Top / セキュリティ / 基本設定

/基本設定

余計なサーバー機能をOFFにする。 †

# chkconfig cups off
# chkconfig avahi-daemon off
# chkconfig avahi-dnsconfd off
# chkconfig bluetooth off
# chkconfig hidd off
# chkconfig pcscd off
# chkconfig smb off
# chkconfig isdn off
# chkconfig sendmail off
# chkconfig ip6tables off
# chkconfig smartd off

余計な仮想端末もOFF †

（Centos6の場合は、/etc/sysconfig/init）

# emacs /etc/inittab
  # Run gettys in standard runlevels
  1:2345:respawn:/sbin/mingetty tty1
  # 2:2345:respawn:/sbin/mingetty tty2　←コメントアウト
  # 3:2345:respawn:/sbin/mingetty tty3　←コメントアウト
  # 4:2345:respawn:/sbin/mingetty tty4　←コメントアウト
  # 5:2345:respawn:/sbin/mingetty tty5　←コメントアウト
  # 6:2345:respawn:/sbin/mingetty tty6　←コメントアウト

/etc/sysctl.confを活用する。 †

Linuxではカーネルにおける各種設定ファイルとして、/etc/sysctl.conf　ファイルが準備されている。これを活用したセキュリティ向上について解説する。

SYNクッキーの有効 †

SYNクッキーとは、TCPプロトコルにおける3ウェイハンドシェイクの手続きの中でSYN,ACKフラグとセッションコードを、クッキーによってその有効性をチェックする機構である。

#emacs /etc/sysctl.conf
  net.ipv4.tcp_syncookies = 1

上の行を追加することで、次回起動時にSYNクッキーが自動起動される。 ちなみに現在の設定状況を確認するためには以下の通り。１なら設定済み。

# cat /proc/sys/net/ipv4/tcp_syncookies

ブロードキャストpingに答えないSmurf攻撃対策 †

ICMPではブロードキャストによる確認が行える、しかし転送元を偽装してブロードキャストを実行すると、同セグメントのマシンから一斉に返信が届き、サーバーの不可になる可能性がある。そのため、ICMPのブロードキャストだけをOFFにしておく機能である。

#emacs /etc/sysctl.conf
  net.ipv4.icmp_echo_ignore_broadcasts=1

ちなみに現在の設定状況を確認するためには以下の通り。１なら設定済み。

# cat /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

セキュリティ情報はここ †

• http://www.jpcert.or.jp/

サーバーの監視ツール †

• http://www.nagios.org/
• DNSサーバーの状態をチェックする

サーバーチェッキングツール †

• http://code.google.com/p/ratproxy/
• http://www.nessus.org/nessus/
• Nessusの日本語による説明
• ノートン先生のポートスキャン

中国や韓国などの不法アクセスからの防御 †

いろいろな国からの不法アクセスが多いわけだが、中国などは三国志や儒教の国とは思えないほど、モラルが低下しており、きわめて不法アクセスが多く無駄にlogファイルを増殖させている。よって、一部の国からのアクセスを禁止する方法を記載する。

Install †

最初にiptablesが稼動していることが条件となる。

# cd /usr/local
# mkdir iptables
# cd iptables
# cp /etc/sysconfig/iptables            <- 一応バックアップ

IPデータベースを落としてくる。（上から、ARIN,APNIC,RIPE,LACNIC,AfriNIC)

# wget ftp://ftp.arin.net/pub/stats/arin/delegated-arin-latest
# wget ftp://ftp.apnic.net/pub/apnic/stats/apnic/delegated-apnic-latest
# wget ftp://ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-latest
# wget ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest
# wget ftp://ftp.afrinic.net/pub/stats/afrinic/delegated-afrinic-latest

国コード一覧表 †

http://www2u.biglobe.ne.jp/~standard/code/country.htm

パケットを覗くツール †

• WireShark(元ethereal)
• tcpdump