Apacheのconf設定でIPアドレスによるアクセス制限を行うとステータス403が返ります。これをURLの存在を分からなくする為に404として返す必要があったのですが少し難しかったのでメモを残しておきます。
<Directory "/var/www/html">
AllowOverride All
Options -Indexes FollowSymLinks
Order deny,allow
deny from all
allow from ***.***.***.***
</Directory>
#上記で拒否された403を404に書き換え
ErrorDocument 403 /403.html #実態は不要
ErrorDocument 404 /404.html #Not Foundページを用意
<Location ~ "/40(3|4).html">
Order allow,deny
allow from all
</Location>
RewriteEngine on
RewriteRule /403.html - [R=404,L]
ちなみに最近は.htaccessファイルを使用してカジュアルにアクセス制限やURLの書き換えを行うことが多いのですが、FTPアカウントなどで簡単に変更ができてしまうので、セキュリティに関わる設定は静的なconfファイルに記述することをお勧めします。
Postfixメールサーバーによる標的型メール攻撃対策
2015年5月、日本年金機構が標的型メール攻撃を受け、職員のPCが不正操作されてファイルサーバーに保管していた約125万件の年金情報が漏洩したとのことです。捜査が進むにつれ攻撃者のアドレスがフリーメールだったとか、添付書類の拡張子が"exe"なのにうかつに開いてしまったというお粗末な運用実態も次々に明るみになっています。
年金機構は当然セキュリティ対策としてウィルスチェックソフトを運用していたと思われますが、標的型メールは独自にカスタマイズされていることが多いのでウィルスパターンをすり抜けて検知されないことがあるようです。
今回のようにウィルスチェックを通過してしまう可能性のある標的型メールを水際で防ぐために、Postfixメールサーバーの設定だけで比較的簡単にできる対策を4つまとめました。
(1) 送・受信容量制限を行う
(2) 偽証の元になる差出人名をフィルタして元のメアドのみ表示させる
(3) 本文内のURLをフィルタリングして非リンク化
(4) 添付ファイルの送・受信を禁止する
具体的な設定方法はこちらになりますが、実用レベルでは未検証ですので各自の責任においてお試しください。
(1) 送・受信容量制限を行う
ウィルスソフトを送りつけられるリスクを軽減するために必要最小限の容量に制限します。また盗まれた情報を外部に大量送信することを防ぐ効果もあります。
a. /etc/postfix/main.cfを編集
以下の設定を追加
------------------------------------------
message_size_limit = 102400 ※
------------------------------------------
※単位はバイト数になりますが、通常のテキストメールのやり取りであれば100k程度で済むのでは?デフォルトでは10MByteに設定されています。
b. サービスの再起動
# service postfix reload
(2) 成りすました差出人名をフィルタして元のメアドのみ表示させる
差出人名は容易に成りすましが可能で気が付きにくいので、メールソフトがメールアドレスを直接表示するようにフィルタリング処理を行います。
From: 藤本 信 <jt85do34903h7@yahoo.com>
↓
From: jt85do34903h7@yahoo.com
a. /etc/postfix/main.cfを編集
メールのヘッダ部分をチェックする設定ファイルを記述
------------------------------------------
header_checks = regexp:/etc/postfix/header_checks.regexp
------------------------------------------
b. /etc/postfix/header_checks.regexpを編集
------------------------------------------
/(^From: ).*<(.*)>/ REPLACE $1$2
------------------------------------------
c. サービスの再起動
# service postfix reload
(3) 本文内のURLをフィルタリングして非リンク化
メール本文内にあるURLをうかつにクリックしないように非リンク化させます。
http://www.yahoo.jp → ttp://www.yahoo.co.jp
https://www.yahoo.jp → ttps://www.yahoo.co.jp
また注意を促す文字列を挿入することもできます。
https://www.yahoo.jp → [クリック注意]https://www.yahoo.co.jp
a. /etc/postfix/main.cfを編集
メールの本文をチェックする設定ファイルを記述
------------------------------------------
body_checks = regexp:/etc/postfix/body_checks.regexp
------------------------------------------
b. /etc/postfix/body_checks.regexpを編集
------------------------------------------
/^(.*)http:(.*)/ REPLACE ${1}ttp:${2}
/^(.*)https:(.*)/ REPLACE ${1}ttps:${2}
------------------------------------------
※やや甘いので改良の余地ありです
c. サービスの再起動
# service postfix reload
(4) 添付ファイルの送・受信を禁止する
業務やサービス運営に支障が無ければ特定の添付ファイルを除外することも可能です。
拡張子のタイプを判別して除外する場合
a. /etc/postfix/header_checks.regexpを編集(複数行の設定も可能)
------------------------------------------
/name=\".*\.(exe|vbs|pif|sh|com|bat|scr|dll|wsh|cab|inf|ins|hlp|hta|js|vb|lnk|cmd|chm|cpl|msi|wsf|reg|vbe|wsc )"/ REJECT
------------------------------------------
