CentOS 5/諸設定



SSH 接続先設定

SSHはご存知のとおり、セキュアな接続ですがログインできてしまえばサーバーの情報、設定に触れることができます。
よって第三者にアクセスを決して許してはいけないものです。
可能な限り接続先(アクセス先)、ユーザーを制限すべきです。

近頃はSSHで利用しているポート(デフォルト:22)に対してアクセスを試みるアタックが非常に増えています。

SSHで利用するポートを他のポート番号へ移動させるの対策のひとつです。
(ポート番号の変更については割愛させていただきます。申し訳ありませんが検索サイトなどを使って調べてください。)
定期的にパスワードの変更はもちろん、各種ログのチェックは常に行うようにしましょう。

SSHの接続先規制 iptables を使う方法と、TCP Wrapper を使う方法と2通りあります。
ここでは簡単に制限が掛けられる TCP Wrapperの方法を記述します。
(サーバー構築に慣れてきたら是非 iptables を使った制限に挑戦してみてください。)
TCP Wrapper とは /etc/hosts.allow と /etc/hosts.deny にアクセス元情報を記載して制限を掛けます。

$ su -
Password: (パスワード入力)
# vi /etc/hosts.allow


下記の内容を追記します。
注:ここでは、アクセスを許可するIPアドレスが [192.168.1.1] と仮定しています。

sshd:192.168.1.1

複数設定したい場合は、半角スペースで区切って追記が可能です。
またIPアドレスだけでなくドメインでも指定が可能ですが、セキュリティー的な観点から見てあまりお勧めできません。

次に /etc/hosts.deny にも追記します。

# vi /etc/hosts.deny


下記のように追記します。
すでにデフォルトで追記されている方は必要ありません。

ALL:ALL

以上で、SSHのアクセス先設定が完了です。

SSH root接続制限

/etc/ssh/sshd_config をエディタ(vi)で開き、rootログインを不可にします。
そのほか、自分にあった設定に変更してください。

# vi /etc/ssh/sshd_config
#PermitRootLogin yes
     ↓
PermitRootLogin no

次に空パスワードの認証を禁止する設定

#PermitEmptyPasswords no
     ↓
PermitEmptyPasswords no

に変更。

SSHのデーモンを再起動させます。

# service sshd restart
sshd を停止中:                                             [  OK  ]
sshd を起動中:                                             [  OK  ]


このほか、ここの設定で、SSHのプロトコル(Version 1・Version 2)、認証方式(PAM認証・RSA認証)の設定ができます。
自分の使用する環境にあった設定をしてください。

外部ネットワークからSSHへの接続を行う場合、ルーターにPort22の接続をサーバーのIPアドレスへ振る設定も行う必要があります。
ご使用のルーターによって設定方法が異なります。各自マニュアルで調べてください。

起動レベル設定

インストールが終了した状態では、デフォルト設定でGUI(グラフィカルな画面)のログイン画面が立ち上がると思います。
これはランレベル(runlevel)5 というモードで起動しています。
サーバー用途で運用するのであれば、ランレベル5のGUI起動は必要ありません。
しかも大事なメモリリソースを消費するだけです。
これをCUI(キャラクターベースな画面)のログイン画面に変更します。
CUIベースのランレベルは 3 になります。
/etc/inittab を編集します。

# vi /etc/inittab

下記のように修正します。
修正箇所のみ抜粋して記載しています。ご注意ください。

# Default runlevel. The runlevels used by RHS are:
#   0 - halt (Do NOT set initdefault to this)
#   1 - Single user mode
#   2 - Multiuser, without NFS (The same as 3, if you do not have networking)
#   3 - Full multiuser mode
#   4 - unused
#   5 - X11
#   6 - reboot (Do NOT set initdefault to this)
#
id:5:initdefault:

これを

# Default runlevel. The runlevels used by RHS are:
#   0 - halt (Do NOT set initdefault to this)
#   1 - Single user mode
#   2 - Multiuser, without NFS (The same as 3, if you do not have networking)
#   3 - Full multiuser mode
#   4 - unused
#   5 - X11
#   6 - reboot (Do NOT set initdefault to this)
#
id:3:initdefault:

に変更します。

システムを再起動させて、CUIのログイン画面が表示するのを確認してください。



Last-modified: 2015-04-23 (木) 15:32:51 (1275d)