【注意喚起】 #DTI の #VPS は12/28の変更 <http://bit.ly/hUMiiQ> により、1. 全世界からウェブ経由でシェルアクセスが可能となっています。 2. Apacheがオープンプロキシに設定されています。 #security
2010-12-30 02:09:00DTI VPSではAjaxTermに接続するためにProxyPass/ProxyPassReverseを設定されるが、このためにProxyRequests Onにするという初歩的ミス。このような目的にはProxyRequests Onは不要。
2010-12-30 02:14:44Apacheのマニュアルでも、ProxyPassの項目に "The ProxyRequests directive should usually be set off when using ProxyPass." と記載されている。
2010-12-30 02:15:40DTI VPSのセキュリティホールをふさぐ方法: service ajaxterm stop; chkconfig ajaxterm off; rm /etc/httpd/conf.d/proxy_ajaxterm.conf; service httpd restart
2010-12-30 02:17:38先ほどの #DTI #VPS の件補足。ウェブ経由のシェルアクセスは認証が必要。でも、デフォルトで全世界に開かれているのがまずい。
2010-12-30 02:48:30#DTI #VPS がオープンプロキシになっている件 <http://bit.ly/eiKnko> については、早朝のメンテナンスで修正されたとのこと。 #security
2010-12-30 16:10:34修正後でも「proxy *」に対してallow from allは残っているようだ。Proxyサーバをアクセス制限して運用している場合でも、制限を上書きしてopen proxyになってしまう場合がある。 http://bit.ly/fajoGy #DTI #security
2010-12-30 16:22:27proxy_ajaxterm.conf でアクセス制限が上書きされるかは設定が読み込まれる順番による。(httpd.conf の Include ディレクティブの位置や、conf.d/*.conf のファイル名が関係する。) #DTI #VPS #security
2010-12-30 16:32:43DTIのVPSサービスを使用している方は一度目を通しておくといいかも。勿論実施は自己責任で! http://bit.ly/bOXXlC http://bit.ly/96TuGL #DTI #VPS
2011-01-03 16:05:29今一瞬DTIのVPSは「誰かにどこかをいじられた」事を探す訓練をする所なのかと思ったけどあんまり鍛えられそうにない気がしたのでどうでもいいや
2011-01-03 16:11:29VPSサービスを安価に提供してくれるのはありがたいんだけど、その分門戸が広がって、最低限のセキュリティ設定をやってない人も増えたような気がする・・・。でも踏み台にされるというリスクもあるということをきちんと理解して使って欲しいと思うな。#DTI #VPS
2011-01-03 16:17:41ServersMan@VPSの12月の新サービス導入の際、既存のご利用環境に一部変更を行いましたことに関し、お客様より厳しいご指摘を頂きました。DTIとして深く反省をし、代表の石田も含め、今後のリリース、運営組織のポリシーも見直しております。近日中にご報告させていただきます。
2011-01-05 15:02:49DTIさんのServersMan@ VPSはセキュリティの観点からユーザの手を煩わせずにApacheのconfにAjaxTerm用の設定を追加し、VPS環境を勝手にオープンプロキシ化させてくれるかもしれない素晴らしいサービスであることが… http://htn.to/cdmh1o
2011-01-06 00:56:09?? VPSなのに管理会社がconf.d/*を変更するの? 「DTI VPSの大部分がオープンプロキシになっていた件について - Magical Diaryl」 http://0url.info/y5i7qgt0
2011-01-06 10:11:31