Linuxサーバーのセキュリティ対策 part4

60 %
40 %
Information about Linuxサーバーのセキュリティ対策 part4
Technology

Published on February 6, 2014

Author: kazunoriinaba

Source: slideshare.net

2014.2.5 Garage labsサーバー部12U Linuxサーバーのセキュリティ対策 part4 ~僕がいつもやっていること 稲葉 一紀@札幌 2014/2/5 Kazunori INABA 1

自己紹介 稲葉 一紀  サーバーインフラ専門のフリーランスエンジニア@札幌   稲葉サーバーデザイン http://inaba-serverdesign.jp/     おもにアプリ開発企業・エンジニア向けに     セキュリティ・可用性・性能・拡張性を考慮した     ちょっと気の利いた     サーバーインフラ構成設計・設定・支援や既存システムの性能改善調査・支援      を行います。   札幌ライブ情報 公開中 (URLが変わりました)   http://seesaawiki.jp/w/sapporo_rock_live/ 2014/2/5 Kazunori INABA 2

セキュリティ対策 - 基本方針 ・僕がサーバーの設定を行うときにいつもやっていることを発表  します part4(最後) ・できるだけ、信頼できるPaaS, SaaS的な外部サービスや  共用レンタルサーバーを利用して、自分で設定、運用する  サービスを減らす。   - 特にDNSとメールは自前でやらない!   - SSHとHTTP(S)のみ外部公開するのが理想。   - Webアプリケーションサーバー1台の運用保守を専門業者に    任せるといくらかかる?→それぐらいコストがかかること。 ・どんな対策をしても、やられるときはやられる!   それでも、できるだけ少ない手間で基本的な設定を行い、   不正アクセスされる確率を減らす。 2014/2/5 Kazunori INABA 3

セキュリティ対策 - 基本方針 基本方針についてわかりやすい資料 ・インフィニットループ社内勉強会資料  1時間でざっくり教えるサーバ運営超入門  http://www.slideshare.net/infinite_loop/1-10128499 2014/2/5 Kazunori INABA 4

セキュリティ対策 - 項目 Part1 ・SSH ・Firewall ・iptables ・TCP Wrapper ・不要なサービスの停止 ・DNS bind http://www.slideshare.net/kazunoriinaba/20130510-linuxsecurity1-21092608 Part2 - Apache編 ・(再)DNS bind ・Apache http://www.slideshare.net/kazunoriinaba/20130619-linuxsecurity2 2014/2/5 Kazunori INABA 5

セキュリティ対策 - 項目 Part3 - ファイル転送編 ・Apache補足 ・ファイル転送 FTP, SCP/SFTP, WebDAV http://www.slideshare.net/kazunoriinaba/20130717-linuxsecurity3 Part4(今回、最後) ・データベース MySQL ・メール Postfix ・アンチウイルス ClamAV ・改ざん検知 Tripwire ・リアルタイムログ監視 Swatch, logmon ・IDS, IPS Snort 以降、コマンドやConfigは、CentOSにおける例です。 2014/2/5 Kazunori INABA 6

データベース MySQL(1) ・TCP/3306ポートを外部に公開しない。 ・インストール時にmysql_secure_installationコマンドでセキュリ  ティ設定を行う。   - 匿名ユーザーを削除。   - rootユーザーのリモートログインを禁止。(または限定) ・アプリケーション専用ユーザーを作成し、権限とアクセスする  データベーススキーマを限定する。   rootユーザーを使用しない! ・やむを得ずインターネット越しにアクセスする場合はSSLを使用。 2014/2/5 Kazunori INABA 7

データベース MySQL(2) ・phpMyAdmin   - HTTPSを必須として、DBデータ参照時の通信を暗号化する。   - DBユーザーのログイン認証だけではなく、アクセス元IPアドレス    の制限、クライアント証明書、BASIC/Digest認証などと組み    合わせてセキュリティを強化。 2014/2/5 Kazunori INABA 8

