どうも、こんばんは、こんにちは。
今回、Deep Securityを導入する方、される方への注意喚起です。
というのは、NATを使用してる或いは、iptablesを使用している環境へ
Deep Security Agentを導入してManagerに登録する際、注意が必要です!
※本件はDeep Security Agentのインストールまでは平気です。
何故なら?
iptableのルーティング設定がぶっ飛ぶ!!
といっても /etc/rc.d/init.d/iptables に記述したルーティング自体はちゃんと保存していれば、設定自体は消えないです。
ただ、とある空ファイルを配置しないと、侵入防御ルールに関連する変更などが行われた際に毎回iptablesのルーティングがぶっ飛ぶ可能性があります。
現時点で確認できたこと ※誤りあったら指摘ください。修正します。。。
- 侵入防御ルールをオン
- ファイヤーウォール機能をオン
- ルールアップデートを実施する。
- 上記を既にオンにしている場合でも、設定変更等行うと再現するかも?(未検証)
※現時点では憶測ですが、上記に関する変更(アップデート)が行われた場合、iptablesのルーティング設定が飛ぶ可能性があると思われます。
★201507/10現在において資料は以下のように記述してますが、食い違いがあるようなので注意!
資料:Deep Security 9.5 SP1インストールガイド 基本コンポーネント
項目:Linuxのiptables
内容:Deep Security 9.5以降では、インストール中にLinuxのiptablesが無効になりません。
http://files.trendmicro.com/jp/ucmodule/tmds/95Sp1/Deep_Security_95_SP1_Install_Guide_basic_JP.pdf
【回避方法】
※既にやらかした方は【やらかした場合】を参照!
空ファイル:「/etc/use_dsa_with_iptables」を作成する。
コマンド
# touch /etc/use_dsa_with_iptables # /etc/rc.d/init.d/iptables restart
さらに詳しい解説は、↓こちら↓ 我が師の記事です!
NATサーバにDSAをインストールする(Deep Security 9.5 / DSaaS)
【やらかした場合】
まずは、念のため、本当にルーティングが吹っ飛んだのか確認。
# service iptables status
吹っ飛んでたら・・・↓のコマンドでiptableの設定を確認。
# cat /etc/sysconfig/iptables
ルーティング設定を保存している場合
①iptablesを再起動してステータスを確認してルーティング設定が読み込まれることを確認。
# service iptables restart # service iptables status
②該当サーバを経由して外に出るサーバよりcurlを叩きこみ応答があるか確認して、応答があれば復旧!
# curl --dump-header - http://www.w3c.org/
ルーティング設定を保存していない場合・・・
⇒iptablesの再設定/(^o^)\ナンテコッタイ
同じ過ちを繰り返さないためにも、【回避方法】の手順で空ファイルを作りましょう。
NATだけに納得の対応を。
なんとなく言ってみただけです。
皆さんごめんなさい。λ….
元記事はこちら
「【NATにおいての注意】Trend Micro Deep security【iptables】 – ミジンコ奮闘記(AWSとLinuxがメインかな・・)」
