【Raspbian】セキュリティ向上その2

  • TCP Wrapper設定

    echo "sshd: ALL" >> /etc/hosts.allow
    echo "ALL: ALL" >> /etc/hosts.deny
    
  • SELinux無効化
    CentOSでは出来ていたけどRaspberry Piでは出来ない!?
  • バッファオーバーフロー対策
    CentOSでは出来ていたけどRaspberry Piでは出来ない!?
  • 公開鍵設定
    Tera Termで「設定」-「SSH鍵生成」を選択。
    鍵の種類「RSA」ビット数「2048」を確認して「生成」をクリック。
    鍵の生成が終わったらパスフレーズを入力して「公開鍵の保存」をクリック。
    ※パスフレーズはログイン時に使用するので忘れずに。

    「teratermインストールフォルダ/サーバー名」にファイル名「id_rsa.pub」で公開鍵を保存。
    ※保存場所は任意。

    続いて「秘密鍵の保存」をクリック。
    「teratermインストールフォルダ/サーバー名」にファイル名「id_rsa」で秘密鍵を保存。
    「キャンセル」をクリックして鍵生成窓を閉じる。

    先ほど保存した「id_rsa.pub」をTeraTermの画面へドラッグ&ドロップ。
    ※ログインユーザーのホームディレクトリにid_ras.pubを転送。

    「ファイル転送を行いますか?」で「SCP」をクリック。
    「id_rsa.pub」が保存されていることを確認。

    公開鍵をサーバーへ登録する。

    cd
    mkdir .ssh
    chmod 700 .ssh
    cat id_rsa.pub > .ssh/authorized_keys
    chmod 600 .ssh/authorized_keys
    rm -f id_rsa.pub
    

    sshd_configを編集する。

    vi /etc/ssh/sshd_config
    
    # 下記内容を変更
    # RSA公開鍵による認証その1
    #PubkeyAuthentication yes
    ↓
    PubkeyAuthentication yes
    
    # RSA公開鍵による認証その2
    #AuthorizedKeysFile %h/.ssh/authorized_keys
    ↓
    AuthorizedKeysFile %h/.ssh/authorized_keys
    
    # パスワードでの認証制御
    #PasswordAuthentication yes
    ↓
    PasswordAuthentication no
    
    # 下記内容を追加
    # チャレンジ/レスポンス認証制御
    ChallengeResponseAuthentication no
    
    /etc/init.d/ssh restart
    

    TeraTermは一旦exitする。
    TeraTermを起動。「ホスト名」を入力して「OK」をクリック。
    「ユーザ名」と先ほど入力した「パスフレーズ」を入力。
    「RSA/DSA鍵を使う」にチェックを入れ「秘密鍵」をクリックして保存した秘密鍵「id_rsa」を選択。
    「OK」をクリック。

  • ファイルウォール設定
    簡易ファイアウォールを導入します。

    apt-get install ufw
    

    ufwは上から順に評価されるので、上に1番強い制御を設定。

    # すべてのアクセスを拒否
    ufw default DENY
    # 20番ポートの通信を条件付許可(FTP)
    ufw limit 20
    # 21番ポートの通信を条件付許可(FTP)
    ufw limit 21
    # 22番ポートの通信を条件付許可(SSH)
    ufw limit 22
    # 80番ポートの通信を許可(HTTP)
    ufw allow 80
    # 8080番ポートの通信を許可(HTTP)
    ufw allow 8080
    # 設定を有効化後に設定値を確認
    ufw enable
    ufw status
    

    ToActionFrom
    20LIMITAnywhere
    21LIMITAnywhere
    22LIMITAnywhere
    80ALLOWAnywhere
    8080ALLOWAnywhere