導入編で確認した結果、ファイアウォールは何も設定されていませんでした。まずはセキュリティ関連の設定をします。
SELinuxの確認
本当はきちんと設定したほうがいいんですが、いつも変なところで足を引っ張られるのでSELinuxは無効にします。# getenforcing
Disabled
あれ?CentOS 6はデフォルトで有効だったような・・・
さくらの場合、最初から無効のようです。
日本語環境
# vi /etc/sysconfig/i18nLANG="ja_JP.UTF-8"
SYSFONT="latarcyrheb-sun16"
iptablesの設定
「オールOK」の設定になっているので、「SSH、HTTP、HTTPS、POP3、SMTP、サブミッションポートのみ通す」設定にします。ここでは、SSHは10022に変更しています。
# vi /etc/sysconfig/iptables (iptablesは存在しないので、新規作成)
*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 10022 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 587 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT
# /etc/rc.d/init.d/iptables restart
不要なサービスの停止
■ip6tables# /etc/rc.d/init.d/ip6tables stop
# chkconfig ip6tables off
一般ユーザの作成
UNIXアカウント "admin" を作成する。# adduser admin
# passwd admin
Changing password for user admin. New password: (パスワードを入力) Retype new password:passwd: (パスワードを入力) all authentication tokens updated successfully.
suできるユーザを制限
以下を修正する。# vi /etc/group
wheel:x:10:root,admin
以下を修正する。
# vi /etc/pam.d/su
auth required pam_wheel.so use_uid
以下を追加する。
# vi /etc/login.defs
SU_WHEEL_ONLY yes
SSH
- SSH2のみ
- ポート番号10022
- ルートログイン不可
- 空パスワード不可
- ログインできるアカウントは"admin" のみ
Port 10022 Protocol 2 PermitRootLogin no PasswordAuthentication yes PermitEmptyPasswords no AllowUsers admin
# /etc/rc.d/init.d/sshd restart
参考:
さくらのVPS/初期設定
OSセットアップ情報|さくらのVPS|さくらインターネット公式サポートサイト
