[:ja]
- 全パッケージのアップデート
# yum –y update - リモートからの root ログインを無効にする
# vim /etc/pam.d/su
コメント削除
auth required pam_wheel.so use_uid# vim /etc/login.defs
su コマンドで、wheel グループのみ root になれるように設定
SU_WHEEL_ONLY yes# visudo
wheel グループのユーザーのみ sudo コマンドを実行できるように設定
コメント削除
%wheel ALL=(ALL) ALL# vim /etc/ssh/sshd_config
root での ssh ログインを禁止するように設定
PermitRootLogin no設定を有効にする
# /etc/init.d/sshd restart - 公開鍵暗号方式を使用した SSH ログイン設定
キー作成ユーザーになる
# su sshuserキーペアを作成
ホームディレクトリ/.ssh の下に、秘密鍵(id_rsa)と公開鍵(id_rsa.pub)が作成される。
# ssh-keygen -t rsaキーファイル名の変更
# mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keysキーファイルのパーミッション変更
# chmod 600 ~/.ssh/authorized_keys# vim /etc/ssh/sshd_config
秘密鍵でログインできるように設定
PubkeyAuthentication yes設定反映
# /etc/init.d/sshd restartwinscpなどでアクセスする場合はPuTTYgen で PuTTY 用の秘密鍵を作成する必要がある
winscpには最初から入っている。 - iptables 設定
iptables の設定を確認
# /sbin/iptables -L –line-numberHTTP と HTTPS の通信を許可
# /sbin/iptables -I INPUT 5 -p tcp –dport http -j ACCEPT #HTTP
# /sbin/iptables -I INPUT 5 -p tcp –dport https -j ACCEPT #HTTPS設定を保存
# /sbin/service iptables save確認
# cat /etc/sysconfig/iptables - SSH ポート番号の変更
# vim /etc/ssh/sshd_config
ポート番号の変更
Port 10022サービスを再起動で設定反映
# /etc/init.d/sshd restart - 不要なサービスを停止
IPv6 を無効にする
# vim /etc/modprobe.d/disable-ipv6.conf追加
options ipv6 disable=1OS を再起動
# shutdown -r nowIPv6 を無効にしているためサービスを停止
# /etc/init.d/ip6tables stop起動項目から除外
# chkconfig ip6tables off起動時実行サービスの確認
# chkconfig –list | grep “3:on”不要であればpostfixサービスの停止
# /etc/init.d/postfix stop
# chkconfig postfix off - ログ監視設定
logwatch をインストールする
# yum –y install logwatch確認
# /usr/sbin/logwatch –print - ファイル改ざん検知ツール設定
AIDE のインストール
# yum –y install aideデータベース作成
# aide -i確認
# ll -h /var/lib/aide/チェックの実行
# aide -C必要に応じて、aide.conf の設定を編集
定期実行
http://d.hatena.ne.jp/mtbtaizo/20100125 - ウィルス対策ソフト設定
Clam AntiVirus を yum でインストールする
レポジトリの追加
wget http://ftp.riken.jp/Linux/fedora/epel/RPM-GPG-KEY-EPEL-6
rpm –import RPM-GPG-KEY-EPEL-6
rm -f RPM-GPG-KEY-EPEL-6
vi /etc/yum.repos.d/epel.repo
追加
[epel]
name=EPEL RPM Repository for Red Hat Enterprise Linux
baseurl=http://ftp.riken.jp/Linux/fedora/epel/6/$basearch/
gpgcheck=1
enabled=0インストール
# yum –y –enablerepo=epel install clamd設定ファイルの編集
vi /etc/clamd.confコメント化 rootで実行させる
#User clamavclamd起動
/etc/rc.d/init.d/clamd start自動起動設定
# chkconfig clamd onウィルス定義ファイル更新機能の有効化
# sed -i ‘s/^Example/#Example/g’ /etc/freshclam.confウィルス定義ファイル最新化
# freshclamウィルススキャンテスト
# clamscan –infected –remove –recursive定期実行シェルの作成
http://centossrv.com/clamav.shtml - Apache の設定
# vim /etc/httpd/conf/httpd.conf
レスポンスヘッダにVersion等を表示しない
ServerTokens ProductOnlyエラーページにApacheの情報を付けない
ServerSignature OffTrace メソッドを無効にする
TraceEnable Offフレーム内にページを表示させない
Header always append X-Frame-Options SAMEORIGINサービス再起動で設定反映
# /etc/init.d/httpd restart
[:]