情報技術の四方山話

AI、IoT、ヤマハルータ、VPN、無線LAN、Linux、クラウド、仮想サーバと情報セキュリティのよもやま話

Linux / shredでHDD、SSD、USBメモリの内容を破棄用に消去する

2020-10-13 19:50:41 | 情報セキュリティ
今回のお題は「Linux / shredでHDD、SSD、USBメモリの内容を破棄用に消去する」です。
Linuxで様々なHDD、SSD、USBメモリをフォーマットを問わず消すことができます。

HDDやメモリを破棄する際は、その内容がきれいに消えているのかが気になります。情報を守るためには、不要となったディスクは、機械的に内容を消去します。

私の場合は、XP時代の古いPCを再利用し、ディスク消去専用のLinux PCを作りました。RAMは4G、OSディスクは40Gですが、ディスク消去専用Linux Serverには十分な性能です。

消去HDDの取り付けには、ずいぶん前に購入したUSB2.0接続の多インタフェイス型のHDD取り付けアダプタを使います。3.5inch PATA, SATA。2.5inch PATAに対応します。このアダプタは電源アダプタ方式のセルフパワー。このようなUSB-HDDアダプタを複数つなげば、同時並行で複数のディスクを消すことができます。

消去専用PCにしたのは、誤って自機のOSディスクを破壊する可能性があるからです。もし間違って自機のディスクを消去しても、被害は限定的です。

消去にはLinux標準の"shred"コマンドを使います。日本語の「シュレッダー」の語源ですね。
消去するディスクをUSB-PATA/SATA変換アダプタ経由で接続し、消去対象であることを確認の上、消去ソフトを実行します。



■消去する前に消去対象ディスクであることを確認
自機のOSディスクは"/dev/sdb"に、消去対象は"/dev/sda"で認識されています。
root@tubs01:~# lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
loop0 7:0 0 55.3M 1 loop /snap/core18/1885
loop1 7:1 0 68.6M 1 loop /snap/lxd/17629
loop2 7:2 0 30.3M 1 loop /snap/snapd/9279
sda 8:0 0 74.5G 0 disk
├─sda1 8:1 0 36.5G 0 part
└─sda2 8:2 0 38G 0 part
sdb 8:16 0 74.5G 0 disk
├─sdb1 8:17 0 512M 0 part /boot/efi
├─sdb2 8:18 0 1K 0 part
└─sdb5 8:21 0 74G 0 part
├─vgtubs01-root 253:0 0 17.7G 0 lvm /
└─vgtubs01-swap_1 253:1 0 976M 0 lvm [SWAP]
sr0 11:0 1 1024M 0 rom

root@tubs01:~# fdisk -l /dev/sda
ディスク /dev/sda: 74.54 GiB, 80026361856 バイト, 156301488 セクタ
Disk model: A
単位: セクタ (1 * 512 = 512 バイト)
セクタサイズ (論理 / 物理): 512 バイト / 512 バイト
I/O サイズ (最小 / 推奨): 512 バイト / 512 バイト
ディスクラベルのタイプ: dos
ディスク識別子: 0x0f6a6a25

デバイス 起動 開始位置 最後から セクタ サイズ Id タイプ
/dev/sda1 * 63 76597919 76597857 36.5G 7 HPFS/NTFS/exFAT
/dev/sda2 76597920 156296384 79698465 38G 7 HPFS/NTFS/exFAT

■消去コマンドを実行
以下のコマンドでは"-n 1"で一回消去を指定しています。指定なしのデフォルトでは3回消します。

"ディスク指定に厳重注意。ディスクは全消去となる"
root@tubs01:~# shred --verbose --random-source=/dev/urandom -n 1 /dev/sdX

■消去できたことを確認
パーティション情報の表示もなくなりました。
root@tubs01:~# fdisk -l /dev/sda
ディスク /dev/sda: 74.54 GiB, 80026361856 バイト, 156301488 セクタ
Disk model: A
単位: セクタ (1 * 512 = 512 バイト)
セクタサイズ (論理 / 物理): 512 バイト / 512 バイト
I/O サイズ (最小 / 推奨): 512 バイト / 512 バイト
root@tubs01:~#

