宮尾です。 宮尾です > -----Original Message----- > From: 池田 大輔 [mailto:world_yawaraka@xxxxxxxxxxx] > Sent: Monday, December 18, 2006 12:36 AM > To: vine-users ML > Subject: [vine-users:075596] Re: セキュリティーについて > http://vine.1-max.net/ > 上記のページとまったく同じようにエディタで編集されたということでしょう か。 > できればそのスクリプトを載せていただけるとiptablesについてなにかアドバ > イスできるかと思います。 > (上記のページのとおりなら大丈夫かと思いますが) 上記の設定に追加してメールのパケットを不許可にするため、コメントアウトし セキュリティーを厳しくしました。コメントアウトしてない設定のみ下記に抜粋 して 記載します。 [root@wing-server root]# more /etc/ppp/firewall-masq #!/bin/bash WAN='eth0' # 外部インタフェース LAN='192.168.1.0/24' # 各自の環境に設定してください modprobe ip_conntrack_ftp /etc/init.d/iptables stop iptables -P INPUT DROP # 受信はすべて破棄 iptables -P FORWARD DROP # 通過はすべて破棄 iptables -P OUTPUT ACCEPT # 送信はすべて許可 iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s $LAN -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -N fragment iptables -A fragment -j LOG --log-prefix '[iptables FRAGMENT] ' iptables -A fragment -j DROP iptables -A INPUT -f -j fragment iptables -N net-bios iptables -A net-bios -j LOG --log-prefix '[iptables NETBIOS] ' iptables -A net-bios -j DROP iptables -A INPUT -s ! $LAN -p tcp -m multiport --dports 135,137,138,139,445 -j net-bios iptables -A INPUT -s ! $LAN -p udp -m multiport --dports 135,137,138,139,445 -j net-bios iptables -A OUTPUT -d ! $LAN -p tcp -m multiport --sports 135,137,138,139,445 -j net-bios iptables -A OUTPUT -d ! $LAN -p udp -m multiport --sports 135,137,138,139,445 -j net-bios iptables -N ping-death iptables -A ping-death -m limit --limit 1/s --limit-burst 4 -j ACCEPT iptables -A ping-death -j LOG --log-prefix '[iptables PING DEATH] ' iptables -A ping-death -j DROP iptables -A INPUT -p icmp --icmp-type echo-request -j ping-death echo 1 > /proc/sys/net/ipv4/tcp_syncookies echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with tcp-reset iptables -A INPUT -s $LAN -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -A INPUT -j LOG --log-prefix '[iptables INPUT DROP] ' iptables -A INPUT -j DROP iptables -A FORWARD -j LOG --log-prefix '[iptables FORWARD DROP] ' iptables -A FORWARD -j DROP /etc/rc.d/init.d/iptables save service iptables restart [root@wing-server root]# > ・rootになれるユーザーを限定 > このあたりが参考になるかと http://www.atmarkit.co.jp/flinux/rensai/linuxtips/086suwheel.html 前回のメールで設定を終えた項目を記載したので、上記の設定は 終わりました。 > ・telnetのサービスはしない > nmapの結果を見るとサービスは起動してないようなので、加えて > telnet-serverパッケージをアンインストールしておけば更に安心でしょう。 解りました。 > ・SSHは特定のユーザーのみ外部からも接続okに設定 > 特定のユーザーとは特定のIPということでしょうか。であればxinetdを利用し て > いればその設定ファイル内で接続IPを限定できます。 > 特定のIPという意味でなければ公開・非公開鍵暗号を使ってできると思いま す。 > ssh-keygenあたりで検索してみてください。 出先から接続する時のIPは、限定できないのでssh-keygenで鍵を作り下記のよう に パーミューションを設定しました。 [root@wing-server root]# ls -al /home/miyao/.ssh/ 合計 16 drwx------ 2 miyao users 4096 12月13日 16:05 ./ drwxr-xr-x 24 miyao users 4096 12月17日 21:45 ../ -rwx------ 1 miyao users 403 12月 7日 13:37 authorized_keys* -rwx------ 1 miyao users 403 12月 7日 13:29 id_rsa.pub* [root@wing-server root]# > ・不要なサービスの停止 > 不要なサービスをとめる場合はchkconfigコマンドを使ってください。 > 前述のようにサービスのデーモンをアンインストールしておけば安心でしょ う。 解りました。 有り難うございます