インフラエンジニアのVPS徹底比較

CentOS基本設定【重要設定】

VPSを利用する場合、共用サーバと異なり自分でOS設定を行う必要があります。
最低限のセキュリティ設定もせず、大変危険な状態でサービス公開されているサーバを多く見かけます。

是非、下記手順を参考にCentOSサーバを安全かつ安定したシステム構築をしてください。

CentOSサーバの重要設定

最低限のセキュリティを確保するためには、下記の設定は必ず行ってください。
・不要デーモン停止
・パスワードポリシー設定
・sudoコマンド制限
・ユーザスイッチ制限
・攻撃への対策
・SSH設定
・ウィルス対策ソフトのインストール
・iptables設定

※OSインストールが完了していること前提で説明します。

不要なデーモンを停止

不要なデーモン(Windowsでいうサービス)は、セキュリティホールになりかねないので停止しておくことが必要です。
何が不要か判断が難しいですが、下記デーモンは基本的には利用していないと思いますので、停止しておきましょう。

■不要デーモン確認

#chkconfig --list|grep -e avahi-daemon -e apmd -e cups -e pcmcia -e netfs -e nfs -e rpc -e isdn -e apcid -e avahi- -e hidd -e ip6tables -e irda -e netplugd -e rdisc -e pcscd -e wpa_supplicant -e rhnsd -e yum-cron

avahi-daemon    0:off   1:off   2:off   3:on    4:on    5:on    6:off
cups            0:off   1:off   2:off   3:off   4:off   5:off   6:off
ip6tables       0:off   1:off   2:off   3:off   4:off   5:off   6:off
netfs           0:off   1:off   2:off   3:on    4:on    5:on    6:off
nfs             0:off   1:off   2:off   3:off   4:off   5:off   6:off
nfslock         0:off   1:off   2:off   3:off   4:off   5:off   6:off
rdisc           0:off   1:off   2:off   3:off   4:off   5:off   6:off
rpcbind         0:off   1:off   2:on    3:on    4:on    5:on    6:off
rpcgssd         0:off   1:off   2:off   3:on    4:on    5:on    6:off
rpcidmapd       0:off   1:off   2:off   3:on    4:on    5:on    6:off
rpcsvcgssd      0:off   1:off   2:off   3:off   4:off   5:off   6:off
wpa_supplicant  0:off   1:off   2:off   3:off   4:off   5:off   6:off

■不要デーモン停止
上記確認で「:on」となっているデーモンの自動起動をOFFにする設定を行います。
cupsデーモンを自動起動をOFFにする手順を示します。

# chkconfig cups off

その他のデーモンも同様に自動起動の停止設定してください。

パスワードポリシー設定

■パスワード長を8文字以上に変更
対象ファイル：/etc/login.defs

# vi /etc/login.defs

PASS_MIN_LEN    8

■パスワードのロック設定、パスワード文字列の強化
対象ファイル：/etc/pam.d/system-auth-ac
:/etc/pam.d/password-auth-ac

# vi /etc/pam.d/system-auth-ac

#パスワードを10回失敗した場合ロックをかける。ロックタイムアウト値を600秒とする
# ロック中にアクセスが来たらそこからロック期間をカウント(秒)し直すので注意が必要。
auth        required      pam_tally2.so onerr=fail deny=10 unlock_time=600


#dovecot 認証では auth の記述だけではリセットが行われないことへの対応
account     required      pam_tally2.so


#パスワードポリシーとして、パスワード最低8文字以上、小英字、大英字、数字が含まれいるかチェックする
# （retryはpasswdコマンドでの失敗許容回数）
#password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    requisite     pam_cracklib.so try_first_pass retry=10 minlen=8 dcredit=-1 ucredit=-1 lcredit=-1

#password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password   sufficient   pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=1

※auth,account行については追加、passwordで始まる行は変更箇所です。
※同様にリモートサービス用の定義ファイル「/etc/pam.d/password-auth-ac」の修正を行う。

sudoコマンド制限

CentOS6以降、sudoの設定を外部ファイルから読み込む事が可能になっています。
デフォルトでは/etc/sudoers.dディレクトリにファイルが読み込まれます。
一般ユーザがuser01であることを前提に説明します。