メール Postfix(1) ・メールサーバーの設定、運用は大変!   - マルチバーチャルドメイン、メーリングリスト、ウイルスチェック、    スパムメールフィルタ、暗号化通信、Webメール、PostfixAdmin等    のGUI管理ツールなどなど。   - SMTPポートへのログインチャレンジも多い。   ※Webサーバー上でメールサーバーも運用する場合は、運用保守    費を5割増ぐらいにしてもよいのでは。。。 ・さくらのメールボックス(1,000円/年)、Bizメール(1ID 315円/月)  などの外部サービスの利用がおすすめ。 ・メルマガ等の大量メール配信も、携帯キャリアへの送信等の   ノウハウを持っている外部サービス利用がおすすめ。 2014/2/5 Kazunori INABA 9

メール Postfix(2) ・できれば、アプリケーションや監視ツール等による送信のみ  とする。   - 上位ファイアウォール、iptablesでSMTP(TCP/25)を塞ぐ。   - SMTPポートをListenするアドレスを限定する。     inet_interfaces = localhost どうしても受信、SMTP, POP/IMAP環境が必要なとき、、、 ・不正中継(リレー)されないようにする。   mynetworks = 127.0.0.1, <リレーを許可するサーバー> ・POP over SSL/SMTP over SSL/IMAP over SSLによる  暗号化、SMTP Authは必須。 2014/2/5 Kazunori INABA 10

アンチウイルス ClamAV ・オープンソースのアンチウイルスソフト。   設定手順は以下が詳しい。   http://centossrv.com/clamav.shtml ・定期的にフルスキャンを実施する設定を行うとよい。   - スキャン前に、ClamAV自身とウイルス定義をアップデートする。   - ウイルス検知時に即時削除するかメッセージを出力するのみ    かは設定可能。     誤検知することもある。古いPHPパッケージなど。 ・リアルタイムスキャンは、サーバーに負荷がかかり、また、  ディレクトリの作成し直しが必要。(未経験) ・Postfixとの連携でメールのウイルスチェックも可。(未経験) 2014/2/5 Kazunori INABA 11

改ざん検知 Tripwire ・指定したファイルやディレクトリの変化をチェックしてレポートで  知らせるツール。設定手順は以下など。   http://centossrv.com/tripwire.shtml ・監視対象や検知ポリシーの設定が可能。   - Webコンテンツは静的コンテンツのみ監視対象とする。   - コンテンツだけではなく、各種ConfigやOS基本コマンドの    改ざん(rootkit的な)検知にも有効。 ・短所   - ポリシーファイルに監視対象を設定するのがやや難しい。   - 予定されたConfigの変更でも、状態をアップデートしないと    いちいちアラートメールが届く。(当然だけど)     →運用はわりと大変。 2014/2/5 Kazunori INABA 12

リアルタイムログ監視 Swatch ・指定したログファイルを監視し、指定した文字列が出現したとき  にアラートメールを送信する。    ログイン認証エラー 'authentication failure' など。 ・設定手順は以下など。   http://www.aconus.com/~oyaji/security/swatch.htm ・検知対象の文字列が大量に出現した際の、アラートメールの  送信を抑制する設定が可能。 ・Apacheのエラーログやアプリケーションのログ監視にも便利。 ・監視対象のログファイルの分だけtailプロセスが常駐するので、  メモリ使用量が少し増えることに注意。 2014/2/5 Kazunori INABA 13

リアルタイムログ監視 logmon ・IBMが提供するログ監視ツール   http://www-06.ibm.com/jp/linux/tech/doc/00057580.html ・機能はSwatchとほぼ同等だが、logmonのほうがインストール   が簡単で設定がシンプル。 2014/2/5 Kazunori INABA 14

ソフトウェアIDS, IPS - Snort(1) ・IDS(Intrusion Detection System, 不正侵入検知)として使用   - ルールに基づいてパケットを検査し、不正なアクセスがあればログ    に書き出す(のみ。アクセスはできてしまう)。 ・IPS(Intrusion Prevention System, 不正侵入防止)として使用   - インターネットと防御対象サーバーの間に挟み込む構成    (Inlineモード)。   - iptablesと組み合わせる。   - ルールに基づいてパケットを検査し、不正なアクセスがあれば    パケットを破棄し、ログに書き出す。     →不正アクセスを自動でブロック。   構築手順をまとめました。  http://inaba-serverdesign.jp/blog/20140131/snort_inline_ips.html 2014/2/5 Kazunori INABA 15

