検索プログラマのメモ帳

壁にぶつかったら検索で調べるプログラマのちょっと遅れたメモ帳。たまに自分で挑戦する。

Skip to: Content | Sidebar | Footer

[:ja]CentOSで基本的なセキュリティ設定[:]

27 10月, 2015 (09:54) | サーバー設定(Centos・RHEL) | By: admin

[:ja]

  • 全パッケージのアップデート
    # yum –y update
  • リモートからの root ログインを無効にする
    # vim /etc/pam.d/su
    コメント削除
    auth required pam_wheel.so use_uid

    # vim /etc/login.defs
    su コマンドで、wheel グループのみ root になれるように設定
    SU_WHEEL_ONLY yes

    # visudo
    wheel グループのユーザーのみ sudo コマンドを実行できるように設定
    コメント削除
    %wheel ALL=(ALL) ALL

    # vim /etc/ssh/sshd_config
    root での ssh ログインを禁止するように設定
    PermitRootLogin no

    設定を有効にする
    # /etc/init.d/sshd restart

  • 公開鍵暗号方式を使用した SSH ログイン設定

    キー作成ユーザーになる
    # su sshuser

    キーペアを作成
    ホームディレクトリ/.ssh の下に、秘密鍵(id_rsa)と公開鍵(id_rsa.pub)が作成される。
    # ssh-keygen -t rsa

    キーファイル名の変更
    # mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys

    キーファイルのパーミッション変更
    # chmod 600 ~/.ssh/authorized_keys

    # vim /etc/ssh/sshd_config
    秘密鍵でログインできるように設定
    PubkeyAuthentication yes

    設定反映
    # /etc/init.d/sshd restart

    winscpなどでアクセスする場合はPuTTYgen で PuTTY 用の秘密鍵を作成する必要がある
    winscpには最初から入っている。

  • iptables 設定

    iptables の設定を確認
    # /sbin/iptables -L –line-number

    HTTP と HTTPS の通信を許可
    # /sbin/iptables -I INPUT 5 -p tcp –dport http -j ACCEPT #HTTP
    # /sbin/iptables -I INPUT 5 -p tcp –dport https -j ACCEPT #HTTPS

    設定を保存
    # /sbin/service iptables save

    確認
    # cat /etc/sysconfig/iptables

  • SSH ポート番号の変更

    # vim /etc/ssh/sshd_config

    ポート番号の変更
    Port 10022

    サービスを再起動で設定反映
    # /etc/init.d/sshd restart

  • 不要なサービスを停止

    IPv6 を無効にする
    # vim /etc/modprobe.d/disable-ipv6.conf

    追加
    options ipv6 disable=1

    OS を再起動
    # shutdown -r now

    IPv6 を無効にしているためサービスを停止
    # /etc/init.d/ip6tables stop

    起動項目から除外
    # chkconfig ip6tables off

    起動時実行サービスの確認
    # chkconfig –list | grep “3:on”

    不要であればpostfixサービスの停止
    # /etc/init.d/postfix stop
    # chkconfig postfix off

  • ログ監視設定

    logwatch をインストールする
    # yum –y install logwatch

    確認
    # /usr/sbin/logwatch –print

  • ファイル改ざん検知ツール設定

    AIDE のインストール
    # yum –y install aide

    データベース作成
    # aide -i

    確認
    # ll -h /var/lib/aide/

    チェックの実行
    # aide -C

    必要に応じて、aide.conf の設定を編集

    定期実行
    http://d.hatena.ne.jp/mtbtaizo/20100125

  • ウィルス対策ソフト設定

    Clam AntiVirus を yum でインストールする

    レポジトリの追加
    wget http://ftp.riken.jp/Linux/fedora/epel/RPM-GPG-KEY-EPEL-6
    rpm –import RPM-GPG-KEY-EPEL-6
    rm -f RPM-GPG-KEY-EPEL-6
    vi /etc/yum.repos.d/epel.repo
    追加
    [epel]
    name=EPEL RPM Repository for Red Hat Enterprise Linux
    baseurl=http://ftp.riken.jp/Linux/fedora/epel/6/$basearch/
    gpgcheck=1
    enabled=0

    インストール
    # yum –y –enablerepo=epel install clamd

    設定ファイルの編集
    vi /etc/clamd.conf

    コメント化 rootで実行させる
    #User clamav

    clamd起動
    /etc/rc.d/init.d/clamd start

    自動起動設定
    # chkconfig clamd on

    ウィルス定義ファイル更新機能の有効化
    # sed -i ‘s/^Example/#Example/g’ /etc/freshclam.conf

    ウィルス定義ファイル最新化
    # freshclam

    ウィルススキャンテスト
    # clamscan –infected –remove –recursive

    定期実行シェルの作成
    http://centossrv.com/clamav.shtml

  • Apache の設定

    # vim /etc/httpd/conf/httpd.conf
    レスポンスヘッダにVersion等を表示しない
    ServerTokens ProductOnly

    エラーページにApacheの情報を付けない
    ServerSignature Off

    Trace メソッドを無効にする
    TraceEnable Off

    フレーム内にページを表示させない
    Header always append X-Frame-Options SAMEORIGIN

    サービス再起動で設定反映
    # /etc/init.d/httpd restart

[:]

Write a comment