Gentoo Linuxをインストールしたら、まずはリモート管理できるようにするため、sshの設定を行う。

その前に、普段使用する一般ユーザーを追加する。

# useradd hogehoge -m -G users,wheel,tty -s /bin/bash
# passwd hogehoge
Password:
Re-enter password:

useraddでユーザーを追加したら、すぐにpasswdでパスワードを設定する。wheelグループにも所属させないと、suでrootになれないので注意。ただし、wheelグループに属させるユーザーは限定しなければならない。

次にsshの設定を行うための下準備として、「取りあえずsshが使える状態」にする。

» 続きを読む

Windows用のsshクライアントを持っていない場合は、各Webサイトからダウンロードしておく。お勧めは、PuTTYとWinSCP。

PuTTYは、サーバにログインし、各種コマンドを実行できるsshクライアント。WinSCPは、scpをGUIで実行できるsshクライアントだ。それぞれtelnetとFTPの代わりに利用する。言い換えると、telnetとFTPは使わない。

» 続きを読む

WindowsでRSA鍵を作成する場合は、PuTTYオリジナル版やWinSCPに付属するputtygen.exeを利用する。

puttygen.exeを起動したら、まずウィンドウ下部のラジオボタンで［SSH2 RSA］を選択する。次に［Generate］ボタンをクリックし、赤枠で示した辺りでマウスポインタをでたらめに動かす。マウスポインタの動きが、暗号を生成するための乱数の基数となる。

プログレスバーが右端に達するまでマウスを動かし続けると、パスフレーズ入力用のテキストボックスが表示される。「Key passphrase」と「Confirm passphrase」に、それぞれ同じパスフレーズを入力する。

パスフレーズを入力したら、［Save public key］ボタンで公開鍵、［Save private key］ボタンで秘密鍵を保存する。ファイル名は何でもよいが、公開鍵は「～.pub」、秘密鍵は「～.priv」とでもしておくと分かりやすいかも。

» 続きを読む

/etc/ssh/sshd_configを編集して、RSA公開鍵認証の有効化と各種の制限を行い、セキュリティを強化する。順番は前後するが、目的別に見ていく。

まず、RSA公開鍵認証の有効化。sshd_configの

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeyFile   .ssh/authorized_keys

を

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeyFile   .ssh/authorized_keys

に修正（「#」を削除）。これで、公開鍵と秘密鍵、パスフレーズによる認証が可能になる。

» 続きを読む

/etc/apache2/conf/commonapache2.confの設定編。

まずは、セキュリティ対策としてServerTokensディレクティブを変更する。ServerTokensディレクティブは、クライアントに返信するサーバ応答ヘッダに含める情報を制御する。デフォルトでは

ServerTokens Full

となっており、Apacheのバージョン、OS、PHPのバージョンなど、サーバの詳しい情報をクライアントに送り返す。例えば、

Server: Apache/2.0.41 (Unix) PHP/4.2.2 MyMod/1.2

こんな感じ。

これでは、クラッカーに対して、クラッキングのための情報を与えているようなものである。

» 続きを読む

忘れないうちに、MySQLのrootパスワードを設定しておく。設定には、SET PASSWORDを使う。

# mysql

でmysqlツールを起動し、

mysql> SET PASSWORD FOR root@localhost=PASSWORD('hoge');
Query OK, 0 rows affected (0.00 sec)

とやって（「hoge」は任意のパスワード）、

mysql> exit

でmysqlツールを終了する。

» 続きを読む

不正侵入対策用に、IDSのSnortをインストールする。

# emerge snort

emergeが終わったら、snort.conf.distribをsnort.confとしてコピーし、設定ファイルとする。

# cp /etc/snort/snort.conf.distrib /etc/snort/snort.conf

そして、この/etc/snort/snort.confを編集する。

» 続きを読む

まず、Snort用のデータベース「snort」をMySQLで作成する。

# mysql -u root -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g. mysql> CREATE DATABASE `snort` ;

次に、ユーザー「snort」を作成し、SELECT、INSERT、UPDATE、DELETE権限を付与する。phpMyAdminを使えば簡単。

» 続きを読む

SnortのログをWebブラウザで閲覧できるようにするACIDをインストールする。Gentoo Linuxの場合、

# ACCEPT_KEYWORDS="~x86" emerge acid

でインストールするのだが、うまく動かなかったのでACIDの本家サイトからダウンロードしたもの（acid-0.9.6b23.tar.gz）を使用。いまはemergeの方も正常に使えるかもしれない。

また、ACIDが利用するライブラリを別途インストールする。これはemergeしたものでOK。

# ACCEPT_KEYWORDS="~x86" emerge adodb jpgraph

» 続きを読む