いつもアクセスありがとうございます。情報安全管理についても情報を共有します。引き続きよろしくお願いします。

コメント
この記事をはてなブックマークに追加

Linux/Ubuntu 16.04 LTSにウイルス対策ソフトClamAVをインストール

2017-12-05 16:57:12 | 情報セキュリティ
匠技術研究所

Linux/Ubuntu 16.04 LTSにウイルス対策ソフトClamAVをインストール



Ubuntu 16.04
LTSの日本語デスクトップを、開発やテスト用に使っています。ウイルス対策ソフトのスキャン速度を知るために、Linux上で動作するClamAVをインストール、スキャンしてみました。

■ウイルス対策ソフトClamAVのインストール
takumi@KVM:~$ sudo apt update
takumi@KVM:~$ sudo apt install clamav

■ウイルス検出データーの更新
Ubuntu 16環境では、ClamAVをインストールするだけで、自動更新の実行まで完了します。

手動でウイルス検出データーを更新すると、失敗します。
ログファイルが既にロックされているとのエラー表示。誰かが使っていますね。
takumi@KVM:~$ sudo freshclam
ERROR: /var/log/clamav/freshclam.log is locked by another process
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).

誰が使っているかを確認します。
freshclamが使っていることが判ります。
takumi@KVM:~$ sudo lsof /var/log/clamav/freshclam.log
lsof: WARNING: can't stat() fuse.gvfsd-fuse file system /run/user/1000/gvfs
Output information may be incomplete.
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
freshclam 17557 clamav 3wW REG 253,0 1021 526825
/var/log/clamav/freshclam.log
takumi@KVM:~$

freshclamが実行されていることを確認。なるほど、稼働中です。
自動で最新の検出データーをロードしてくれたのでしょうか。
takumi@KVM:~$ ps ax
PID TTY STAT TIME COMMAND
.... 略
17557 ? Ss 0:04 /usr/bin/freshclam -d --foreground=true
17621 ? R 0:02 /usr/bin/freshclam -d --foreground=true
.... 略
takumi@KVM:~$

では、Linux/Ubuntuをインストールしている領域をスキャンしてみます。
ウイルスに感染したファイルは消してしまいます。

10分弱で完了しました。ウイルスに感染したファイルは検出されていません。
スキャンは実在するファイルに対して行われるので、デバイス識別子のような特殊なファイルでは、スキャンができない旨の警告が沢山でます。

takumi@KVM:~$ sudo clamscan --infected --remove --recursive / .... 略
----------- SCAN SUMMARY -----------
Known viruses: 6356500
Engine version: 0.99.2
Scanned directories: 52129
Scanned files: 187443
Infected files: 0
Total errors: 24912
Data scanned: 6681.36 MB
Data read: 13877.49 MB (ratio 0.48:1)
Time: 559.027 sec (9 m 19 s)
takumi@KVM:~$

コマンド末尾のディレクトリの指定で/home等日常変化のあるディレクトリを指示してcroneで自動的に起動すれば、毎日チェックのチェックを高速化できます。


コメント
この記事をはてなブックマークに追加

匠技術研究所のSPAM/迷惑メール排除対策日記-20171126

2017-11-26 23:41:17 | 情報セキュリティ
匠技術研究所

匠技術研究所のSPAM/迷惑メール排除対策日記-20171126



匠技術研究所では、SPAM/迷惑メール対策の強化を目指しています。弊社のメールサーバーで、毎日多くのSPAM/迷惑メールを排除しており、その様子を紹介しています。

1.0:SPAM/迷惑メール検査(破棄割合)全メールの 5.75/100%
1.1:通信の特徴検査(全破棄数の割合)破棄メールの 96.55/100%
1.2:既知のSPAM発信者検査(該当で破棄)破棄メールの 3.45/100%
2.0:ウイルス検査(検出で破棄)SPAM検査通過メールの 0/100%
3.0:全文検査(検査内容を追記。全通過)

2017年11月25日は、SPAM/迷惑メールとして排除したメールが約6%で、昨日より18%少なくなりました。二日連続の減少です。このように、排除すべきメールが減る方が良いのですが、平日に戻ると多くなってきます。

通信の特徴検査で破棄したものが全破棄中96.55%、次段の既知のSPAM発信者検査で破棄されたもの全破棄中3.45%です。この日は特徴検査で、排斥するメールの割合が高く、その分、後段の処理が不要になりました。
尚、通信の特徴検査で破棄したものの中にも、多くの既知のSPAM発信者が含まれますが、統計には現れません。

