オレンジのトップページ

2016年10月25日火曜日

YAMAHAルータでtftpアタックを確認しました

ルータのコンソールにtftpアタックを受けているというメッセージが出ていました。

tftpd: Access violation, aborted
show cotftpd: Access violation, aborted

リモートメンテナンス用に残していた tftp hostとnat設定が良くなかったようですね。filterしているので不正アクセスされることはありませんが、いちいち応答してルータのリソースが削られているので設定は消します。

1.ログ確認。どこからか、アタックしてるしてる。
#show log rev
2016/10/25 16:01:43: [TFTPD] Rejected access from 62.210.101.115
2016/10/25 16:01:43: [TFTPD] Access violation
2016/10/25 16:01:40: [TFTPD] Rejected access from 62.210.101.115
2016/10/25 16:01:40: [TFTPD] Access violation

2.設定消します。
no tftp host xxx.xxx.xxx.xxx
no nat descriptor masquerade static xxxx xxx 192.168.xxx.xxx udp tftp

せっかくですのでヤマハルータの挙動を確認しておきます。
(コマンド)nmap -sU 192.168.xxx.xxx(ルータのIP)

*tftp host xxx.xxx.xxx.xxx 行がある場合
PORT STATE SERVICE
53/udp open|filtered domain
67/udp open|filtered dhcps
69/udp open|filtered tftp



*tftp host xxx.xxx.xxx.xxx 行が無い場合
PORT STATE SERVICE
53/udp open|filtered domain
67/udp open|filtered dhcps



このように、YAMAHAルータは tftp hostの設定がある時はtftpポートをlistenしていて、tftp hostの設定がないときはlistenしていないようです。

3.対策が終わったので最後に攻撃してきていたIPを確認しておきます
えーっと、、、、パリ?フランスかぁ。

myhost:~$ whois 62.210.101.115

inetnum:        62.210.0.0 - 62.210.127.255
org:            ORG-ONLI1-RIPE
netname:        IE-POOL-BUSINESS-HOSTING
descr:          IP Pool for Iliad-Entreprises Business Hosting Customers
country:        FR
admin-c:        IENT-RIPE
tech-c:         IENT-RIPE
status:         LIR-PARTITIONED PA
mnt-by:         MNT-TISCALIFR-B2B
created:        2012-11-02T11:39:45Z
last-modified:  2016-02-22T16:25:18Z
source:         RIPE

organisation:   ORG-ONLI1-RIPE
abuse-mailbox:  abuse@online.net
mnt-ref:        MNT-TISCALIFR-B2B
org-name:       ONLINE SAS
org-type:       OTHER
address:        8 rue de la ville l'eveque 75008 PARIS
abuse-c:        AR32851-RIPE
mnt-ref:        ONLINESAS-MNT
mnt-by:         ONLINESAS-MNT
created:        2015-07-10T15:20:41Z
last-modified:  2016-02-23T16:20:42Z
source:         RIPE # Filtered

role:           Iliad Entreprises Admin and Tech Contact
remarks:        Iliad Entreprises is an hosting and services provider
address:        8, rue de la ville l'eveque
address:        75008 Paris
address:        France
phone:          +33 1 73 50 20 00
fax-no:         +33 1 73 50 29 01
abuse-mailbox:  abuse@online.net
tech-c:         NLI-RIPE
nic-hdl:        IENT-RIPE
mnt-by:         ONLINE-NET-MNT
created:        2012-10-25T13:21:59Z
last-modified:  2016-02-23T11:42:21Z
source:         RIPE # Filtered

% Information related to '62.210.0.0/16AS12876'

route:          62.210.0.0/16
descr:          Online SAS
descr:          Paris, France
origin:         AS12876
mnt-by:         MNT-TISCALIFR
created:        2013-08-02T09:07:46Z
last-modified:  2013-08-02T09:07:46Z
source:         RIPE

% This query was served by the RIPE Database Query Service version 1.87.4 (ANGUS)

2016年2月27日土曜日

Samba4 - samba4.3.5でUNIX属性を設定しても反映されない

OSC TOKYO/Spring 2016 が、2/26(金),27(土)と開催されています。たかはしもとのぶさんのセミナーを聞きたかったのですが、風邪をひいたりして、今回も行けずじまいです。そういうわけでもないのですが久しぶりのsamba4の話。

