月: 2014年8月

投稿日:

【WEBサーバ】Apache2導入

  • IP固定化

    vi /etc/network/interfaces

    # 下記内容を変更
iface eth0 inet dhcp
↓
iface eth0 inet static

# 下記内容を追加
address 固定化したいIP(Cクラス内)
netmask 255.255.255.0
gateway ルータのIP
  • Apache2

    apt-get install apache2

    インストールは本当に簡単。
    次にApache2のセキュリティ設定を変更する。

    vi /etc/apache2/conf.d/security

    # 下記内容を変更
# サーバ情報表示内容
ServerTokens OS
↓
ServerTokens ProductOnly

# サーバ署名表示内容
ServerSignature On
↓
ServerSignature Off

    次にApache2のホスト設定を変更する。

    vi /etc/apache2/sites-available/default

    # ServerAdminの上に下記内容を追加
ServerName z-area.net

# 下記内容を変更(「/var/www/」の子要素)
Options Indexes FollowSymLinks MultiViews
↓
Options -Indexes FollowSymLinks -MultiViews

# .hatcessファイル制御(単純にAllで良いのかは要検討)
AllowOverride None
↓
AllowOverride All

    service apache2 restart

Indexes:ディレクト一覧表示制御
FollowSymLinks:シンボリックリンク利用制御
⇒ロリ○ップでのセキュリティ事故はシンボリックリンクに関するもの。
 マイナスオプションで制御しても色々問題があるようなのでひとまず有効のまま。
 参考URL:https://fumiyas.github.io/2013/09/03/no-followsymlinks-is-not-safe.html
MultiViews:多言語表示制御
「http://固定化したいIP/」でIt Works!が表示されれば成功。

投稿日:

【Raspbian】セキュリティ向上その2

  • TCP Wrapper設定

    echo "sshd: ALL" >> /etc/hosts.allow
echo "ALL: ALL" >> /etc/hosts.deny
  • SELinux無効化
    CentOSでは出来ていたけどRaspberry Piでは出来ない!?
  • バッファオーバーフロー対策
    CentOSでは出来ていたけどRaspberry Piでは出来ない!?
  • 公開鍵設定
    Tera Termで「設定」-「SSH鍵生成」を選択。
    鍵の種類「RSA」ビット数「2048」を確認して「生成」をクリック。
    鍵の生成が終わったらパスフレーズを入力して「公開鍵の保存」をクリック。
    ※パスフレーズはログイン時に使用するので忘れずに。

    「teratermインストールフォルダ/サーバー名」にファイル名「id_rsa.pub」で公開鍵を保存。
    ※保存場所は任意。

    続いて「秘密鍵の保存」をクリック。
    「teratermインストールフォルダ/サーバー名」にファイル名「id_rsa」で秘密鍵を保存。
    「キャンセル」をクリックして鍵生成窓を閉じる。

    先ほど保存した「id_rsa.pub」をTeraTermの画面へドラッグ&ドロップ。
    ※ログインユーザーのホームディレクトリにid_ras.pubを転送。

    「ファイル転送を行いますか?」で「SCP」をクリック。
    「id_rsa.pub」が保存されていることを確認。

    公開鍵をサーバーへ登録する。

    cd
mkdir .ssh
chmod 700 .ssh
cat id_rsa.pub > .ssh/authorized_keys
chmod 600 .ssh/authorized_keys
rm -f id_rsa.pub

    sshd_configを編集する。

    vi /etc/ssh/sshd_config

    # 下記内容を変更
# RSA公開鍵による認証その1
#PubkeyAuthentication yes
↓
PubkeyAuthentication yes

# RSA公開鍵による認証その2
#AuthorizedKeysFile %h/.ssh/authorized_keys
↓
AuthorizedKeysFile %h/.ssh/authorized_keys

# パスワードでの認証制御
#PasswordAuthentication yes
↓
PasswordAuthentication no

# 下記内容を追加
# チャレンジ/レスポンス認証制御
ChallengeResponseAuthentication no

    /etc/init.d/ssh restart

    TeraTermは一旦exitする。
    TeraTermを起動。「ホスト名」を入力して「OK」をクリック。
    「ユーザ名」と先ほど入力した「パスフレーズ」を入力。
    「RSA/DSA鍵を使う」にチェックを入れ「秘密鍵」をクリックして保存した秘密鍵「id_rsa」を選択。
    「OK」をクリック。

  • ファイルウォール設定
    簡易ファイアウォールを導入します。

    apt-get install ufw

    ufwは上から順に評価されるので、上に1番強い制御を設定。

    # すべてのアクセスを拒否
ufw default DENY
# 20番ポートの通信を条件付許可(FTP)
ufw limit 20
# 21番ポートの通信を条件付許可(FTP)
ufw limit 21
# 22番ポートの通信を条件付許可(SSH)
ufw limit 22
# 80番ポートの通信を許可(HTTP)
ufw allow 80
# 8080番ポートの通信を許可(HTTP)
ufw allow 8080
# 設定を有効化後に設定値を確認
ufw enable
ufw status

