HOSTSファイルによるSSHのIP制限

忘れそうなのでメモ。CentOS – SSH接続をIPアドレスで制限する – Qiita

http://qiita.com/wwwaltz/items/db774fda77cb2d6c6922

/etc/hosts.deny に拒否したいIPアドレス

・・・
sshd : all

/etc/hosts.allow に許可したいIPアドレス

・・・
sshd : 192.168.0.

間違って /etc/hosts.deny をall に設定して切断してしまうと誰も接続できなくなるので注意。

SSHへの接続制限

これまで秘密鍵認証だからと何の疑問もなくSSH でのサーバー制御をして安心していましたが、例えば総当り攻撃を受けてroot アカウントが乗っ取られれることも可能性として考えると、何らかのセキュリティ対策が求められます。Google で調べたところ、一つの手段として

sshへの攻撃に対する6個の防御方法 パソコン鳥のブログ/ウェブリブログ

Linux でSSH への接続制限をするには、

# iptables -A INPUT -p tcp --syn --dport 22 -m recent --name sshattack --set
# iptables -A INPUT -p tcp --syn --dport 22 -m recent --name sshattack --update --seconds 60 --hitcount 5 -j DROP
# service iptables save

 

すると接続回数を減らす効果があるとのことです。しかし、一旦突破されてしまえば関係ないのが心許ないですね。

リモートデスクトップ

悪意のあるユーザーからのリモートデスクトップ接続を制限するために、Windows ファイアウォールや市販のセキュリティソフトをインストールして[マイコンピューター]の[プロパティ]のリモートタブで、リモートデスクトップを外して安心していましたが、7 Professionalをいじっているとグループポリシーエディタを使って直接項目をグレーアウトにして制限する強力な方法があることが分かりました。
具体的には、コマンドプロンプトから、gpedit.msc と打って

以下[コンピューターの構成]
・[管理用テンプレート][Windows コンポーネント][リモートデスクトップ][リモートデスクトップセッションホスト][接続][ユーザーがリモートデスクトップ サービスを使って接続することを許可する][無効]
・[管理用テンプレート][Windows コンポーネント][リモートデスクトップ][リモートデスクトップセッションホスト][接続][リモートデスクトップ サービス ユーザーセッションのリモート制御ルールを設定する][有効][リモート制御を許可しない]
・[管理用テンプレート][Windows コンポーネント][NetMeeting][リモートデスクトップ共有を無効にする][有効]
・[管理用テンプレート][システム][リモート アシスタンス][リモートアシスタンスを有効にする][無効]

以下[ユーザーの構成]
・[管理用テンプレート][Windows コンポーネント][リモートデスクトップ][リモートデスクトップセッションホスト][接続][リモートデスクトップ サービス ユーザーセッションのリモート制御ルールを設定する][有効][リモート制御を許可しない]
・[管理用テンプレート][Windows コンポーネント][Microsoft 管理コンソール][制限および許可するスナップイン][リモートデスクトップ][無効]
・[管理用テンプレート][Windows コンポーネント][Microsoft 管理コンソール][制限および許可するスナップイン][リモートデスクトップ][無効]

すると、上記チェックボックスをグレーアウトできる他、次の項目でポート3389 を開かない設定にもできるようです。

・[管理用テンプレート][ネットワーク][ネットワーク接続][Windows ファイアウォール][標準プロファイル][着信リモートデスクトップの例外を許可する][無効]
・[管理用テンプレート][ネットワーク][ネットワーク接続][Windows ファイアウォール][ドメインプロファイル][着信リモートデスクトップの例外を許可する][無効]

外出先や、ローカルネットワークでのリモート管理が必要ない人には、こういう項目は忘れやすいので注意が必要です。
セキュリティソフトはもちろん、Windows ファイアウォールの例外タブでリモートデスクトップをチェックアウトするのは常識ですね。
でもいざ、という時にきちんとリモートデスクトップを使いたいよという人は、上記設定を元に戻すのは大変めんどくさいので知識として頭の片隅に置いておくぐらいがちょうどなんでしょうか。

また、こんな記事もあります。

Windows TIPS:リモートから「リモート デスクトップ」を許可する – @IT

Windows TIPS:ターミナル・サービス/リモート・デスクトップ接続のポート番号を変更する – @IT

こうなると、7 Professional の特典であるリモートデスクトップ機能のセキュリティも最新の注意が必要ということなんでしょうね。

MediaPlayer のオプション機能

クラッシックを聴いていると、CDの録音レベルが違うのか音量がPOP やロックよりも小さいですね。ホールとスタジオなど録音環境の違いもあるかもしれませんが音量をそのたびに調節する必要がありました。MediaPlayerでは、音量の自動調整オプションがあります。プレイビューモード(ライブラリモードから [Ctrl] + [3] で切り替え)で右クリック、[拡張設定] → [クロスフェードと音量の自動調整] を選択、 [音量の自動調整をオンにする] と良いでしょう。