ソフトウェアIDS, IPS - Snort(2) Snortの運用 ・不正アクセス発生時の通知はSwatchを使用するとよい。 ・誤検知があるので、ルールのチューニングが必要。   - 事前に十分な動作確認を。   - 無料配布ルールファイルは、かなりのルールがコメントアウト    されていることに注意。 ・攻撃を想定したテストは難しい。   - ツールが少ない。   - 利用しているISP、サーバーサービスによっては外部からの    攻撃テストは申請が必要 or 禁止の場合もあるので注意。     →例えば、AWSは申請が必要。       http://aws.amazon.com/jp/security/penetration-testing/ 2014/2/5 Kazunori INABA 16

まとめ ・信頼できるPaaS, SaaS的な外部サービスや共用レンタル  サーバーを利用して、自分で設定、運用するサービスを  減らそう。 ・基本的な対策を行って、不正アクセスされる確率を減らそう。 ・サーバーやミドルウェアの設定だけでは、アプリケーション  レイヤまでは守れないことに注意しよう。   2014/2/5 Kazunori INABA 17

Add a comment

Comments

35%OFF | 06/06/15
こんにちはが存在し、あなたのためにあなたに感謝情報 - 私がした 確か |右ここから新しい何か何かをピックアップ。 |この使用して|技術的な点の問題 、以来私はリロードする経験 正しく|私の前}回の多くは、それが適切に{ロードする得ることができます。 ウェブホスティング OKであなたの場合、私は疑問に思っていましたか?ないこと私は文句が、スローローディングインスタンス時間は時々ますグーグルでの配置に影響を与えると可能性があなた高AdWordsで広告とマーケティング| 広告場合-quality得点。 とにかく 私は私にこのRSS追加電子メールとができ はるかに多く |魅力|興味深いあなたのそれぞれの興味深いの多くをするために外を見ますコンテンツ。 あなたは再びこれを更新| ていることを確認していることを確認します。 [url=http://www.pralnia-piaseczno.pl]35%OFF[/url]
おすすめ | 08/06/15
紛れもなく あなたがすることを考えています。お気に入りの理由 | 最も簡単を意識する事で、であるように思われたがようでした。人々は検討ながら| イライライライラする | しないについて知っている、彼らはただはっきりことを心配取得|私は確かに間違いなく、あなたに言います。 できたことができます信号を取る人々は、あなたがトップ時に釘を打つことをどうにか せずに全部外に定義副作用副作用が。 そうになります多くを得るために戻って。感謝 [url=http://www.arbomeks.com]おすすめ人気ランキング[/url]
毎日更新 | 09/06/15
誰かが 本質的に 手を貸す 記事 私は思います状態批判を作成します。 それは |私はあなたが頻繁時間非常に最初の最初 ウェブページをとこれまでの? I | 分析とびっくりびっくり | この特定あなたに行わ作る作成 提出ポストを置く 信じられない。 大 活動! [url=http://www.denizgroupmedya.com]毎日更新[/url]
激安 中古 | 10/06/15
あなたの取得情報をが、偉大トピック|ここで、あなたがしているあなたがいるわからない| 私は私がよ。 以上を理解し、私は学習いくつかの時間を費やす必要があります。 情報私はこれを探していた|私の使命のための情報情報 素晴らしいをありがとう。 [url=http://www.lamiacasahotel.com]激安 中古[/url]
店内全品 | 11/06/15
セットアップ設定を取得するために| 必要必要されるものすべて| 好奇心の不思議 |オフトピック場合、私はこれを知っているが、私は私自身のブログウェを開始するに探していたと?私はあなたのようなブログはかなりの費用がかかるだろう有すると仮定していますか?私は今ではない、非常にウェブ スマート私は100%ではないです特定。任意の提案やアドバイスをいただければ幸いです。 感謝 [url=http://www.iriscarpet.com]店内全品半額以下SALE[/url]
最低価格 | 11/06/15
すごい迫力! サイトこのテンプレート/テーマを私は本当に楽しむ愛するです。それは、シンプルでありながら効果的です。多くの時間、それはだ難しい と外観との間の「完璧なバランス」ことを取得します。これで仕事素晴らしいを行って、私は言わなければなりません。ブログの負荷非常に、クイックの私のためインターネットエクスプローラ さらにまた。 例外ブログ! [url=http://iaps.swu.ac.th]最低価格高品質[/url]
ポイント | 12/06/15
このような気難しい共有おかげをサポートするために アイデア、段落はです完全私は完全にそれを読んでいるなぜthatsの、気難しく|良い|楽しい|素敵な [url=http://quantumairlab.com]ポイント5倍&送料無料[/url]
通販 激安 | 20/08/15
マイ開発者 | PHPから.NETに移動するために私を納得させる説得しようとしています。 私は常にためのアイデアを嫌っています。しかし、彼は何も少なくtryiongないです。 に| WordPressの可動型を私が使用してきた約一年のた%3
トに。人 | 23/08/15
http://www.spaarneveste.nl/index.php/?work1=4133&go=9-21-2-10-22-0-4-26-23-24-25&to=9-21-2-10-22-0-4-26-23-24-25&kw= トに。人気男性用紳士靴合 http://www.deblauwehap.com/liseles.php/?work1=5143&go=9-21-2-10-22-0-4-26-23-24-25&to=9-21-2-10-22-0-4-26-23-24-25&kw=
Williamei | 13/06/16
luggage louis vuitton http://bestquitsmokingway.com - bestquitsmokingway... womens gucci belts http://bestquitsmokingway.com/prada-white-purse-aid-20656.html http://bestquitsmokingway.com/hermes-wrap-bracelet-aid-10215.html http://bestquitsmokingway.com/hermes-pensions-management-aid-3615.html http://bestquitsmokingway.com/buy-givenchy-bag-aid-30121.html http://bestquitsmokingway.com/hi-top-prada-sneakers-aid-22506.html http://bestquitsmokingway.com/hobo-gucci-bag-aid-20460.html http://bestquitsmokingway.com/replica-montblanc-pen-aid-31082.html http://bestquitsmokingway.com/fake-prada-bags-for-sale-aid-13040.html http://bestquitsmokingway.com/gucci-replica-handbag-aid-30972.html http://bestquitsmokingway.com/who-was-hermes-mother-aid-1824.html http://bestquitsmokingway.com/buy-replica-hermes-birkin-bags-uk-aid-5417.html http://bestquitsmokingway.com/charms-cartier-aid-31982.html http://bestquitsmokingway.com/black-balenciaga-city-aid-18500.html http://bestquitsmokingway.com/lv-replica-handbags-aid-10032.html http://bestquitsmokingway.com/louis-vuitton-designer-shoes-aid-11698.html hermes scarf bag handle