# vi /etc/sudoers.d/hostmaster

User_Alias HOSTMASTER = user01
HOSTMASTER ALL=(ALL) ALL

■パーミッション変更 ファイルを読み込みさせる場合、ファイルのパーミッションは440にする。

# chmod 400 /etc/sudoers.d/hostmaster

ユーザスイッチ制限

スイッチできるユーザーをwheelグループユーザーのみとする。
※SUDOを使えるユーザは、ここの設定の影響を受けません。

# vi /etc/pam.d/su

auth           required        pam_wheel.so use_uid

su権限ユーザーをwheelグループへ追加する。

# vi /etc/group

wheel:x:10:user01

# vi /etc/login.defs

SU_WHEEL_ONLY yes

攻撃への対策

■SYN FLOOD 攻撃への対策
Syncookie機能を有効にすることで、SYN FLODD攻撃を防ぐことができる。

# vi /etc/sysctl.conf

net.ipv4.tcp_syncookies = 1

■Smurf攻撃対策
ICMP echo リクエストであて先がブロードキャストだった場合は無視するように設定する。 もしくは、echoに対して応答しないようにすることでSmurf攻撃を防ぐことができる。

# vi /etc/sysctl.conf

net.ipv4.icmp_echo_ignore_broadcasts = 1

SSH設定

下記SSH設定を行います。

・rootアカウントのリモートログイン許可制限
・認証設定
・チューニング

# vi /etc/ssh/sshd_config

#rootアカウントのリモートログイン許可制限
PermitRootLogin no
#認証周りの設定
RhostsRSAAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
#チューニング
UseDNS no
GSSAPIAuthentication no
AddressFamily inet

ウィルス対策ソフトのインストール

ウィルス対策ソフトの導入は必須ですので、予算がない場合は、オープンソースのClamavを導入することをお勧めします。
Clamav導入手順はこちらへ

iptables設定

管理性を考え、iptablesのスクリプトファイルを作成する。
iptablesスクリプトを作成するとコメントが記述できるので、何のために設定したか後程、確認ができます。
※SSHの接続元を制限することをお勧めします。

# vi /opt/scripts/bin/iptables_set.sh

#!/bin/bash
#------------------------------------------
# IP 定義
#------------------------------------------
# 各ネットワーク
LOOPBACK='127.0.0.1'
DMZ_NW='10.18.50.0/20'
TRUST_NW='172.18.50.0/24'

#メンテナンス環境
MAITENANCE_NW='xxx.xxx.xxx/24'

# 監視サーバ
SYS_MON01='xxx.xxx.xxx.xxx'

#------------------------------------------
# 初期化
#------------------------------------------
iptables -F
#------------------------------------------
# デフォルト設定
#------------------------------------------
# INPUT,FORWARD,OUTPUTはすべて拒否
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# 現在セッションを張っているサービスを許可
iptables -A INPUT  -m state --state ESTABLISHE,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHE,RELATED -j ACCEPT

# ループバックアドレスに関してはすべて許可
iptables -A INPUT  -d $LOOPBACK -j ACCEPT
iptables -A OUTPUT -d $LOOPBACK -j ACCEPT
iptables -A INPUT  -s $LOOPBACK -j ACCEPT
iptables -A OUTPUT -s $LOOPBACK -j ACCEPT

#------------------------------------------
# 許可 
#------------------------------------------
# 関連NWに関してはすべて許可
iptables -A INPUT  -s $TRUST_NW -j ACCEPT
iptables -A OUTPUT -d $TRUST_NW -j ACCEPT

# 監視サーバ,メンテナンスサーバはすべて許可
iptables -A INPUT  -s $SYS_MON01 -j ACCEPT
iptables -A OUTPUT  -d $SYS_MON01 -j ACCEPT
iptables -A INPUT  -s $MAITENANCE_NW -j ACCEPT
iptables -A OUTPUT  -d $MAITENANCE_NW -j ACCEPT

# Pingの許可
iptables -A INPUT  -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT  -p icmp --icmp-type echo-reply   -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply   -j ACCEPT

# SSH接続許可
iptables -A INPUT  -s $TCI_GIP1 -p tcp -m state --state NEW --dport 22 -j ACCEPT

# WEBサービス許可
iptables -A OUTPUT -p tcp -m state --state NEW  --dport 80   -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW  --dport 443  -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW  --dport 80  -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW  --dport 443  -j ACCEPT

# DNS
iptables -A OUTPUT -p tcp -m state --state NEW  --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

# SMTP (INPUTはWEBのみ)
iptables -A OUTPUT -p tcp -m state --state NEW --dport 25 -j ACCEPT
iptables -A INPUT  -p tcp -m state --state NEW --dport 25 -j ACCEPT

# NTP問い合わせを許可
iptables  -A OUTPUT  -p udp --sport 123 -j ACCEPT
iptables -A INPUT   -p udp --dport 123 -j ACCEPT

#------------------------------------------
# 設定の反映
#------------------------------------------
/etc/rc.d/init.d/iptables save

■OS起動時のiptables設定
スクリプトの中でiptables保存をしているので、OS再起動も有効ですが、 念のため/etc/rc.localにも記述しておきます。

# vi /etc/rc.local

# vi /etc/rc.local