ウイルス検査はSPAM排除後のメールに対して実施され、検出されていません。サーバー側でのウイルス検査ソフトと、PC上のウイルス対策ソフトは異なる検査方法をとるので、二重に確認することになります。

もともとSPAM/迷惑メールを排斥した後のウイル検知の割合は非常に低くく、さらにPCまで届くウイルス付きメールは非常に少なくなりました。私の場合はこの半年ほどでは皆無です。
尚、SPAM破棄対象のメールにもウイルス感染したものが含まれている可能性がありますが、統計には現れません。

PCにウイルス感染メールが到着しないとしてもPC側のウイルス対策は必須です。ウエブ、USBメモリー、ファイル共有などを通してネット、LAN、各種USBデバイスなどがウイルス感染源となり得ます。

匠技術研究所 谷山 亮治
コメント
この記事をはてなブックマークに追加

匠技術研究所のSPAM/迷惑メール排除対策日記-20171125

2017-11-25 23:59:29 | 情報セキュリティ
匠技術研究所

匠技術研究所のSPAM/迷惑メール排除対策日記-20171125


匠技術研究所では、SPAM/迷惑メール対策の強化を目指しています。弊社のメールサーバーで、毎日多くのSPAM/迷惑メールを排除しており、その様子を紹介しています。

1.0:SPAM/迷惑メール検査(破棄割合)全メールの 24.10/100%
1.1:通信の特徴検査(全破棄数の割合)破棄メールの 91.15/100%
1.2:既知のSPAM発信者検査(該当で破棄)破棄メールの 8.85/100%
2.0:ウイルス検査(検出で破棄)SPAM検査通過メールの 0/100%
3.0:全文検査(検査内容を追記。全通過)

2017年11月24日は、SPAM/迷惑メールとして排除したメールが約24%で、昨日より18.89%少なくなり、久しぶりに減少しました。それでも24%=約1/4の着信が不要なメールです。弊社の仕組みでは「受信せずに排除」している比率になります。SPAM/迷惑メールの水際での排除は、サーバー負荷の軽減に大きく役立ちます。またサーバーに無用なメールを蓄積しません。当然、PCにメールをダウンロードする際も、不要なメールを排除した分容量は小さくて済みます。無駄にディスク消費する必要もありません。

通信の特徴検査で破棄したものが全破棄中91.15%、次段の既知のSPAM発信者検査で破棄されたもの全破棄中8.85%です。尚、通信の特徴検査で破棄したものの中にも、多くの既知のSPAM発信者が含まれますが、統計には現れません。

ウイルス検査はSPAM排除後のメールに対して実施され、検出されていません。尚、SPAM破棄対象のメールにもウイルス感染したものが含まれている可能性がありますが、統計には現れません。

匠技術研究所 谷山 亮治
コメント
この記事をはてなブックマークに追加

匠技術研究所のSPAM/迷惑メール排除対策日記-20171124

2017-11-24 11:44:13 | 情報セキュリティ
匠技術研究所

匠技術研究所のSPAM/迷惑メール排除対策日記-20171124


匠技術研究所では、SPAM/迷惑メール対策の強化を目指しています。弊社のメールサーバーで、毎日多くのSPAM/迷惑メールを排除しており、その様子を紹介しています。

1.0:SPAM/迷惑メール検査(破棄割合)全メールの42.89/100%
1.1:通信の特徴検査(全破棄数の割合)破棄メールの88.77 5/100%
1.2:既知のSPAM発信者検査(該当で破棄)破棄メールの11.23/100%
2.0:ウイルス検査(検出で破棄)SPAM検査通過メールの 0/100%
3.0:全文検査(検査内容を追記。全通過)

2017年11月23日は、SPAM/迷惑メールとして排除したメールが約43%で、昨日より5%多くなりました。この数日SPAM/迷惑メールの割合が増えています。

通信の特徴検査で破棄したものが全破棄中88.77%、次段の既知のSPAM発信者検査で破棄されたもの全破棄中11.23%です。尚、通信の特徴検査で破棄したものの中にも、多くの既知のSPAM発信者が含まれますが、統計には現れません。

ウイルス検査はSPAM排除後のメールに対して実施され、検出されていません。SPAM破棄対象のメールにもウイルス感染したものが含まれている可能性がありますが、統計には現れません。

