暁なIT備忘録

AKATSUKI Information Technology Memorandum.

Linux 導入後の初期設定:セキュリティ関係

Tags: ,

前述の通りに su が可能なユーザを制限すると共に ssh 経由でログインできる host を制限します。
可能であれば、iptable や上位の FW で Port:22 を必要な Source-IP のみに制限することがベターです。
FW などのロギングをしているとわかるのですが、Port:22 でのアタックはそれなりな数に上りますので、無用なセッションは上流で遮断することで、微々たるモノですがサーバのリソースも確保できるハズです。

また、DMZ/Internal/External なネットワーク構成を持っているのであれば、後述の用に内部セグメントのみ全て許可してしまうのも管理の簡素化として有用だと思います。

■■■■■ セキュリティ関係 ■■■■■

■su コマンド root 変身制御

# vi /etc/group
=====
wheel:x:10:root,<管理ユーザ名>
=====

# rcsdiff /etc/pam.d/su
===================================================================
RCS file: /etc/pam.d/RCS/su,v
retrieving revision 1.1
diff -r1.1 /etc/pam.d/su
6c6
< #auth         required        pam_wheel.so use_uid
---
> auth          required        pam_wheel.so use_uid

作業:su コマンド root 変身制御

■ssh 時に root ログイン不可

# rcsdiff -r1.1 /etc/ssh/sshd_config
===================================================================
RCS file: /etc/ssh/RCS/sshd_config,v
retrieving revision 1.1
diff -r1.1 /etc/ssh/sshd_config
39c39
< #PermitRootLogin yes
---
> PermitRootLogin no

# service sshd restart
sshd を停止中:                                             [  OK  ]
sshd を起動中:                                             [  OK  ]

作業:ssh 時に root ログイン不可

■SELinux 無効化

# rcsdiff /etc/selinux/config
===================================================================
RCS file: /etc/selinux/RCS/config,v
retrieving revision 1.1
diff -r1.1 /etc/selinux/config
7c7
< SELINUX=enforcing
---
> SELINUX=disabled

作業:SELinux 無効化

■アクセス制御

# vi /etc/hosts.allow
=====
#
# hosts.allow	This file contains access rules which are used to
#		allow or deny connections to network services that
#		either use the tcp_wrappers library or that have been
#		started through a tcp_wrappers-enabled xinetd.
#
#		See 'man 5 hosts_options' and 'man 5 hosts_access'
#		for information on rule syntax.
#		See 'man tcpd' for information on tcp_wrappers
#

# sshd Access Control (SSH)
sshd :		192.168.0.0/255.255.255.0 \
		: spawn (/bin/echo "Server \: %N[%A] From Access \: %d TCP Wrapper \: %h[%a]" \
		| /bin/mail -s "%d-Allow-From-%c" root) &

# localhost Access Control
ALL :		localhost 127.0.0.1 : allow
=====

# vi /etc/hosts.deny
=====
#
# hosts.deny	This file contains access rules which are used to
#		deny connections to network services that either use
#		the tcp_wrappers library or that have been
#		started through a tcp_wrappers-enabled xinetd.
#
#		The rules in this file can also be set up in
#		/etc/hosts.allow with a 'deny' option instead.
#
#		See 'man 5 hosts_options' and 'man 5 hosts_access'
#		for information on rule syntax.
#		See 'man tcpd' for information on tcp_wrappers
#

# etc Access Restrictions
ALL :		ALL \
		: spawn (/bin/echo "Server \: %N[%A] From Access \: %d TCP Wrapper \: %h[%a]" \
		| /bin/mail -s "%d-Deny-From-%c" root) &
=====

作業:アクセス制御

→ その後にサーバ再起動。

以上

Tags: ,

Leave a Reply

© 2009 暁なIT備忘録. All Rights Reserved.

This blog is powered by the Wordpress platform and beach rentals.