• xorg.conf

    2018-09-06 03:07

    Section "ServerLayout"
    Identifier "Default Layout"
    Screen 0 "Screen0" 0 0
    EndSection

    Section "Device"
    Identifier "Videocard0"
    Driver "vesa"
    EndSection

    Section "Screen"
    Identifier "Screen0"
    Device "Videocard0"
    DefaultDepth 24
    SubSection "Display"
    Viewport 0 0
    Depth 24
    EndSubSection
    EndSection


  • 広告
  • xmlhttprequest を使用してfileをuploadする。IE11

    2018-03-19 04:57
  • iptablesに関して

    2018-03-18 04:49

    iptablesの設定

    設定を確認する

    iptables -nL

    設定する

    初期化(全て破棄)

    iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD

    デフォルト指定

    受信を破棄 / 送信を許可 / 通過を拒否 iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP

    基本設定

    自ホストからのアクセスをすべて許可(内側は自由)
    iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT
    内部から行ったアクセスに対する外部からの返答アクセス(既に設立、関連があるもの)を許可 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    ssh許可

    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    ################################ ##### サービス設定ここから #####
    iptables -A INPUT -p tcp --sport 53 -j ACCEPT iptables -A INPUT -p udp --sport 53 -j ACCEPT iptables -A INPUT -p tcp --sport 80 -j ACCEPT iptables -A INPUT -p tcp --sport 443 -j ACCEPT
    ##### サービス設定ここまで #####
    ################################

    上記のルールにマッチしなかったアクセスはログを記録して破棄

    iptables -A INPUT -m limit --limit 1/s -j LOG --log-prefix '[IPTABLES INPUT] : '
    iptables -A INPUT -j DROP
    iptables -A FORWARD -m limit --limit 1/s -j LOG --log-prefix '[IPTABLES FORWARD] : '
    iptables -A FORWARD -j DROP

    まで

    設定の保存実行に関して

    少し前までは、起動時に設定コマンドを記述したシェルスクリプトを実行する仕組みだったが、
    設定を保存する仕組みが出来たようです。
    設定の保存
    iptables-save | tee /etc/iptables.rules

    保存されたスクリプト(iptables復元用スクリプト)

    </etc/iptables.rules>
    #!/bin/sh /sbin/iptables-restore < /etc/iptables.rules exit 0

    最後に実行権限を付与
    chmod a+x /etc/network/if-pre-up.d/iptables_start

    設定の追加と削除

    例:
    外部からのPing要求(入力)に対して拒否する設定を追加
    iptables -A INPUT -p icmp --icmp-type 8 -j DROP
    外部からのPing要求(入力)に対して拒否する設定を削除
    iptables -D INPUT -p icmp --icmp-type 8 -j DROP

    削除は番号を指定可能。

    その他

    設定された順番が優先順位となる。

    LANを複数挿してLinuxをルーターにする場合、グローバル用のethに対してローカルIPに対するPingに要求応答を拒否する
    設定を行う必要がある。(ローカルIPが外に垂れ流される対策)

    既存のLinuxサーバーに対するパッチでiptablesのコマンドの挿入(-I)削除(-D)を行う場合は、設定順番の指定が必要な場合があるので
    設定確認時にオプション「--line-numbers」を付けて表示し、シェルスクリプト等で番号を取得する

    iptables -nL --line-numbers

    上記のサンプルでは上の方で-Pオプションでデフォルトの設定を行っているにも関わらず、末の方でも残りをDROPしている。これはどちらか一方が指定して有れば良い。
    (下記参考CentOSでは療法が既述されているが、参考Debianでは末のDROPは無い。)
    仕組みとしては先に設定されたコマンドルールの優先度が高いのでAcceptするものは先に宣言し、残りをDropする事になる。デフォルトの指定はデフォルトなので場所は関係無いかもしれないが、上で宣言可能。
    参考Debian
    参考CentOS

    参考:icmpのタイプ