匠技術研究所 谷山 亮治
コメント
この記事をはてなブックマークに追加

匠技術研究所のSPAM/迷惑メール排除対策日記-20171123

2017-11-23 23:04:18 | 情報セキュリティ
匠技術研究所

匠技術研究所のSPAM/迷惑メール排除対策日記-20171123


匠技術研究所では、SPAM/迷惑メール対策の強化を目指しています。弊社のメールサーバーで、毎日多くのSPAM/迷惑メールを排除しており、その様子を紹介しています。

1.0:SPAM/迷惑メール検査(破棄割合)全メールの38/100%
1.1:通信の特徴検査(全破棄数の割合)破棄メールの88.5/100%
1.2:既知のSPAM発信者検査(該当で破棄)破棄メールの11.5/100%
2.0:ウイルス検査(検出で破棄)SPAM検査通過メールの 0.12/100%
3.0:全文検査(検査内容を追記。全通過)

2017年11月22日は、SPAM/迷惑メールとして排除したメールが約38%で、昨日より2%多くなりました。
通信の特徴検査で破棄したものが全破棄中88.5%、次段の既知のSPAM発信者検査で破棄されたもの全破棄中11.5%です。尚、通信の特徴検査で破棄したものの中にも、多くの既知のSPAM発信者が含まれますが、統計には現れません。

ウイルス検査で排除したのはSPAM排除後のメールの中の0.12%でした。検出したメールは破棄され、着信していません。SPAM破棄対象のメールにもウイルス感染したものが含まれている可能性がありますが、統計には現れません。

匠技術研究所 谷山 亮治
コメント
この記事をはてなブックマークに追加

企業メールサーバー管理-SPAM削減のためにDNS逆引きを可能にしましょう

2017-11-23 12:16:32 | 情報セキュリティ
匠技術研究所

企業メールサーバー管理-SPAM削減のためにDNS逆引きを可能にしましょう


メールを送受信するサーバーは必ずDNS逆引きを可能にしましょう。
これまで「国内の企業メールサーバー」にてDNSの逆引きができない「発信メールサーバー」が散見されています。発信機能のみのメールサーバーは理屈の上では、DNS登録していなくても機能します。が、いまや、これは自身を「SPAM/迷惑メール」と名乗っていることと同じです。

DNS登録が全てを解決するわけではありませんが「受信側のSPAM/迷惑メール判定の判断基準」であることは間違いありません。受信者のメールサーバーが「あなたはほんとのメールサーバーですか?」と確認することは「SPAM/迷惑メール対策としてはもはや当然」なのです。SPAM/迷惑メールを少しでも検出しやすくするために、お互いにメール関連サーバーは、必ず送受信ともDNS登録し、逆引き可能にしましょう。

理想的にはDNSの正引き、逆引きが一致したほうが良いのですが、クラウドサーバー等では一致しないこともあります。それでも、DNSの逆引きができれば「少なくともDNS登録されたサーバー」であることは明確です。

匠技術研究所 谷山 亮治
コメント
この記事をはてなブックマークに追加

匠技術研究所のSPAM/迷惑メール排除対策日記-20171122

2017-11-23 10:20:47 | 情報セキュリティ
匠技術研究所

匠技術研究所のSPAM/迷惑メール排除対策日記-20171122


匠技術研究所では、SPAM/迷惑メール対策の強化を目指しています。弊社のメールサーバーで、毎日多くのSPAM/迷惑メールを排除しており、その様子を紹介しています。

1st:通信の特徴検査(該当で破棄)全メールの36/100%
2nd:既知のSPAM発信者検査(該当で破棄)1を通過したうちの11/100%
3rd:ウイルス検査(検出したら破棄)1,2を通過したうちの 0/100%
4th:全文検査(検査内容を追記。全通過)

2017年11月21日は、SPAM/迷惑メールとして排除したメールが約36%で、昨日より6%多くなりました。
通信の特徴検査を通過したものの、次段の既知のSPAM発信者検査で破棄されたもの全破棄中11%です。尚、通信の特徴検査で破棄したものの中にも、多くの既知のSPAM発信者が含まれますが、統計には現れません。

