RealPath:
WebPath:
2017/01/10 14:19 (JST) 更新
セットアップ関連 >>

セキュリティ

Contents

ログ

bash
# cat /var/log/secure

rootでのSSHログイン禁止

/etc/ssh/sshd_config
PermitRootLogin no
bash
# service sshd restart

ファイアウォール

設定

bash
# system-config-securitylevel-tui

確認

bash
# cat /etc/sysconfig/iptables

SELinux

SELinuxの有効/無効を確認

bash
# cat /selinux/enforce

SELinuxの有効/無効を設定

bash
# echo 1 > /selinux/enforce  … SELinuxを有効にする
# echo 0 > /selinux/enforce  … SELinuxを無効にする

(CentOSの場合)
# vi /etc/sysconfig/selinux
SELINUX=enforcing
↓
SELINUX=disabled

一時的なSELinuxの有効/無効を確認

bash
# getenforce

一時的にSELinuxの有効/無効を設定

bash
# setenforce 1  … SELinuxを有効にする
# setenforce 0  … SELinuxを無効にする

Exec-Shield

Exec-Shield はスタックセグメントから実行権限を外す。→ バッファオーバーフローによる不正コード実行を防ぐ

Exec-Shieldの有効/無効を確認

bash
# cat /proc/sys/kernel/exec-shield
0 … 無効
9 … 有効

Exec-Shieldの有効/無効を設定

bash
無効化
# echo 0 > /proc/sys/kernel/exec-shield

有効化
# echo 9 > /proc/sys/kernel/exec-shield

xinetd/inetd サービスのアクセス制限

評価順序は hosts.deny → hosts.allow の順。
設定の無いホストはすべて許可。

/etc/hosts.deny (アクセス拒否設定)
<サービス> : <ホスト>

例)
# すべてのサービスに対してすべてのホストからの接続を拒否
ALL : ALL

# pserverに対してすべてのホストからの接続を拒否
cvs : ALL
/etc/hosts.allow (アクセス許可設定)
<サービス> <ホスト>

例)
# すべてのサービスに対して 192.168.1.0/255.255.255.0 からの接続を許可
ALL : 192.168.1.0/255.255.255.0

# pserverに対して 192.168.1.xxx および xxx.example.com からの接続を許可
cvs : 192.168.1. .example.com

ALL: 10.1.0.0/255.255.252.0

参考