*環境構築 [#obab77d6]
#contents2_1(compact=true,depth=1-2)

&br;
*ユーザ追加 [#h68f006a]
 # useradd -m username
 # passwd username

&br;
*sudo の許可 [#wb7a6bc1]
グループの sudo に許可するか、ユーザごとに sudo に許可するかは、好きなほうで。

**1) sudo がインストールされているか確認する [#cbea026e]
 # yum list installed | grep sudo
 
 sudo.i386                                1.6.8p12-12.el5        installed

もし、インストールされていなかった場合は、インストールする

 # yum install sudo

**2) グループの sudo を許可する方法 [#qbbdc875]

***wheel ユーザの確認 [#h1da4fe4]
 # cat /etc/group | grep wheel

***wheel ユーザの許可をアンコメント [#r9c8d492]
 # /usr/sbin/visudo

 変更前
 # %wheel ALL=(ALL) ALL
 ↓
 変更後
 %wheel ALL=(ALL) ALL

***username (ユーザ)に wheel グループを追加 [#z6017fcc]
 # usermod -a -G wheel username


**3) ユーザごとに sudo を許可する方法 [#n378db30]


***sudo を許可するユーザを追加する [#ff5ee3f0]
 # /usr/sbin/visudo

 変更前
 # Allow root to run any commands anywhere
 root ALL=(ALL) ALL
 ↓
 変更後
 # Allow root to run any commands anywhere
 root ALL=(ALL) ALL
 username ALL=(ALL) ALL

**4) 権限を設定する [#q5f75678]
/usr/local/src に権限を追加しておく。

 # cd /usr/local/
 # chgrp wheel ./src
 # chmod g+w ./src
 # chmod g+s ./src

 変更前
 drwxr-xr-x  2 root root 4096 Mar 30  2007 src
  ↓
 変更後
 drwxrwsr-x  2 root wheel 4096 Mar 30  2007 src


&br;
*SSH の設定 [#gf2ae99c]
**ファイルの修正 [#dcce58b7]
sshd_config を以下のように設定する。

 $ sudo vim /etc/ssh/sshd_config

***root ログインの禁止 [#gbe1699a]
 変更前
 #PermitRootLogin yes
  ↓
 変更後
 PermitRootLogin no

***SSH2でのみ接続を許可 [#af2244db]
 変更前
 #Protocol 2,1
  ↓
 変更後
 Protocol 2

***空のパスワードログイン禁止 [#cd23f2eb]
 変更前
 #PermitEmptyPasswords no
  ↓
 変更後
 PermitEmptyPasswords no

***ログを /var/log/secure に出力する [#of1f70c1]
 変更前
 #SyslogFacility AUTH
  ↓
 変更後
 SyslogFacility AUTHPRIV

***ログインできるユーザを限定する [#v17328e1]
限定する場合は指定する
 AllowUsers username1 username2

**再起動 [#df879d9a]
 $ sudo /etc/rc.d/init.d/sshd reload

&br;
*iptablesの設定 [#jc4aaa60]

**現在の状態を確認する [#xac01c3a]
 $ sudo iptables -L

**ポリシーを決める [#o6601b21]
 $ sudo iptables -P INPUT ACCEPT
 $ sudo iptables -P FORWARD DROP
 $ sudo iptables -P OUTPUT ACCEPT

**ルールをクリアする [#f469e408]
 $ sudo iptables -F

**icmp(ping)と自端末からの入力を許可 [#b77e7441]
 $ sudo iptables -A INPUT -p icmp -j ACCEPT
 $ sudo iptables -A INPUT -i lo -j ACCEPT

**Web、FTP、POP、smtp、ssh による接続を許可 [#c112a952]
 $ sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
 $ sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
 $ sudo iptables -A INPUT -p tcp --dport 110 -j ACCEPT
 $ sudo iptables -A INPUT -p tcp --dport 25 -j ACCEPT
 $ sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
 $ sudo iptables -A INPUT -p tcp --dport 8000 -j ACCEPT