    ToActionFrom
    20LIMITAnywhere
    21LIMITAnywhere
    22LIMITAnywhere
    80ALLOWAnywhere
    8080ALLOWAnywhere
投稿日:

【Raspbian】セキュリティ向上その1

  • ルートユーザパスワード変更

    passwd root

    変更後のパスワード入力。
    変更後のパスワード再入力。

  • ログインユーザ(作業ユーザ)追加

    adduser ユーザ名

    変更後のパスワード入力。
    変更後のパスワード再入力。
    残りの項目は空でエンターを押下すれば問題なし。
    最後に”Y”を入力。

    sudoを管理する「/etc/sudoers」を編集するための特殊コマンドを実行する。
    特殊なエディタが起動したらデフォルトユーザpiの下に作業ユーザを追加する。

    visudo

    # 下記内容を追加
# PASSWDはsudoコマンド時にパスワード入力を求める。
ユーザ名 ALL=(ALL) PASSWD: ALL

    CTRL+Xとエンターで保存する。
    次にデフォルトユーザpiの所属を確認する。

    groups pi
pi : pi adm dialout cdrom sudo audio video plugdev games users netdev input spi gpio

    作業ユーザにも同様の所属を適用する。

    sudo usermod -G adm,dialout,cdrom,sudo,audio,video,plugdev,games,users,netdev,input,spi,gpio ユーザ名

    再起動後、作業ユーザが同様の所属になったか確認する。

    groups ユーザ名
ユーザ名 : ユーザ名 adm dialout cdrom sudo audio video plugdev games users netdev input spi gpio
  • デフォルトユーザ削除

    userdel pi

    「/etc/sudoers」からもデフォルトユーザをコメントアウトする。

    visudo

    # 下記内容を変更
pi ALL=(ALL) NOPASSWD: ALL
↓
# pi ALL=(ALL) NOPASSWD: ALL
  • SSH接続設定
    SSH接続設定はデフォルトで有効化されているので、ユーザ制限だけを行う。

    vi /etc/ssh/sshd_config

    # 下記内容を変更
# rootログイン制御
PermitRootLogin yes
↓
PermitRootLogin no

# 空パスワード制御
PermitEmptyPasswords yes
↓
PermitEmptyPasswords no

# 下記内容を追加
# 指定ユーザ名のみのログイン制御
AllowUsers ユーザ名

    /etc/init.d/ssh restart
投稿日:

【Raspbian】初期設定

インストールまでは各サイトを参考にし、OSはRaspbianを選択。
コマンドの記述は特に注釈がない限りはrootで実行です。

  • GUI設定呼び出し 
    raspi-config

    piのパスワードとSSHの有効化はGUIで変えました。
    日本語文字パック導入する前にここで設定すると
    GUIが文字化けするとかなんとか。

  • キーボード設定
    母艦からssh接続しかしないのでデフォルトのままでいきました。
  • スワップ領域拡張
    容量確認しても問題ないように見えたので、そのまま。
  • 日本語文字設定 
    apt-get install fonts-ipafont ttf-vlgothic xfonts-intl-japanese xfonts-intl-japanese-big
apt-get install fonts-ipafont ttf-vlgothic xfonts-intl-japanese
dpkg-reconfigure locales

    en_GB.UTF-8 UTF-8をスペースで選択。
    jp_JP.EUC-JP EUC-JPをスペースで選択。
    jp_JP.UTF-8 UTF-8をスペースで選択。
    タブで移動しOKを選択。
    3つから好きなの選択しタブで移動しOKを選択。
    今回はen_GB.UTF-8を選択。

  • ホスト名変更
    z-area.netに変更。
  • 最新アップデート 
    apt-get update
apt-get upgrade
  • 容量確認 
    df -h

    ファイルシステムサイズ使用未使用使用率マウント
    rootfs5.6G2.8G2.6G52%/
    /dev/root5.6G2.8G2.6G52%/
    devtmpfs239M0239M0/dev
    tmpfs49M248K49M1%/run
    tmpfs5.0M05.0M0%/run/lock
    tmpfs98M098M0%/run/shm
    /dev/mmcblk0p560M9.4M50M16%/boot
    /dev/mmcblk0p327M397K25M2%/media/SETTINGS
  • 再起動 
    shutdown -r now
  • シャットダウン 
    shutdown -h now
  • vimエディタ導入 
    apt-get install vim

    ログインユーザの.bashrcを変更して
    viコマンドでvimエディタを使えるように変更します。

    # ホームディレクトリ(/home/ユーザ名)に戻る
cd
vim .bashrc

    # 下記内容を最終行に追加
alias vi='vim'