広告ブロック

Kaspersky2015 でアンチバナーの設定をしてるのにIE11で広告が表示されるときの対処法。

[ツール(Alt+x)] → [セーフティ] → [追跡防止を有効にする] → [個人用リスト] 選択して、[有効]ボタンを押す。[設定] → [自動的にブロックする] チェックを入れる。(でも、Kaspersky でブロックリストを作らないとすべてのサイトで有効にはなら)ないです・・・。

Kaspersky でYouTube をブロックするには、[設定] → [詳細設定] → [保護者による管理] を[有効] にして、同じく[設定] → [プロテクション] → [ウェブアンチウィルス] から[ウェブアンチウィルスを有効] にし、[ダウンロードのブロック] にチェックを入れる。また、[ウェブアンチウィルス] → [カスタム] → [設定] → [セーフサーフ] → [危険なwebサイトをブロックする] にもチェックを入れる。

Windows Update エラー

Windows Update をEPSON ノートに適用した後、グループポリシーエディターを起動しようと コマンドからgpedit.msc と打つと、

リソース'$(string.Advanced.EnableSSL3Fallback)'(属性
displayNameで参照)が見つかりませんでした。
ファイルC:¥Windows¥PolicyDefinitions¥inetres.admx、行
795、列308

エラーがでます。Google で調べてみると、C:¥Windows¥PolicyDefinitions¥ja-JP¥InetRes.adml ファイルに欠損があるようでした。幸い、C:¥Windows¥PolicyDefinitions¥en-US¥InetRes.adml ファイルは完全に更新されているようでしたのでエラーメッセージ該当部分を逐次、メモ帳で開きながらソースを補完したところエラーが出なくなりました。

前回のその後

Windows10 アップグレードに関する、EPSON ノートのキーボードNumロック問題ですが、2回目のインストール後も同様の現象がログイン後に続きました。キーボードドライバーの削除と更新など考えの及ぶ対処法は試したのですが結論としては、Windows7 にもう一回ロールバックしてリカバリー、クリーンインストールしかないとの案に達しました。

今日は朝からEPSONノートのリカバリー、ドライバーのインストール、Windows Update(更新209…再起動を20回位しました。)、ソフトのインストール、msconfig, gpedit.msc, secpol.msc, アカウント設定、お気に入り、CDアルバムの更新、プリンタ設定など、半日掛かりで涙がで、出ますよ・・・

とりあえず、これで様子見ですかね・・・。

Windows10 アップグレード失敗

EPSON ノートにWindows10 のポップアップが出たのでアップグレードしてみました。

windows10upgrade_windows10upgrade_windows10_1upgrade_windows10_2upgrade_windows10_3

20150820004545

20150820005913

20150820010507

結果的には、Numロック該当キーの入力ができず、アカウントログインパスワードの入力ができないというものでした。外付けキーボードでログインしましたが、Numロック関連の不具合が続きました。アップグレード手順の間違い、設定の不具合もあるかもしれません。これからの検証を待ちたいと思います。

VirtualBox PHP のリビルド

パソコンの調子が悪くなったので、OSイメージをバックアップから復元。VirtualBox でLAMP をやり直しです。Openssl Apache はよかったのですが、PHP が立ち上がりません。PHP 最新版は(2015年8月15日現在)5.6.12 です。./configure すると、

./configure --with-apxs2=/usr/local/apache2/bin/apxs
--with-iconv/
--enable-mbstring
--with-mysql
--with-libxml-dir=/usr/bin/xml2-config
PEAR package PHP_Archive not installed

と、エラーが出ます。http://qiita.com/yamagen0915/items/1f89b07b70f8178fb162

/usr/local/apache2/conf/httpd.conf に以下の行を新規追加。

LoadModule php5_module modules/libphp5.so [新規追加]
<IfModule mine_module>
・・・
AddType application/x-httpd-php .php [新規追加]
AddType application/x-httpd-php-source .phps [新規追加]
# wget http://pear.php.net/go-pear.phar
# php go-pear.phar

上記コマンドを実行、make make install で動作確認・・・完了です。

phpinfo

VirtualBox のApache ポート解放

せっかくVirtualBox でApache を立てたのでポート解放しようと思いました。(粉みかん)

https://teratail.com/questions/294

adapter1

詳しくは割愛しますが、VirtualBox のゲストOS の設定から左ペイン、[ネットワーク] をクリック、NAT の割り当てを行っている [アダプター 1] の[ポートフォワーディング] ボタンから、ゲストOSの解放したいポート(この場合はApache のListenポート80)とホストOS の適当なポートを設定して、Windows Firewall などのファイアウォールソフトでホストOS のポート番号を解放すれば良いとのこと。確かにホストOS 上でApacheテストページが確認できました。

testpage

外部に公開するにはまた、いろいろ設定があるのでしょうけど・・・ま、多少はね。