joe です。 On Wed, 16 Aug 2006 18:25:14 +0900 Furukubo Naoki <chef@xxxxxxxxxxxxxxx> wrote: > 古久保(ふるくぼ)と申します。 > vine の話というわけでもないし、今回技術的な情報も含めることが > できないですが、反応がないと寂しい感じがしましたので、ちょっと > だけ反応してみます。 反応、ありがとうございます(^^)。 私も、今回の発端になった投稿の後、少し調べてみたのですが、 いくつか有名なツールはあるものの、なかなか決め手となる ものはないようです。 私が今回書いたスクリプトは、柔軟な設定とかは考えないで、 とにかく、早くファイアーウォールを設定したい、という要求に 答えられるようなものを作る、という方針で書いたものです。 従って、余分なログの設定とかも省いていますし、 開けるポートも決め打ちで設定しています。 特にサーバ用の設定は、「サーバを立てる位の人は、 自分でどのポートを開けるか否か、決めてください」 くらいの気持ちで書きました。 即興で作ったスクリプトで、慣れないperlを使ったものですから、 いいできではないと思いますが、最初の endo osamu さんの要求には 答えられるのではないかと考えて、投稿しました。 現在、少しずつですが、改良を加えています。 > でも、 > 信頼性がなければちょっと使うのがためらわれますので、たくさんの人 > に使ってもらってフィードバックを得られるようなアイデアをひねる必 > 要があるかもしれません。どういうマルウェアからの攻撃に耐えられる > ようになった、などという宣伝も効果があるかな、と思います。 そうですね。rootで実行するスクリプトなので、慎重な人は、 コードを読んだ後でも実行をためらうかも知れませんね。 # ふと思ったのですが、 # 一番いけないのは、root権限で実行しないで、スクリプトの実行時に # こける点でしょうか? # 実行前に uid をチェックすべきかも知れませんね。 私が今考えているのは、インストール時にこのスクリプトを実行して もらえると(私が書いたものではなくても)、インストール時に ファイアウォールが設定できていいのではないかということです。 ごくごく、平凡ながら通常の使用には十分な設定、を 書こうと思っています。 iptablesは、あくまで、statefulにパケットをモニタして、 そのパケットを落とすかどうかということをするだけですので、 それ以上のことはできないように認識しています。 (私の勉強不足かもしれませんが...) それ以外の処理は、他のツールを使うことになるだろうと 思っています。 > ぜひがんばってください。 ありがとうございます。そう言ってもらえると、励みになります。 夏休みが終わると、作業がなかなか進まないだろうとは思いますが、 それなりに進んでいますので、「簡易ツール」を名乗れるくらいには なりそうな気がします。 -- joe shimamura free-zep@xxxxxxxxxxxxxxxxx