- ベストアンサー
Linuxのアップデートとセキュリティについて
無料プロバイダ(ホームページを置くだけ)を2つほどささやかに運営しているものです。広告なしでやってるせいかこのごろ急にユーザーが増え、今200人弱います。 自分、企画運営はともかくサーバー管理は苦手なので(かろうじて初級のUNIXコマンドが使える程度)LINUXサーバをデフォルト設定のままWEBサーバとして動かしてました。 そうすると、先日「善意のハッカー集団」の(普段は企業相手にハッキング請負をされてるとか)かたから 「不要ポートが開きすぎていて、セキュリティ以前の問題」 と緊急でメールを頂きました。 あわててhttp、ftp、telnet、smtp以外のポートを閉め(苦戦しました) DebianLinuxのページに載っているアップデートを全部行ったのですが、 私の対応はこれで合っていたのでしょうか?
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
□sshの場合 # apt-get install ssh とかで関連するパッケージも引っ張ってきてインストールしてくれると思います。 後は、使用するクライアント用の鍵を ssh-keygenで生成。 ~/.ssh/authorized_keys に公開鍵を追加。 公開鍵と秘密鍵をttssh(teraterm ssh)を使う端末にコピーすれば 使えると思います。 □portsentry debianの場合 unstableとか testingにはパッケージがあるのですが 安定版にはまだないようです。インストール自体はdebianのサイトから ソースコードとパッチをダウンロードし (http://ftp.debian.org/debian/dists/woody/non-free/source/net/portsentry_1.0-1.7.dsc http://ftp.debian.org/debian/dists/woody/non-free/source/net/portsentry_1.0.orig.tar.gz http://ftp.debian.org/debian/dists/woody/non-free/source/net/portsentry_1.0-1.7.diff.gz % tar xvzf portsentry_1.0.orig.tar.gz % cd portsentry-1.0 % patch -p1 < ../portsentry_1.0-1.7.diff % make linux % su # make install # cp debian/init.d /etc/initd/portsentry 適宜 /etc/rc[0-9].dにリンクを張る。同じく以下の 設定ファイルを/etc/portsentryにコピーする。 portsentry-add-ip portsentry.conf portsentry.ignore.static startup.conf portsentry-build-ignore-file portsentry-rm-ip portsentry.ignore 一応 portsentry.conf startup.confの内容は運用条件に 合ってるか確認し必要に応じ変更。 起動は以下ので良いはず。 # cd /etc/init.d/ # ./portsentry start
その他の回答 (4)
- akino4
- ベストアンサー率18% (35/185)
sshについてですが、別にインストールすれば一発で動いちゃいますよ。 えっとデーモンがわはsshdで検索すればいい解説がのってるサイトが あるのでそれをみればいいでしょう。 ターミナルがわですが、私はwinodws端末を使うことが多いので TeraTermのssh対応版をつかってます www.vector.co.jpでteratermをダウンロードして 下記のサイトからダウンロードしたのを同じ場所に展開するだけ だったとおもう・・・・
お礼
ありがとうございます。 Teratermでいいのなら「ソフトを指定」して やり方をページででも指定すれば良いですね。 何しろユーザーに初級、中級が多いので聞きかじりで(正しいんですけど) ユーザーパスワード変更できないのぉ?と聞いてくるので、 telnet系は何かいるのです・・・。
- h_hikita
- ベストアンサー率40% (104/257)
追伸。 本屋に行けば多分この類いの本が何冊かあると思います。 昨年、常時接続にしたさいに自分が購入したのは 以下奴です。(おすすめというよりたまたま今手元にあるだけです。(-_-;) 「Linux版 クラッカー迎撃完全ガイド」 発行インプレス isbn-8443-1360-6
お礼
ありがとうございます。 本、探してみたのですが売ってなかった・・・。 その他の本はどれもこれも分厚くて 「こんなに読まなきゃいけないの?」 ってものばかりでした。
- h_hikita
- ベストアンサー率40% (104/257)
□可能なら ・telnetも閉じて代わりにsshを利用する。 ・ftpは、anonymousとかftpでは接続できないようにするか、いっその事閉じてscpを利用する。 ・mailアカウントを発行してないのならsmtpも止める。 ・mailを使用する必要があるなら ・・smtp-authを導入する。 ・・popもapopなどを使用する。 ・・当然中継はしないよう設定する。 ・ネットワークへの接続の構成が判らないのですが Firewallを設定した方がより安全です。 □追加の確認事項 以下inetdを経由しないで起動する設定の場合があるため動いていない事を確認する。 ・samba (smbd, nmbd) ・portmapper (portmap) □追加で設定/インストールした方がよいものたち ・portsentry (http://www.psionic.com/abacus/portsentry/) portscan検知ツール ・aide (http://www.cs.tut.fi/~rammer/aide.html) 又は tripwire (http://www.tripwire.com/) ファイル改竄確認用 ・cronで定期的にログファイルを外部メディアにバックアップする。 というところでしょうか... # しかし、善意のハッカー集団てなんだ...(-_^;
お礼
ありがとうございます。 samba、porymapperはpsで調べたのですが動いてはないです。 追加で設定するものは文献が全部英語っぽいので骨がありそうですが、 頑張ります。 可能ならの項目もユーザーに悪影響が出ないように気をつけながら、 順番に試してみます。
- akino4
- ベストアンサー率18% (35/185)
telnetも閉じて変わりにsshを使ったほうがいいですよ
お礼
ありがとうございます。 ただsshを使った場合はtelnet用に特殊なソフトを使う 必要があると聞いたのですが・・・。 自分もtelnetを使ってリモート管理をしているし(サーバーが手元にはない) 自分がわかってないソフトは進められないので、一寸心配なのですが、 難しくないのでしょうか。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_4_thumbnail_img_sm.png)
お礼
詳しい解説をありがとうございます。 そこまでできるのに「一般人」を名乗ってしまうというところが 逆にネットの怖いところですよね。 管理する側もうかうかしてられません。