CentOS セキュリティー設定

Serverman@VPS Entry で検証中
http://dream.jp/vps/

■centos root権限でのアクセスを禁止

一般ユーザーを追加

# useradd serversman

パスワードを設定

# passwd serversman

rootでのログイン禁止設定
sshd_configの設定内容を変更

# vi /etc/ssh/sshd_config

「#PermitRootLogin yes」の項目を「PermitRootLogin no」へ変更

#PermitRootLogin yes
PermitRootLogin no

sshdを再起動

# /etc/init.d/sshd restart

■iptablesの設定

iptables -nL:現在設定中のiptablesの設定情報を確認するためのコマンド。

初期の設定(全空き)

# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

とりあえずServerman@VPSではSSHが3843番ポートを使用するので
外部からの3843番ポートへのアクセスを許可

# iptables -A INPUT -p tcp --dport 3843 -j ACCEPT

データ送信の応答受信の許可

# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

その他を塞ぐ

# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT

確認

# iptables -nL
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3843

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

順番を間違えて先にDROPを設定してしまうと全拒否になりログインできなくなります。。

iptablesの設定保存、再起動

# /etc/init.d/iptables save
# /etc/init.d/iptables restart

■centos 接続元を制限

接続元のアクセス制限の設定
hosts.allowファイルの編集

# vi /etc/hosts.allow

hosts.allow の編集
IPアドレス指定の場合

sshd: xxx.xxx.xxx.xxx

ドメイン指定の場合

sshd: ドメイン名.jp

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

認証(CAPTCHA) * Time limit is exhausted. Please reload CAPTCHA.