※ファイル名に日本語が含まれていた場合に検知できるか未確認です
b. サービスの再起動
# service postfix reload
年金機構は当然セキュリティ対策としてウィルスチェックソフトを運用していたと思われますが、標的型メールは独自にカスタマイズされていることが多いのでウィルスパターンをすり抜けて検知されないことがあるようです。
今回のようにウィルスチェックを通過してしまう可能性のある標的型メールを水際で防ぐために、Postfixメールサーバーの設定だけで比較的簡単にできる対策を4つまとめました。
(1) 送・受信容量制限を行う
(2) 偽証の元になる差出人名をフィルタして元のメアドのみ表示させる
(3) 本文内のURLをフィルタリングして非リンク化
(4) 添付ファイルの送・受信を禁止する
具体的な設定方法はこちらになりますが、実用レベルでは未検証ですので各自の責任においてお試しください。
(1) 送・受信容量制限を行う
ウィルスソフトを送りつけられるリスクを軽減するために必要最小限の容量に制限します。また盗まれた情報を外部に大量送信することを防ぐ効果もあります。
a. /etc/postfix/main.cfを編集
以下の設定を追加
------------------------------------------
message_size_limit = 102400 ※
------------------------------------------
※単位はバイト数になりますが、通常のテキストメールのやり取りであれば100k程度で済むのでは?デフォルトでは10MByteに設定されています。
b. サービスの再起動
# service postfix reload
(2) 成りすました差出人名をフィルタして元のメアドのみ表示させる
差出人名は容易に成りすましが可能で気が付きにくいので、メールソフトがメールアドレスを直接表示するようにフィルタリング処理を行います。
From: 藤本 信 <jt85do34903h7@yahoo.com>
↓
From: jt85do34903h7@yahoo.com
a. /etc/postfix/main.cfを編集
メールのヘッダ部分をチェックする設定ファイルを記述
------------------------------------------
header_checks = regexp:/etc/postfix/header_checks.regexp
------------------------------------------
b. /etc/postfix/header_checks.regexpを編集
------------------------------------------
/(^From: ).*<(.*)>/ REPLACE $1$2
------------------------------------------
c. サービスの再起動
# service postfix reload
(3) 本文内のURLをフィルタリングして非リンク化
メール本文内にあるURLをうかつにクリックしないように非リンク化させます。
http://www.yahoo.jp → ttp://www.yahoo.co.jp
https://www.yahoo.jp → ttps://www.yahoo.co.jp
また注意を促す文字列を挿入することもできます。
https://www.yahoo.jp → [クリック注意]https://www.yahoo.co.jp
a. /etc/postfix/main.cfを編集
メールの本文をチェックする設定ファイルを記述
------------------------------------------
body_checks = regexp:/etc/postfix/body_checks.regexp
------------------------------------------
b. /etc/postfix/body_checks.regexpを編集
------------------------------------------
/^(.*)http:(.*)/ REPLACE ${1}ttp:${2}
/^(.*)https:(.*)/ REPLACE ${1}ttps:${2}
------------------------------------------
※やや甘いので改良の余地ありです
c. サービスの再起動
# service postfix reload
(4) 添付ファイルの送・受信を禁止する
業務やサービス運営に支障が無ければ特定の添付ファイルを除外することも可能です。
拡張子のタイプを判別して除外する場合
a. /etc/postfix/header_checks.regexpを編集(複数行の設定も可能)
------------------------------------------
/name=\".*\.(exe|vbs|pif|sh|com|bat|scr|dll|wsh|cab|inf|ins|hlp|hta|js|vb|lnk|cmd|chm|cpl|msi|wsf|reg|vbe|wsc )"/ REJECT
------------------------------------------
※ファイル名に日本語が含まれていた場合に検知できるか未確認です
b. サービスの再起動
# service postfix reload
IoTメモ(随時加筆)
IoT(Internet of Things)=「モノのインターネット」がにわかに注目されています。
以前ユビキタスと呼ばれていたIoT市場ですが、最近は通信モジュール、I/Oユニット、各種センサー、GPS、カメラ、ストレージ等の小型化が進み、デバイスとしてハードウェア本体に組み込まれる事も容易となり面白い製品やサービスも続々発表されています。また一般的なOSをベースとした製品ではインターネット技術の転用が容易で、ビッグデータビジネスにおいても重要ソリューションとなっています。
ちなみに弊社はインターネットが一般的ではなかった時代からPCとハードウェアを連携するシステム構築を得意としてきましたので、以下の様なIoTソリューションを用いたシステム構築を請け負っておりますのでよろしくお願いします。
シリアルI/Oユニット
「いっちゃん」
パソコンのRS232Cから簡単に入出力を実現するユニット
http://www.data6.jp/rs232c/ichan_s.html
イーサネット経由で8点の接点出力を簡単に実現
http://www.data6.jp/xport/et-r8.html
シリアルポート拡張ボード
http://www.area-powers.jp/product/pci/io/9835-2sl.html
AndroidタブレットのUSBポート(Micro-USB Bタイプ)にRS-232C機器を接続!
