[:ja]CentOSで基本的なセキュリティ設定[:]

| 2015年10月27日

[:ja]

  • 全パッケージのアップデート
    # yum –y update
  • リモートからの root ログインを無効にする
    # vim /etc/pam.d/su
    コメント削除
    auth required pam_wheel.so use_uid

    # vim /etc/login.defs
    su コマンドで、wheel グループのみ root になれるように設定
    SU_WHEEL_ONLY yes

    # visudo
    wheel グループのユーザーのみ sudo コマンドを実行できるように設定
    コメント削除
    %wheel ALL=(ALL) ALL

    # vim /etc/ssh/sshd_config
    root での ssh ログインを禁止するように設定
    PermitRootLogin no

    設定を有効にする
    # /etc/init.d/sshd restart

  • 公開鍵暗号方式を使用した SSH ログイン設定

    キー作成ユーザーになる
    # su sshuser

    キーペアを作成
    ホームディレクトリ/.ssh の下に、秘密鍵(id_rsa)と公開鍵(id_rsa.pub)が作成される。
    # ssh-keygen -t rsa

    キーファイル名の変更
    # mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys

    キーファイルのパーミッション変更
    # chmod 600 ~/.ssh/authorized_keys

    # vim /etc/ssh/sshd_config
    秘密鍵でログインできるように設定
    PubkeyAuthentication yes

    設定反映
    # /etc/init.d/sshd restart

    winscpなどでアクセスする場合はPuTTYgen で PuTTY 用の秘密鍵を作成する必要がある
    winscpには最初から入っている。

  • iptables 設定

    iptables の設定を確認
    # /sbin/iptables -L –line-number

    HTTP と HTTPS の通信を許可
    # /sbin/iptables -I INPUT 5 -p tcp –dport http -j ACCEPT #HTTP
    # /sbin/iptables -I INPUT 5 -p tcp –dport https -j ACCEPT #HTTPS

    設定を保存
    # /sbin/service iptables save

    確認
    # cat /etc/sysconfig/iptables

  • SSH ポート番号の変更

    # vim /etc/ssh/sshd_config

    ポート番号の変更
    Port 10022

    サービスを再起動で設定反映
    # /etc/init.d/sshd restart

  • 不要なサービスを停止

    IPv6 を無効にする
    # vim /etc/modprobe.d/disable-ipv6.conf

    追加
    options ipv6 disable=1

    OS を再起動
    # shutdown -r now

    IPv6 を無効にしているためサービスを停止
    # /etc/init.d/ip6tables stop

    起動項目から除外
    # chkconfig ip6tables off

    起動時実行サービスの確認
    # chkconfig –list | grep “3:on”

    不要であればpostfixサービスの停止
    # /etc/init.d/postfix stop
    # chkconfig postfix off

  • ログ監視設定

    logwatch をインストールする
    # yum –y install logwatch

    確認
    # /usr/sbin/logwatch –print

  • ファイル改ざん検知ツール設定

    AIDE のインストール
    # yum –y install aide

    データベース作成
    # aide -i

    確認
    # ll -h /var/lib/aide/

    チェックの実行
    # aide -C

    必要に応じて、aide.conf の設定を編集

    定期実行
    http://d.hatena.ne.jp/mtbtaizo/20100125

  • ウィルス対策ソフト設定

    Clam AntiVirus を yum でインストールする

    レポジトリの追加
    wget http://ftp.riken.jp/Linux/fedora/epel/RPM-GPG-KEY-EPEL-6
    rpm –import RPM-GPG-KEY-EPEL-6
    rm -f RPM-GPG-KEY-EPEL-6
    vi /etc/yum.repos.d/epel.repo
    追加
    [epel]
    name=EPEL RPM Repository for Red Hat Enterprise Linux
    baseurl=http://ftp.riken.jp/Linux/fedora/epel/6/$basearch/
    gpgcheck=1
    enabled=0

    インストール
    # yum –y –enablerepo=epel install clamd

    設定ファイルの編集
    vi /etc/clamd.conf

    コメント化 rootで実行させる
    #User clamav

    clamd起動
    /etc/rc.d/init.d/clamd start

    自動起動設定
    # chkconfig clamd on

    ウィルス定義ファイル更新機能の有効化
    # sed -i ‘s/^Example/#Example/g’ /etc/freshclam.conf

    ウィルス定義ファイル最新化
    # freshclam

    ウィルススキャンテスト
    # clamscan –infected –remove –recursive

    定期実行シェルの作成
    http://centossrv.com/clamav.shtml

  • Apache の設定

    # vim /etc/httpd/conf/httpd.conf
    レスポンスヘッダにVersion等を表示しない
    ServerTokens ProductOnly

    エラーページにApacheの情報を付けない
    ServerSignature Off

    Trace メソッドを無効にする
    TraceEnable Off

    フレーム内にページを表示させない
    Header always append X-Frame-Options SAMEORIGIN

    サービス再起動で設定反映
    # /etc/init.d/httpd restart

[:]

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です