Firewalldについての覚書き1
CentOS7で採用されたファイアウォールシステムFirewalldについての覚書です。従来のiptables/ip6tablesでは設定変更時にサービスの再起動が必要でしたがFirewalldでは設定を変更しても再起動は必要ありません。reloadコマンドで設定が反映されます。またFirewalldにはNICカード毎に設定を適用できる従来にはない機能があります。
「 linux 」一覧
CentOS7に公開鍵認証方式でSSH接続
SSH接続にパスワード認証方式を用いるのはブルースフォースアタックでパスワードが割りだされるリスクがあり望ましくありません。そこでSSHに公開鍵認証の設定を行いパスワード認証は止めることにします。認証で使用する公開鍵と秘密鍵はTeraTermで作成した鍵ペアを使用することにします。
fail2banで不正アクセスブロック
サーバを運用していると世界中からお客様が訪ねてきます。Blogを閲覧するお客様なら大歓迎ですが不正アクセスを試みるお客様はお断りしたいものです。Fail2ban はSSHだけではなく、設定によってPostfixをはじめ様々な攻撃を防いでくれます。
メールサーバでスパムチェック
Clam AntiVirusとSpamAssassinを使用してメールサーバでウィルスとスパムチェックを行います。ウィルスを検出したメールはメールサーバで削除を行います。SPAMと判定したメールはSPAMという専用のフォルダに振り分けます。
CentOS7でウィルス対策
フリーのウィルス対策ソフトClam AntiVirusを導入してLinux上でもウィルスチェックを行います。ウィルスはどこから来るかわかりませんのでLinux上でも出来得る対策はしておいて間違いはないでしょう。
CentOS7でzipパスワード圧縮
Linuxでアーカイブファイルを作成する際にはtar.gzがデフォルトの形式です。 しかしバックアップファイルの再利用性や安全性を考慮するとwindows標準で使用できるZIP形式で暗号化するのが使い易いのではと考えました。 そこでLinuxのバックアップアーカイブファイルもZIP暗号化形式に変更することにします。
外部メールサーバを使用したメール送信
メールサーバを導入していないサーバでは単純なmailコマンドではメールを送信することができません。しかし、ある設定をすれば外部メールサーバを使用してメールを送信することができるようになります。
logWatchを導入してLOGチェックを効率化
サーバを運用するうえでログをチェックし問題やその兆候、あるいは不正侵入の試みなどを早期に発見し対策することは重要な作業です。しかし、人の手で/var/logディレクトリのログファイルをチェックするのはとても面倒です。logwatchを導入すれば、自動的に必要なログを項目ごとにまとめてメールで送信してくれます。
Postfixログ解析ツール(pflogsumm)導入
メールサーバを運用するからにはログを監視して正常に動作していることや不正アクセスの兆候がないか確認する必要があります。この時役に立つのがログを解析して結果を教えてくれるpflogsummツールです。
POODLE SSL 3.0(CVE-2014-3566) 対応
SSL/TSLプロトコルの中のSSL3.0プロトコルでは第3者に暗号化通信の一部を盗聴される脆弱性(CVE-2014-3566)が存在します。Red Hat公式ページや有志(とあるサーバエンジニアの忘備録)の方々により対応情報がアップされていますのでこれを参考にメールサーバとWebサーバに対策を行います。
スポンサーリンク