メールサーバーのウイルス検査の範囲では、ウイルスを含んだメールの着信はありません。

昨日、初めてメールをいただき、着信を拒否してしまった、お客様とのメールは、ホワイトリスト化してメールのやり取りができるようになりました。

匠技術研究所 谷山 亮治

コメント
この記事をはてなブックマークに追加

匠技術研究所のSPAM/迷惑メール排除対策日記-20171121

2017-11-21 14:16:16 | 情報セキュリティ
匠技術研究所

匠技術研究所のSPAM/迷惑メール排除対策日記-20171121


匠技術研究所では、SPAM/迷惑メール対策の強化を目指しています。弊社のメールサーバーで、毎日多くのSPAM/迷惑メールを排除しており、その様子を紹介するものです。

1st:通信の特徴検査(該当で破棄)全メールの30/100%
2nd:既知のSPAMer検査(該当で破棄)1を通過したうちの5/100%
3rd:ウイルス検査(検出したら破棄)1,2を通過したうちの 0.1/100%
4th:全文検査(検査内容を追記。全通過)

2017年11月20日は、SPAM/迷惑メールとして排除したメールが約30%で、割合としては多めで、昨日と同じ割合でした。1stステップの通信の特徴検査で破棄したものと、2ndステップでの既知のSPAMer検査で破棄したものになります。通信の特徴検査を通過したものの、次段の既知のSPAM送信先検査で破棄されたもの全破棄中5%ほどあります。通信の特徴検査で破棄したものの中にも、多くの既知のSPAM送信先が含まれますが、統計には現れません。

本日の最大の特徴は、ウイルスが含まれたメールを検出し、破棄したことです。これは、本当に久しぶりです。結果的に手元のPCには着信することなく破棄されました。

一方、メールが着信しないお客様が発生しました。理由は明確ですので、ホワイトリストに追加することになります。

匠技術研究所 谷山 亮治
コメント
この記事をはてなブックマークに追加

匠技術研究所のSPAM/迷惑メール排除対策日記-20171120

2017-11-20 05:43:36 | 情報セキュリティ
匠技術研究所

匠技術研究所のSPAM/迷惑メール排除対策日記-20171120


匠技術研究所では、SPAM/迷惑メール対策の強化を目指しています。弊社のメールサーバーで、毎日多くのSPAM/迷惑メールを排除しており、その様子を紹介するものです。

1st:通信の特徴検査(該当で破棄)全メールの30/100%
2nd:既知のSPAMer検査(該当で破棄)0/100%
3rd:ウイルス検査(検出したら破棄)0/100%
4th:全文検査(検査内容を追記。全通過)

2017年11月19日は、SPAM/迷惑メールとして排除したメールが30%で、割合としては多めでした。1stステップの通信の特徴検査が上手く機能したので、2ndステップでの既知のSPAMer検査に該当するメールはありませんでした。SPAM/迷惑メールと判断した30%は、メール本文を受信することなく排除しています。残り70%を正常な接続と判断し、メールを受信し、ウイルス検査をし、全文検査を行い、その検査結果を記録し、ユーザーに着信しています。

不要と判断し、受信せず排除した30%のメールは、負荷の高いウイルス検査と、同様に負荷の高い全文検査の実施は無くなり、メールサーバーの負荷も軽減できています。もちろん、その分を保管するメールサーバーのディスク容量も削減です。

1stステップの精度がだんだん向上し、2ndステップでは検出できないSPAM/迷惑メール発信者の排除が効果的にできています。2ndステップと連動することで、ほぼ、必要なメールのみ着信するメールサーバーになっています。

ウイルスへの油断は禁物ですが、1st,2ndステップで、メール発信者を絞り込んだことで、ウイルス付きメールの受信も無くなりました。ウイルス検査は手元のWindowsでも実施しますが、手元まで着信したメールからウイルスが検出されることは無くなっています。

もちろん「ごく希に」SPAM/迷惑メールの着信はあります。個人メールアドレスでは一週間に一通程度です。info@のような公開アドレスには、営業メールが到着します。これらも分析して、排除の設定を強化すれば、より安全性が向上します。