http://www.ratocsystems.com/products/subpage/usb60mb.html
組込デバイス
「XPort」
組込み用超小型デバイスサーバー
http://www.lantronix.jp/products/xport.shtml
「xPico Wi-Fi」
組込み用Wi-Fiデバイスサーバー
http://www.lantronix.jp/products/xpico-wifi.shtml
イーサネットターミナルサーバー
http://www.lantronix.jp/products/eds8ps_eds16ps.shtml
小型コンピュータ
Raspberry Pi
https://ja.wikipedia.org/wiki/Raspberry_Pi
PLATHOMEマイクロサーバー
http://openblocks.plathome.co.jp/products/obs_a/
Teamacaron 超小型の組込み制御用コンピュータ
http://www.t-engine4u.com/products/teamacaron.html
超小型デスクトップパソコン「CuBox-i」シリーズ
http://online.radiokaikan.jp/shop/pages/13070004/cubox-i.aspx
ソフトウェア
PHPからシリアルポートを制御するクラスライブラリ
http://www.phpclasses.org/package/3679-PHP-Communicate-with-a-serial-port.html
perlからシリアルポートを制御するCPANモジュール
http://search.cpan.org/dist/Device-SerialPort/SerialPort.pm
Adobe Flash(AIR)でシリアル制御する方法まとめ
http://tech.ironhearts.com/blog/archives/39
Adobe Director用 シリアル通信Xtra
http://www.directxtras.com/DComm_doc.asp?UUID=3982985
ネットから制御が可能な機器
パトライト ネットワーク監視表示灯
https://www.patlitestore.jp/index.php?main_page=page&id=20
Panasonic ネットワークカメラ
http://panasonic.biz/security/#content
ソーラー型Web監視カメラシステム
http://www.arksystem.jp/RT-SFC150/
生体検知デバイス
オムロン ヒューマンビジョンコンポ
http://plus-sensing.omron.co.jp/egg-project/product/
以前ユビキタスと呼ばれていたIoT市場ですが、最近は通信モジュール、I/Oユニット、各種センサー、GPS、カメラ、ストレージ等の小型化が進み、デバイスとしてハードウェア本体に組み込まれる事も容易となり面白い製品やサービスも続々発表されています。また一般的なOSをベースとした製品ではインターネット技術の転用が容易で、ビッグデータビジネスにおいても重要ソリューションとなっています。
ちなみに弊社はインターネットが一般的ではなかった時代からPCとハードウェアを連携するシステム構築を得意としてきましたので、以下の様なIoTソリューションを用いたシステム構築を請け負っておりますのでよろしくお願いします。
シリアルI/Oユニット
「いっちゃん」
パソコンのRS232Cから簡単に入出力を実現するユニット
http://www.data6.jp/rs232c/ichan_s.html
イーサネット経由で8点の接点出力を簡単に実現
http://www.data6.jp/xport/et-r8.html
シリアルポート拡張ボード
http://www.area-powers.jp/product/pci/io/9835-2sl.html
AndroidタブレットのUSBポート(Micro-USB Bタイプ)にRS-232C機器を接続!
http://www.ratocsystems.com/products/subpage/usb60mb.html
組込デバイス
「XPort」
組込み用超小型デバイスサーバー
http://www.lantronix.jp/products/xport.shtml
「xPico Wi-Fi」
組込み用Wi-Fiデバイスサーバー
http://www.lantronix.jp/products/xpico-wifi.shtml
イーサネットターミナルサーバー
http://www.lantronix.jp/products/eds8ps_eds16ps.shtml
小型コンピュータ
Raspberry Pi
https://ja.wikipedia.org/wiki/Raspberry_Pi
PLATHOMEマイクロサーバー
http://openblocks.plathome.co.jp/products/obs_a/
Teamacaron 超小型の組込み制御用コンピュータ
http://www.t-engine4u.com/products/teamacaron.html
超小型デスクトップパソコン「CuBox-i」シリーズ
http://online.radiokaikan.jp/shop/pages/13070004/cubox-i.aspx
ソフトウェア
PHPからシリアルポートを制御するクラスライブラリ
http://www.phpclasses.org/package/3679-PHP-Communicate-with-a-serial-port.html
perlからシリアルポートを制御するCPANモジュール
http://search.cpan.org/dist/Device-SerialPort/SerialPort.pm
Adobe Flash(AIR)でシリアル制御する方法まとめ
http://tech.ironhearts.com/blog/archives/39
Adobe Director用 シリアル通信Xtra
http://www.directxtras.com/DComm_doc.asp?UUID=3982985
ネットから制御が可能な機器
パトライト ネットワーク監視表示灯
https://www.patlitestore.jp/index.php?main_page=page&id=20
Panasonic ネットワークカメラ
http://panasonic.biz/security/#content
ソーラー型Web監視カメラシステム
http://www.arksystem.jp/RT-SFC150/
生体検知デバイス
オムロン ヒューマンビジョンコンポ
http://plus-sensing.omron.co.jp/egg-project/product/
