セキュリティの心構え

ブロードバンドルーター

最近のブロードバンドルーターにはデフォルトで外部からの進入をシャットアウトするファイヤーウォールの機能がついていて。個人レベルならこれで十分。ルーターのファームウェアのバグでもない限りはLAN内部に潜入されることもないでしょう。インターネット側からのアクセスをポートごとに転送設定できるもの(NATというがバッファーローではアドレス変換とよんでいる)を購入すべし。

ポートを変える

自分しか利用を想定していないのであれば、SSH(22)やSMTP(25)などはポート番号を変えてしまおう。デフォルトのままだとやたら不正アクセスがあるがポートを変えるとまずこない。

アクセス元IP、ホスト名で制限する

外部からのアクセスが、会社からに限られる場合などはそこだけ有効にしておくのがベスト。

インストール後の設定を見直す

SSH

RedHatやFedoraはSSHでrootログインが可能になっているなど甘い設定がデフォルトになっているのが目に付く。早速直そう。

PermitRootLogin yes→noに変更
/etc/inid.d/sshd restart

次にログインするときからこの設定が有効になる。この状態でexitしたら、ほかのUserからsuできる設定にしておかないと、今後はコンソールの前まで行かないとログインできないので注意。

# Uncomment the following line to require a user to be in the "wheel" group.
auth           required        pam_wheel.so use_uid
useradd normaluser -g wheel

sudo

通常の作業はsudo経由で行うようにしておくべし。自宅サーバーであればALLでよいと思うが、個別に設定も可能。

# visudo
nopass ALL=(ALL) NOPASSWD:ALL #ユーザはパスワード入力を必要としない
pass ALL=(ALL) PASSWD:ALL #ユーザはパスワード必須
findnopass ALL=(ALL) NOPASSWD: /usr/bin/find

VSPのセキュリティ対策

http://blog.zamuu.net/2011/1130/sakura-vps-attacked/ http://dogmap.jp/2011/05/12/vps-security/

ログインの失敗履歴を表示 lastb

ssh操作ログ取得

# Operation Log.
if [ ! -d ~/sshlogs ]; then
   mkdir ~/sshlogs
fi
P_PROC=`ps aux | grep $PPID | grep sshd | awk '{ print $11 }'`
if [ "$P_PROC" = sshd: ]; then
    script -fq ~/sshlogs/`date +%Y%m%d_%H%M%S`_$USER.log
exit
fi

監視ソフトなど

  1. logwatch
  2. denyhosts

http://blog.trendmicro.co.jp/archives/6759

ハニーポット

  1. Dionaea
Counter: 6233, today: 1, yesterday: 0

トップ   編集 凍結 差分 履歴 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2022-10-14 (金) 13:16:53