匠技術研究所 谷山 亮治
コメント
この記事をはてなブックマークに追加

ブラウザーからのウイルス/マルウエア侵入抑止策を考える

2017-11-13 11:23:39 | 情報セキュリティ
匠技術研究所

ブラウザーからのウイルス/マルウエア侵入抑止策を考える


ブラウザの調整をしている際に、ブラウザの拡張機能でオープンソースの広告ブロック、アクセスブロック機能を見つけ、試し始めました。Chrome系、Firefox系どちらにもインストールすることができ、今のところ広告ブロックの効果もはっきりしています。もう少し、テストしたり評判を調べてみます。今日はその背景を紹介します。

電子メールはウイルス感染の経路として良く知られていますが、ウイルス付きのメールは、ほぼSPAM/迷惑メールです。電子メールからのウイルス対策には、電子メールサーバー側でのSPAM/迷惑メール排斥がたいへん効果的です。電子メールのユーザーに届く前に、SPAM/迷惑メールを排斥することで、メールに添付して侵入を試みるウイルスを排斥することができるからです。この仕組みの実装方法は、概ね判ってきおり、これから実装先を広げていきます。

安全なインターネット環境を実現するには、もう一つのインターネットとの接点「ブラウザ」の利用環境を保護することです。SPAM/迷惑メール経由で届けられるURLやSNS上のURLをクリックして、危険性のあるサイトに誘導されたり、いきなりダウンロードがはじまることもあります。危険は検索の結果としてのURLだけではなく、サイトの中の様々な情報、リンクに仕込まれていると考えた方が良く、ブラウザの中は危険と隣り合わせです。

ブラウザ環境を保護するにはいわゆる「Webフィルター」が知られています。ブラウザに設定する、ウイルス対策ソフトと一緒に提供される、会社のネットとの接続点に専用装置を置くなどの形で実装されます。企業では複合的に使う形が多いと思います。

ブラウザの拡張機能の中には「マルウエア」サイトへのアクセスをブロックする機能を備えたものがあり、この機能を使うと、危険なサイトへのアクセスを抑止することができます。ブラウザに組み込むため「遅くなる」という心配をしていましたが、実は寧ろ逆でブラウジングの速度が上がっているように体感しています。アクセスブロック機能は、利用者情報を取得しようとする様々なブラウザ上のプログラムも排斥するからでしょう。

ただ、このような機能は逆に「自分がどのサイトにアクセスしたか」を外部の第三者が認識し、記録している可能性があります。最初に試した拡張モジュールは、効果は感じていたのですが、シェアが拡大したところで「ブロック対象から外すには費用がかかる」というビジネスモデルを始めて、評判が悪くなりました。

試し始めたアクセスブロックソフトは、オープンソースで開発されているので、外部に記録しているようであれば、ソフトウエアのソースコード上で何をしているのかすぐわかります。セキュリティ対策で、オープンソースのソフトウエアを使うことは、対策の透明性を高めることになります。


匠技術研究所 谷山 亮治
コメント
この記事をはてなブックマークに追加

SPAM/ゴミメール対策の処理効率を改善しました

2017-11-08 20:55:53 | 情報セキュリティ
匠技術研究所

SPAM/ゴミメール対策の処理効率を改善しました


匠技術研究所では、自社メールサーバーでSPAM/ゴミメール対策を実施しています。
弊社のSPAM/ゴミメール対策の方針は「なるべくSPAM/ゴミメールをPCに持ち込まない」です。

そのため極力メールサーバーでSPAM/ゴミメールを排斥し、利用者側に届かないようにします。
特に、意識しているのが受信前の排斥で「おかしな相手」と判断したものは「受信せずに捨てる」ことを考えています。

もちろん、この対策のみで完全に止めることはできないので、多段に判断をしSPAM/ゴミメールを排斥しています。
今回は、この多段に配置した判断の順番を変えることで、より効率的にSPAM/ゴミメールを排斥できるようになりました。

ここまでくると、一段落です。
自動排斥から抜け出てくるメールの数は圧倒的に少なくなっており、個人メールアドレスではほとんど届きません。

谷山 亮治@匠技術研究所
コメント
この記事をはてなブックマークに追加

SSL設定の最適化の実例

2017-10-27 08:27:55 | 情報セキュリティ
匠技術研究所

SSL設定の最適化の実例


いつもアクセスありがとうございます。匠技術研究所の谷山 亮治です。
SSLサーバーのセキュリティ対策は、SSLの証明書の取得と設置だけでは終わりません。安全性を高めるには、設定の最適化が必要です。

