投稿

12月, 2025の投稿を表示しています

12月23日(火)1、2コマ目

イメージ
 今日、やったこと [確認テスト 解説]ファイアウォール2 [確認テスト]ファイアウォール3 Webサーバー構築 今日のホワイトボード [確認テスト 解説]ファイアウォール2 問1 firewall-cmd --list-all出力結果のうち、ICMPパケットの処理に影響を与えるのは target icmp-blocks icmp-block-inversion の3つ。 図 ICMPパケットとtarget 問2 firewall-cmd --list-all出力結果のうち、ICMPパケットのタイプに関する設定は、icmp-blocks。 問3 firewall-cmd --list-all出力結果のうち、icmp-blocksのパケットを許可/ブロックを決めるのはicmp-block-inversion。 問4 項目icmp-blocks だけを出力するには、 --list-icmp-blocksオプション 。 図 firewall-cmd --list-icmp-blocks 問5 項目icmp-block-inversion だけを出力するには、 --query-icmp-block-inversionオプション 。 図 firewall-cmd --query-icmp-block-inversion 問6 インターネット公開サーバーはICMPパケットを破棄したほうがいい。 なぜなら・・(問7につづく) 問7 サーバーが稼働していることが分かり、攻撃対象になるため。 仮想マシンを操作する 2種類の方法を使い分けていた。ごっちゃになら...
続きを読む

12月16日(火)1、2コマ目

イメージ
今日、やったこと [確認テスト]ファイアウォール2 サーバー構築・運用 今日のホワイトボード 仮想マシン 仮想マシンは物理マシン内にソフト的に再現されたコンピュータ。 仮想マシンを作成するには、主に ハイパーバイザを利用 仮想化ソフトウェアを利用 の2種類の方法がある。 それぞれ一長一短があるが、物理マシンの使い方や目的で使い分けることになる。 図 仮想マシン作成環境 仮想マシンのネットワーク 実習環境の仮想マシンが物理的なネットワークに接続するには、図のように仮想マシンの仮想NIC<->仮想ブリッジ<->物理マシンの物理NICと接続されている。 図 仮想マシンのネットワーク WindowsPCから仮想マシンを操作する 仮想マシンのネットワーク設定を行ったら、ネットワーク経由で仮想マシンを操作できる。 CUI(コマンド操作)、GUIと2種類の環境があるが、授業では基本的にCUIで操作する。 CUIで操作するには、暗号化遠隔操作プロトコルのSSHで操作する。 SSHで操作するには、仮想マシン側は SSHサーバーが起動していること F/WでSSHが許可されていること が必要。 SSHサーバーは稼働中? xxサーバーのバックグランドプロセスの起動、停止はsystemdが管理している。 systemctlコマンドでSSHのサービス”sshd.service”が起動中か確認。 図 systemctlコマンドでsshdが稼働中か確認 ファイアウォールはSSHを許可している? firewall-cmdコマンドで確認。 firewall-cmdコマンドは特権ユーザーしか実行できない。 図 firewall-cmdコマンドでSSHが許可されているか確認 sudoコマンド(後述)でfirewall-cmdコマンドを特権ユーザー権限で実行。 図 sudo+firewall-cmdでSSHが許可されているか確認 クライアント(WindowsPC)は WindowsPC側はSSHのクライアントソフト(TeraTerm)を利用する。 図 SSHで仮想マシンに接続する ユーザーの違い Unix系OSには、コマンド実行の際、 何でもできる特権ユーザー(rootユーザー) 与えられた権限内のみ実行可能な一般ユーザー とユーザーでできることがわかれる。 特権ユーザーの権限が必要...
続きを読む

12月9日(火)1、2コマ目

イメージ
今日、やったこと [確認テスト 解説]ファイアウォール1 [やってみよう 解説]ファイアウォール(ICMP) リッチルール 今日のホワイトボード [確認テスト 解説]ファイアウォール1 問1 図 現在アクティブなゾーンの確認 問2 --get-active-zoneでなにも出力されない => 適用されるゾーンが未設定  適用されるゾーンが未設定の場合は、デフォルトゾーンが適用される。 デフォルトゾーンの確認は--get-default-zoneオプション。 図 デフォルトゾーンの確認 問3 稼働中のF/Wにて許可されているサービスの一覧は--list-serviceオプション。 下図はゾーン「public」で確認。(ゾーンzone01は存在しないため) 図 ゾーンpublicにて許可されているサービス確認 問4 ゾーンの設定ファイルは以下の2つ。 設定ファイルへのパス 内容 /usr/lib/firewalld/zones/ゾーン名.xml OSが用意するデフォルトの設定ファイル。基本的に変更しない。 /etc/firewalld/zones/ゾーン名.xml デフォルト設定を変更した際に作成される。 ユーザーがゾーンを追加する場合もこちらへ。 図 ゾーン設定ファイル 問5 設定ファイルにて許可されている...
続きを読む