セキュリティ検査

　nmap は，ゲートウェイマシン以外の PC にインストールします。

1. 以下のコマンドを実行して， nmap をインストールする。

   $ sudo apt-get install nmap

• 以下のコマンドを実行することにより，スタックフィンガープリンティングにより OS を特定することが出来る。

  $ sudo nmap -O 192.168.0.1

• 以下のコマンドを実行することにより， TCP ハーフスキャンを行うことが出来る。

  $ sudo nmap -sS 192.168.0.1

  • -sT：TCP スキャン
  • -sU：UDP スキャン
  • -sO:IP プロトコルスキャン
  • -SF：FIN スキャン
• 以下のコマンドを実行することにより， 192.168.0.* の PingSweep を行うことが出来る。

  $ sudo nmap -sP 192.168.0.0/24

　chkrootkit を用いることにより， rootkit （侵入に利用するための各種ツール）を検出することができます。

1. 以下のコマンドを実行して， chkrootkit をインストールする。

   $ sudo apt-get install chkrootkit

2. 以下のコマンドを実行して， chkrootkit を実行する。

   $ sudo chkrootkit

• 以下のコマンドを実行して何も表示されなければ，異常は検出されなかったということになる。

  $ sudo chkrootkit|grep INFECTED

1. /tmp/tcpdump.pl を以下のように作成する（参考：freebsd-users-jp の記事）。

   #!/usr/bin/perl while(<STDIN>){ if(m/^[ \t]/){ $store .= $_ } else { s/^[^ ]* //; s/:[^:]*$//; print "$_\n"; $_ = $store; s/\s//g; s/^.{120}//; s/[0-9A-Fa-f][0-9A-Fa-f]/pack("C",hex $&)/eg; s/[\x00-\x08\x0a-\x1f\x7f-\xff]/ /g; print "$_\n"; $store = ""; } }

2. root でログインする。
3. 以下のコマンドを実行することにより，インタフェース eth0 のパケットを盗聴することが出来る。

   # chmod 100 /tmp/tcpdump.pl # tcpdump -x -i eth0|perl /tmp/tcpdump.pl