atc5 は site1 内にファイルやサブディレクトリの追加ができない。
そこでディレクトリをマウントできる bind mount で,chrootの対象ディレクトリ下の html に site1 をマウントする。

mount --bind /var/www/html/site1 /home/chroot/atc5/html    

/etc/ssh/sshd_config を編集する。一番下に Match User atc5を以下のように追記する。 /home/chroot/atc5が chroot 先となる。

Match User atc5
        PasswordAuthentication no
        PubkeyAuthentication yes
        ChrootDirectory /home/chroot/atc5
        ForceCommand internal-sftp

再起動しても消えないように,bind mount を/etc/fstabに書いておく。   

/var/www/html/site1      /home/chroot/atc5/html  none    bind            0 0 

IPは 192.168.0.7 であり,WSL なので Windows 10 のIPと同じ。

wifi0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.0.7  netmask 255.255.255.0  broadcast 192.168.0.255

http://192.168.0.7/site1/でホームページを確認する。

site119216807


WinSCPで接続する。秘密鍵にssh-keygen コマンドで作成しておいた id_rsa ファイルを指定すると自動的にppkファイルに変換してくれる。

apache10004

公開鍵認証で接続してリモート側に html ディレクトリが表示された。chroot しているので上位のディレクトリにはアクセスできない。

apache10002


nice!(1)  コメント(0) 

WSL Kali linux のデスクトップ環境 Gnome 3 [WSL]

Windows 10 WSL で使用できる Kali linux は Microsoft Store でインストール。
WSL はコントロールパネルの「Windows の機能の有効化または無効化」で有効にする。
Windows 10 で動作するX-Window サーバ VcXsrv X Server をインストールする。
VcXsrv X Server     https://sourceforge.net/projects/vcxsrv/
VcXsrvを起動して,コマンドプロンプトで kali.exe を起動する。
デフォルトユーザーを root に変更すると,rootでシェルが起動する。kali linux は root / toor で使う。

kali config –default-user root

アップデートする。

apt-get update && apt-get upgrade

gnome をインストールする。

apt install kali-desktop-gnome

起動方法は,前に書いた ubuntu の gnome と同じ。ただし起動はかなり不安定。
https://royalwin.blog.so-net.ne.jp/2019-01-13

kali1

kali4

nmap は動かない。Metasploit をインストールすると windows defender が大量のウイルスを検知する。

kali6


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット
前の3件 | -

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。