***Webmin の接続を許可したい場合 [#ye02a891]
 $ sudo iptables -A INPUT -p tcp --dport 10000 -j ACCEPT

***FTP の接続を許可したい場合 [#gc3e27cd]
 $ sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT

***使えるねっとなどの Plesk による接続を許可したい場合 [#s347cb8a]
 $ sudo iptables -A INPUT -p tcp --dport 8443 -j ACCEPT
 $ sudo iptables -A INPUT -p tcp --dport 4643 -j ACCEPT
 $ sudo iptables -A INPUT -p tcp --dport 8880 -j ACCEPT

**TCPの接続開始と応答、FTPデータなどを許可 [#g0152911]
 $ sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

**確認する [#jc0f1af9]
 $ sudo iptables -L

**他の接続はすべて破棄(ポリシーの再設定) [#g453ba47]
 $ sudo iptables -P INPUT DROP

**設定を保存 [#ldec1155]
iptablesの設定は、サーバを再起動したときとか消えてしまうので、設定を保存しておく(以下のコマンドでファイルに書き出される)

 $ sudo /etc/init.d/iptables save

**iptablesの再起動 [#yd38275e]
 $ sudo service iptables restart



&br;
*SSH のポート変更 [#w9fee4ed]
**ポートを開ける [#p16b8787]
 $ sudo iptables -A INPUT -p tcp --dport ***** -j ACCEPT

**設定を保存 [#aebea219]
 $ sudo /etc/init.d/iptables save

**iptablesの再起動 [#w1a6f4d1]
 $ sudo service iptables restart


**設定ファイル(sshd_config)の修正 [#d61c529f]
ポートを変更する。
 $ sudo vi /etc/ssh/sshd_config

 変更前
 #Port 22
  ↓
 変更後
 Port *****

**再起動 [#ke64d408]
 $ sudo /etc/rc.d/init.d/sshd reload


&br;
*公開鍵の設定 [#se7c327b]
**クライアント側 [#c0ba440d]
Mac のターミナルで公開鍵を作る。
 $ ssh-keygen -t rsa
 $ vim ~/.ssh/id_dsa.pub
 
 ※公開鍵の中身が表示される

**サーバ側 [#v4d01d84]
 # su -
 # mkdir -p /home/username/.ssh
 # chmod 700 /home/username/.ssh/

 # vim /home/username/.ssh/authorized_keys
 
 ※公開鍵の中身を貼付ける

 # chmod 600 /home/username/.ssh/authorized_keys
 # chown -R username:username /home/username/.ssh/

**設定ファイル(sshd_config)の修正 [#j8ff4411]
パスワード認証を無効にし、鍵でのログインのみ許可する。
 # vi /etc/ssh/sshd_config

 変更前
 #PasswordAuthentication yes
  ↓
 変更後
 PasswordAuthentication no

**再起動 [#vbb48d91]
 # /etc/rc.d/init.d/sshd reload


&br;
*mkpasswd インストール [#re8e96a3]
**インストール [#hb09534a]
mkpasswd コマンドが使えるように expect をインストールする
 $ sudo yum install expect

以下のコマンドが使えるようになる
 $ mkpasswd

&br;
*ログインユーザの確認 [#e99de55b]
**パスワードファイルの確認 [#xaf0af95]
 $ cat /etc/passwd

**apache など ログインさせたくないユーザは、nologin に設定する [#i9ee076b]
 $ sudo usermod -s /sbin/nologin username

**nologin のユーザを作成する場合は、こんな感じ [#e446c024]
 $ sudo useradd -s /sbin/nologin username

ディレクトリを作成しない場合は、こんな感じ?
 $ sudo useradd -d /dev/null -s /sbin/nologin username
 useradd: warning: the home directory already exists.
 Not copying any file from skel directory into it.

&br;
*ユーザのパスワード変更 [#d72d9a59]
**mysql や postgres などすでに存在するユーザのパスワードを変更 [#mefeecaf]
 $ sudo passwd mysql
 $ sudo passwd postgres



&br;
*Comment [#q9fd0e48]
#comment_nospam
&br;
#counter



トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS