More Related Content
Similar to Linuxサーバーのセキュリティ対策 part4
Similar to Linuxサーバーのセキュリティ対策 part4 (20)
Linuxサーバーのセキュリティ対策 part4
- 3. セキュリティ対策 - 基本方針
・僕がサーバーの設定を行うときにいつもやっていることを発表
します part4(最後)
・できるだけ、信頼できるPaaS, SaaS的な外部サービスや
共用レンタルサーバーを利用して、自分で設定、運用する
サービスを減らす。
- 特にDNSとメールは自前でやらない!
- SSHとHTTP(S)のみ外部公開するのが理想。
- Webアプリケーションサーバー1台の運用保守を専門業者に
任せるといくらかかる?→それぐらいコストがかかること。
・どんな対策をしても、やられるときはやられる!
それでも、できるだけ少ない手間で基本的な設定を行い、
不正アクセスされる確率を減らす。
2014/2/5
Kazunori INABA
3
- 5. セキュリティ対策 - 項目
Part1
・SSH
・Firewall
・iptables
・TCP Wrapper
・不要なサービスの停止
・DNS bind
http://www.slideshare.net/kazunoriinaba/20130510-linuxsecurity1-21092608
Part2 - Apache編
・(再)DNS bind
・Apache
http://www.slideshare.net/kazunoriinaba/20130619-linuxsecurity2
2014/2/5
Kazunori INABA
5
- 6. セキュリティ対策 - 項目
Part3 - ファイル転送編
・Apache補足
・ファイル転送 FTP, SCP/SFTP, WebDAV
http://www.slideshare.net/kazunoriinaba/20130717-linuxsecurity3
Part4(今回、最後)
・データベース MySQL
・メール Postfix
・アンチウイルス ClamAV
・改ざん検知 Tripwire
・リアルタイムログ監視 Swatch, logmon
・IDS, IPS Snort
以降、コマンドやConfigは、CentOSにおける例です。
2014/2/5
Kazunori INABA
6
- 15. ソフトウェアIDS, IPS - Snort(1)
・IDS(Intrusion Detection System, 不正侵入検知)として使用
- ルールに基づいてパケットを検査し、不正なアクセスがあればログ
に書き出す(のみ。アクセスはできてしまう)。
・IPS(Intrusion Prevention System, 不正侵入防止)として使用
- インターネットと防御対象サーバーの間に挟み込む構成
(Inlineモード)。
- iptablesと組み合わせる。
- ルールに基づいてパケットを検査し、不正なアクセスがあれば
パケットを破棄し、ログに書き出す。
→不正アクセスを自動でブロック。
構築手順をまとめました。
http://inaba-serverdesign.jp/blog/20140131/snort_inline_ips.html
2014/2/5
Kazunori INABA
15
- 16. ソフトウェアIDS, IPS - Snort(2)
Snortの運用
・不正アクセス発生時の通知はSwatchを使用するとよい。
・誤検知があるので、ルールのチューニングが必要。
- 事前に十分な動作確認を。
- 無料配布ルールファイルは、かなりのルールがコメントアウト
されていることに注意。
・攻撃を想定したテストは難しい。
- ツールが少ない。
- 利用しているISP、サーバーサービスによっては外部からの
攻撃テストは申請が必要 or 禁止の場合もあるので注意。
→例えば、AWSは申請が必要。
http://aws.amazon.com/jp/security/penetration-testing/
2014/2/5
Kazunori INABA
16