Samba 4 の標準ではWindowsのユーザ識別SIDをUnixのUID/GIDに対応させるため、idmap.ldbに記録されるxidNumberを使いますが、idmap.ldbはサーバごとに異なり同期もされませんので、ドメインコントローラーごとにUID/GIDが異なります。

ユーザにUNIX属性を追加することでサーバ間でUID/GIDを共通化させる方法が知られています。ところが今回検証したsamba4.3.5でユーザやグループに対してUNIX属性を設定してUID/GIDを書き込んでも反映されません。



方法は2つ。


方法1:sam.ldb の既存該当ユーザやグループのエントリに、objectClass: posixAccount (ユーザ)objectClass: posixGroup (グループ)の行を追加する。
RSATでユーザやグループ登録したとき。またコマンドラインから、samba-tool user add USERNAMEやsamba-tool group add GROUPNAMEでUNIX属性なしで登録したときは、UNIX属性をRSATで与えると同時に、sam.ldbに手動でobjectClass: posixAccount(ユーザ)や、objectClass: posixGroup(グループ) の行を追加します。

注意としては、sambaの生DBを編集するから編集時にはsambaを停止しておいたほうが良さそうなのと、キャッシュを削除して再起動しないと(すぐに)反映されないことです。

    1.sambaを停止
    2.ldbedit -H /usr/local/samba/private/sam.ldb として該当ユーザエントリに、objectClass: posixAccountを。グループの場合は該当グループエントリにobjectClass: posixGroup を追加。
    3./usr/local/samba/var/cache フォルダを削除
    4.sambaを起動


該当ユーザもしくはグループのエントリxidNumbarが/usr/local/samba/private/idmap.ldbに残りますが参照されなくなります。ゴミとして残ったエントリは次のようにして削除できます。

*ユーザのSIDを調べる
wbinfo --name-to-sid USERNAME
S-1-5-21-4036476082-4153129556-3089177936-1005 SID_USER (1)

*該当SIDをxidNumberに対応させるidmap.ldbのエントリから消す。
ldbdel --url=/usr/local/samba/private/idmap.ldb CN=S-1-5-21-4036476082-4153129556-3089177936-1005



方法2:最初からUNIX属性を付けてsamba-toolでユーザもしくはグループの登録をする。
この方法だと、sam.ldbに objectClass: posixAccount もしくは posixGroupの行が一緒に登録されます。また使、/usr/local/samba/private/idmap.ldbに、該当ユーザもしくはグループのxidNumbarエントリが作られません。

(ユーザをUNIX属性を付けて作成する例)
samba-tool user add shuichi10 --nis-domain=orange.orange4.net --uid-number=90000 --login-shell=/bin/false --unix-home=/home/ORANGE/shuichi10  --gid-number=99000

*グループにUNIX属性を付けて作成する場合も同じようにします




ここまで気を使わないといけないのなら、ADDCサーバ間ではUID/GIDは異なるもの。として構成するほうがまだ楽ですね。

「Windows Server 2012 で削除された機能または推奨されなくなった機能-UNIX ベース アプリケーション用サブシステム (SUA) は推奨されなくなりました。
https://technet.microsoft.com/ja-jp/library/hh831568.aspx

なんて情報もありますから。

別のアプローチですが、xidの記録されている/usr/local/samba/private/idmap.ldbを1台目のADサーバから 2台目のADサーバに上書きコピーするだけでも、複数のAD間でUID/GIDが共通化されます。予期しない不具合があるかもしれないのが不安ですが、 RFC2307を有効にする必要もありませんし、ユーザ管理作業を常に1台目に対して行うことにすれば問題がない気もしますがどうなんでしょう。


(参考)
Adding users with samba tool
https://wiki.samba.org/index.php/Adding_users_with_samba_tool

Samba 4.0.0のDC上でUID/GIDの値にUNIX属性が反映されない
http://wiki.samba.gr.jp/mediawiki/index.php?title=Samba 4.0.0のDC上でUID/GIDの値にUNIX属性が反映されない