サーバセキュリティ設定確認
自分の借りてるサーバのログを見ると、SSHポートからroot乗っ取りを試みるログが毎日のようにあります。 で、今更ながらサーバの設定を確認してみる。
sshアクセスログ
/var/log/secure
sshdの設定確認
/etc/ssh/sshd_config
VPSサーバのデフォルトの設定だとsshdの設定は、rootログイン拒否なのでとりあえずOK ただ認証鍵方式にした方がセキュアだし、自宅から自動スクリプトも実行できるので便利かも知れない。 もっと言えば、IP制限もかけるべきだけど。
OpenSSLバージョン確認
ssh -v OpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
ちなみにOpenSSLはメジャーバージョンが登場している。 OpenSSL 1.0.0登場、初のメジャーバージョン これはアップグレードしていた方が、精神的にいいかも知れない。
iptables状況確認
iptables -L -v
でiptablesの状況を確認すると以下の通り。
Chain INPUT (policy DROP 77933 packets, 14M bytes) pkts bytes target prot opt in out source destination 413K 319M ACCEPT tcp -- any any anywhere anywhere tcp dpt:ssh 2356K 254M ACCEPT tcp -- any any anywhere anywhere tcp dpt:http 2660 233K ACCEPT tcp -- any any anywhere anywhere tcp dpt:ndmp 56484 4775K ACCEPT icmp -- any any anywhere anywhere 478K 1054M ACCEPT all -- lo any anywhere anywhere 71692 39M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 3196K packets, 4056M bytes) pkts bytes target prot opt in out source destination
ちなみに
iptables -L
で最初確認していたら
target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
の行が表示されて、一瞬全ポート解放してる!?かのように見えて焦りました(^^;)
iptables設定ファイル確認
*filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT COMMIT
ポート10000番ってなんかな?と思ったらWebminのデフォルトでした。 Webminは別に利用頻度が低いからふさいでもいいような気がしましたが、 rootログインしないようにユーザ設定を変更しました。
Apacheバージョン確認
httpd -v Server version: Apache/2.2.3
とりあえず、デフォルトの設定で最低限のセキュリティはされてるようです。
次は、ウィルス等のチェックかな?