Related presentations

Presentación que realice en el Evento Nacional de Gobierno Abierto, realizado los ...

In this presentation we will describe our experience developing with a highly dyna...

Presentation to the LITA Forum 7th November 2014 Albuquerque, NM

Un recorrido por los cambios que nos generará el wearabletech en el futuro

Um paralelo entre as novidades & mercado em Wearable Computing e Tecnologias Assis...

Microsoft finally joins the smartwatch and fitness tracker game by introducing the...

Related pages

Garage labsサーバー部12U~Linuxサーバーの ...

僕は今回は、「Linuxサーバーのセキュリティ対策」シリーズのpart4 の ...
Read more

Garage labsサーバー部10Uに参加しました ...

~Linuxサーバーのセキュリティ対策シリーズpart1; ... Garage labsサーバー部12U~Linuxサーバーのセキュリティ対策part4 ; 0;
Read more

postfixadmin メーリングリスト

メール、PostfixAdmin等Linuxサーバーのセキュリティ対策 part4。Postfix+Postfix Admin+MySQL+Dovecotでメールサーバを構築 ...
Read more

【Interop Tokyo 2015】 Sec 04: 他人事では無い ...

Linuxサーバーのセキュリティ対策 part4 1. 2014.2.5 Garage labsサーバー部12ULinuxサーバーのセキュリティ対策 … ...
Read more

NST下痢対策 - Documents - Discover, share, present ...

Linuxサーバーのセキュリティ対策 part4 1. 2014.2.5 Garage labsサーバー部12ULinuxサーバーのセキュリティ対策 … ...
Read more

本文「POP」を検索 - はてなブックマーク

iOS / Androidアプリ アプリなら、いつでもどこでも検索できます
Read more