DTIのVPSがオープンプロキシになっていた件のまとめ

簡易的にまとめを作成しました。
1
やす⋈尾鷲市移住&テレワーク中 @hirayasu

【注意喚起】 #DTI#VPS は12/28の変更 <http://bit.ly/hUMiiQ>; により、1. 全世界からウェブ経由でシェルアクセスが可能となっています。 2. Apacheがオープンプロキシに設定されています。 #security

2010-12-30 02:09:00
やす⋈尾鷲市移住&テレワーク中 @hirayasu

DTI VPSではAjaxTermに接続するためにProxyPass/ProxyPassReverseを設定されるが、このためにProxyRequests Onにするという初歩的ミス。このような目的にはProxyRequests Onは不要

2010-12-30 02:14:44
やす⋈尾鷲市移住&テレワーク中 @hirayasu

Apacheのマニュアルでも、ProxyPassの項目に "The ProxyRequests directive should usually be set off when using ProxyPass." と記載されている。

2010-12-30 02:15:40
やす⋈尾鷲市移住&テレワーク中 @hirayasu

DTI VPSのセキュリティホールをふさぐ方法: service ajaxterm stop; chkconfig ajaxterm off; rm /etc/httpd/conf.d/proxy_ajaxterm.conf; service httpd restart

2010-12-30 02:17:38
やす⋈尾鷲市移住&テレワーク中 @hirayasu

先ほどの #DTI #VPS の件補足。ウェブ経由のシェルアクセスは認証が必要。でも、デフォルトで全世界に開かれているのがまずい

2010-12-30 02:48:30
やす⋈尾鷲市移住&テレワーク中 @hirayasu

#DTI #VPS がオープンプロキシになっている件 <http://bit.ly/eiKnko>; については、早朝のメンテナンスで修正されたとのこと。 #security

2010-12-30 16:10:34
やす⋈尾鷲市移住&テレワーク中 @hirayasu

修正後でも「proxy *」に対してallow from allは残っているようだ。Proxyサーバをアクセス制限して運用している場合でも、制限を上書きしてopen proxyになってしまう場合がある。 http://bit.ly/fajoGy #DTI #security

2010-12-30 16:22:27
やす⋈尾鷲市移住&テレワーク中 @hirayasu

proxy_ajaxterm.conf でアクセス制限が上書きされるかは設定が読み込まれる順番による。(httpd.conf の Include ディレクティブの位置や、conf.d/*.conf のファイル名が関係する。) #DTI #VPS #security

2010-12-30 16:32:43
まぁかっぱ @maakappa0807

DTIのVPSサービスを使用している方は一度目を通しておくといいかも。勿論実施は自己責任で! http://bit.ly/bOXXlC http://bit.ly/96TuGL #DTI #VPS

2011-01-03 16:05:29
FUKAUMI Naoki @naobsd

今一瞬DTIのVPSは「誰かにどこかをいじられた」事を探す訓練をする所なのかと思ったけどあんまり鍛えられそうにない気がしたのでどうでもいいや

2011-01-03 16:11:29
まぁかっぱ @maakappa0807

VPSサービスを安価に提供してくれるのはありがたいんだけど、その分門戸が広がって、最低限のセキュリティ設定をやってない人も増えたような気がする・・・。でも踏み台にされるというリスクもあるということをきちんと理解して使って欲しいと思うな。#DTI #VPS

2011-01-03 16:17:41
serversman-vps @serversman_vps

ServersMan@VPSの12月の新サービス導入の際、既存のご利用環境に一部変更を行いましたことに関し、お客様より厳しいご指摘を頂きました。DTIとして深く反省をし、代表の石田も含め、今後のリリース、運営組織のポリシーも見直しております。近日中にご報告させていただきます。

2011-01-05 15:02:49
OKAT̸̘̒̉̉́̄̍̈́̓͋́̓͠͝͠ @Metaphone

DTIさんのServersMan@ VPSはセキュリティの観点からユーザの手を煩わせずにApacheのconfにAjaxTerm用の設定を追加し、VPS環境を勝手にオープンプロキシ化させてくれるかもしれない素晴らしいサービスであることが… http://htn.to/cdmh1o

2011-01-06 00:56:09
しげ @shige_jpn

?? VPSなのに管理会社がconf.d/*を変更するの? 「DTI VPSの大部分がオープンプロキシになっていた件について - Magical Diaryl」 http://0url.info/y5i7qgt0

2011-01-06 10:11:31