手始めに自社のホームページサイトのSSLを最適化しました。この記事先頭のバナーよりご確認ください。

自社サイトの評価は最適化前「B」クラス、最適化の結果「A+」です。外面からは、普通のサイトですが、全コンテンツのSSL化が完了しており、ホームページの全コンテンツをSSL上配信しています。

非SSLでの接続は、自動的にSSLに誘導し、利用者の方はhttp/httpsを意識することなく安全にサイトをご利用いただけます。

月日が経過すると、新たな脆弱性も発見されます。その対応や、技術背景の変化に伴い、評価方法も変化し、評価値も変わります。今の評価が「F」でも、以前はもっと高い評価を受けたはずです。同じように、今の評価が「A」でも時間が過ぎれば評価が下がることもあります。定期的な確認が必要です。

企業様に適正なSSL証明書の設置と最適化及び、定期的な確認と報告のサービスを始めました。弊社ではより安全なインターネットの実現のために、ホームページを安全に運用するご支援を行っております。

お問い合わせは、お気軽にこのブログの左右メニューにある質問フォームをご利用ください。
コメント
この記事をはてなブックマークに追加

Web/SSLサーバーのセキュリティ設定を最適化

2017-10-26 12:23:14 | 情報セキュリティ
匠技術研究所

Web/SSLサーバーのセキュリティ設定を最適化


いつもアクセスありがとうございます。匠技術研究所の谷山 亮治です。
今後、ホームページのSSL化が一気に進みます。
弊社ではWebサーバ側のSSLのセキュリティ設定の最適化を進めています。

■ポイント「今必要な設定に合わせる」
1.自己証明書を使わない
2.TLSのみに絞る
3.強い暗号アルゴリズムのみに絞る

これだけで、大きく安全性は高まります。弊社のWebサーバーでは、WIndowsXP上のIE6/IE7に対応できないなど、古いOSやブラウザではアクセスできません。企業ホームページであれば、問題ないでしょう。

匠技術研究所では、ホームページのSSL設定を診断し、最適化するご支援を始めています。お気軽にお問い合わせください。
コメント
この記事をはてなブックマークに追加

Linux/ssh鍵認証ログインで接続エラーが出るときの対処

2017-10-18 19:21:09 | 情報セキュリティ
匠技術研究所

Linux/ssh鍵認証ログインで接続エラーが出るときの対処


いつもアクセスありがとうございます。匠技術研究所の谷山 亮治です。
クラウドサーバーなど、SSH鍵認証で接続する際に、エラーが発生し接続できない場合があります。以下はLinuxのエラー対処の実例です。

[1]クラウドサーバーから鍵をダウンロードし、ホームディレクトリに置いた
LinuxのデスクトップPC上でクラウドサーバーからSSHの認証鍵をダウンロードし、ホームディレクトリに置いた。

[2]SSH鍵認証でサーバーに接続してみる
盛大に怒られる。ダウンロード直後や異なるコンピュータからコピーした直後のアクセス権が緩いため。
下の例では0664だと指摘し「アクセス権が緩いので、他の人がこの鍵を使うことができるからつながないよ!」と切られてしまった。

takumi@okamgm1:~$ ssh -i k20171017.pem user@XXX.YYY.ZZZ.AAA The authenticity of host 'XXX.YYY.ZZZ.AAA (XXX.YYY.ZZZ.AAA)' can't be established.
ECDSA key fingerprint is SHA256:XVSTI/SATA/SCSI/SASSAS+iSCASI.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'XXX.YYY.ZZZ.AAA' (ECDSA) to the list of known hosts.
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0664 for 'k20171017.pem' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "k20171017.pem": bad permissions Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

[3]所定の場所に置き、アクセス権を変更する
sshのユーザ毎の情報は、各ユーザーのホームディレクトリ以下の.sshにある。そこに鍵を移動し、アクセス権を0400に設定する。

takumi@okamgm1:~$ ls .ssh
known_hosts
takumi@okamgm1:~$ mv k20171017.pem .ssh
takumi@okamgm1:~$ chmod 0400 ~/.ssh/k20171017.pem

[4]再度アクセス
初回接続の確認や、パスワードの入力が求められたら接続成功。

takumi@okamgm1:~$ ssh -i ~/.ssh/k20171017.pem user@XXX.YYY.ZZZ.AAA
コメント
この記事をはてなブックマークに追加