#author("2021-07-23T00:26:59+00:00","default:wikiadmin","wikiadmin")
-Linuxのセキュリティ

#contents

*セキュリティの心構え [#x0f1a9d1]

-もっとも安全なのは公開しないこと(爆)。公開するにしても必要最小限のポートしか空けない

**ブロードバンドルーター [#ma9022cc]

最近のブロードバンドルーターにはデフォルトで外部からの進入をシャットアウトするファイヤーウォールの機能がついていて。個人レベルならこれで十分。ルーターのファームウェアのバグでもない限りはLAN内部に潜入されることもないでしょう。インターネット側からのアクセスをポートごとに転送設定できるもの(NATというがバッファーローではアドレス変換とよんでいる)を購入すべし。

**ポートを変える [#te804799]

自分しか利用を想定していないのであれば、SSH(22)やSMTP(25)などはポート番号を変えてしまおう。デフォルトのままだとやたら不正アクセスがあるがポートを変えるとまずこない。

**アクセス元IP、ホスト名で制限する [#ud453377]

外部からのアクセスが、会社からに限られる場合などはそこだけ有効にしておくのがベスト。

*インストール後の設定を見直す [#f3a61775]

**SSH [#lc6e94f2]

RedHatやFedoraはSSHでrootログインが可能になっているなど甘い設定がデフォルトになっているのが目に付く。早速直そう。

-/etc/ssh/sshd_config

 PermitRootLogin yes→noに変更

-sshd再起動

 /etc/inid.d/sshd restart

''次にログインするときから''この設定が有効になる。この状態でexitしたら、ほかのUserからsuできる設定にしておかないと、今後はコンソールの前まで行かないとログインできないので注意。

-/etc/pam.d/suでwheelグループのみrootに慣れるようにする。

 # Uncomment the following line to require a user to be in the "wheel" group.
 auth           required        pam_wheel.so use_uid

-wheel groupに所属するユーザー追加

 useradd normaluser -g wheel

*sudo [#mea9c7ca]

通常の作業はsudo経由で行うようにしておくべし。自宅サーバーであればALLでよいと思うが、個別に設定も可能。

 # visudo

 nopass ALL=(ALL) NOPASSWD:ALL #ユーザはパスワード入力を必要としない
 pass ALL=(ALL) PASSWD:ALL #ユーザはパスワード必須
 findnopass ALL=(ALL) NOPASSWD: /usr/bin/find


*VSPのセキュリティ対策 [#qdc29593]

http://blog.zamuu.net/2011/1130/sakura-vps-attacked/
http://dogmap.jp/2011/05/12/vps-security/

*ログインの失敗履歴を表示 lastb [#q6015591]

-ログイン失敗履歴をユーザーごとに表示
 
 lastb -i

*ssh操作ログ取得 [#reccabb3]

 # Operation Log.
 if [ ! -d ~/sshlogs ]; then
    mkdir ~/sshlogs
 fi
 P_PROC=`ps aux | grep $PPID | grep sshd | awk '{ print $11 }'`
 if [ "$P_PROC" = sshd: ]; then
     script -fq ~/sshlogs/`date +%Y%m%d_%H%M%S`_$USER.log
 exit
 fi

*監視ソフトなど [#yf31d387]

+logwatch
+denyhosts

http://blog.trendmicro.co.jp/archives/6759

*ハニーポット [#s8cb2b82]

+Dionaea

#counter

トップ   編集 差分 履歴 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS