CentOS5.4インストール後の設定 その1
※しばらくVirtualPCのコンソールで入力
(1)管理用ユーザ追加(管理用)
[root@hoge ~]# useradd "追加したいユーザ名" -d /home/"追加したいユーザ名"/
[root@hoge ~]# passwd "追加したユーザ名"
Changing password for user "追加したユーザ名"
New UNIX password: ←パスワード入力
Retype new UNIX password: ←もう1回入力
passwd: all authentication tokens updated successfully.
(2)root昇格ユーザ限定設定
[root@hoge ~]# usermod -G wheel "追加したユーザ名"
[root@hoge ~]# vi /etc/pam.d/su
*suファイルを編集する。(Whell以外はsu禁止)
===========================================================
# Uncomment the following line to require a user to be in the "wheel" group.
auth required /lib/security/$ISA/pam_wheel.so use_uid ←コメントを解除
※該当行までカーソルで移動してxで1文字削除
===========================================================
[root@websrv etc]# echo "SU_WHEEL_ONLY yes" >> /etc/login.defs
(3)SSH権限制限
・sshd_configファイル編集
[root@hoge ~]# vi /etc/ssh/sshd_config
*sshd_configファイルを編集する。(sshでのrootログイン不可)
==========================================================
PermitRootLogin no ←コメントアウトを外し、yesをnoに書替
~中略~
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
PermitEmptyPasswords no ←コメントアウトを外す
PasswordAuthentication yes
==========================================================
・sshd再起動
[root@hoge ~]# /etc/rc.d/init.d/sshd restart
sshd を停止中: [ OK ]
sshd を起動中: [ OK ]
・ssh接続ユーザ制限
[root@hoge ~]# vi /etc/pam.d/sshd
*sshファイルを編集する。(sshでの接続ユーザ限定)
===========================================================
session required pam_loginuid.so
account required pam_access.so ←追記する
===========================================================
[root@hoge ~]# vi /etc/security/access.conf
*access.confファイルを編集する。
(sshでの接続ユーザ限定:"追加したユーザ名"とwheelユーザ以外は禁止)
===========================================================
10 # ":" character:
~中略~
57 # All other accounts are allowed to login from anywhere.
58 #
59 -:ALL EXCEPT wheel "追加したユーザ名":ALL ←追記する
============================================================
(4)接続制限
・hosts.allowファイルを編集し内部からの接続を許可する。
[root@hoge ~]# echo "ALL:XXX.XXX.XXX." >> /etc/hosts.allow ←LAN内
※XXX.XXX.XXX.の箇所は自分のプライベートアドレスを指定
・hosts.denyファイルの編集
[root@hoge ~]# echo "sshd: ALL" >> /etc/hosts.deny ←全てのsshd接続を禁止
・IPV6無効化(デフォルトでONになっているが使用しないのでOFFにする)
[root@hoge ~]# vi /etc/sysconfig/network
*networkファイルを編集する。
===========================================================
NETWORKING=yes
NETWORKING_IPV6=no ←yesからnoに書き換え
HOSTNAME=websrv
GATEWAY=192.168.1.1
===========================================================
(5)プリントサーバサービス停止
[root@hoge ~]# /etc/rc.d/init.d/cups stop
cups を停止中: [ OK ]
[root@hoge ~]# chkconfig cups off
[root@hoge ~]# chkconfig --list cups
cups 0:off 1:off 2:off 3:off 4:off 5:off 6:off
(6)バッファオーバフロー防御
[root@hoge ~]# echo 2 > /proc/sys/kernel/exec-shield
(7)不要サービス停止
・サービス停止(必要サービスのみ起動させるように変更する)
[root@hoge ~]# ntsysv
※上記コマンドで停止するサービスをスペースではずして「OK」に移動後に
エンターで設定完了する。停止サービスはここ参考に以下のサービスを停止。
anacron、apmd、atd、bluetooth、cpuspeed、firstboot、ip6tables、netfs、
nfslock、pcsd、portmap、rpcgssd, rpcidmapd, rpcsvcgssd
(8)TeraTermをWindowsにインストール
TeraTermをダウンロードしてWindowsにインストール
これ以降はTeraTerm経由で作業する。
(1)管理用ユーザ追加(管理用)
[root@hoge ~]# useradd "追加したいユーザ名" -d /home/"追加したいユーザ名"/
[root@hoge ~]# passwd "追加したユーザ名"
Changing password for user "追加したユーザ名"
New UNIX password: ←パスワード入力
Retype new UNIX password: ←もう1回入力
passwd: all authentication tokens updated successfully.
(2)root昇格ユーザ限定設定
[root@hoge ~]# usermod -G wheel "追加したユーザ名"
[root@hoge ~]# vi /etc/pam.d/su
*suファイルを編集する。(Whell以外はsu禁止)
===========================================================
# Uncomment the following line to require a user to be in the "wheel" group.
auth required /lib/security/$ISA/pam_wheel.so use_uid ←コメントを解除
※該当行までカーソルで移動してxで1文字削除
===========================================================
[root@websrv etc]# echo "SU_WHEEL_ONLY yes" >> /etc/login.defs
(3)SSH権限制限
・sshd_configファイル編集
[root@hoge ~]# vi /etc/ssh/sshd_config
*sshd_configファイルを編集する。(sshでのrootログイン不可)
==========================================================
PermitRootLogin no ←コメントアウトを外し、yesをnoに書替
~中略~
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
PermitEmptyPasswords no ←コメントアウトを外す
PasswordAuthentication yes
==========================================================
・sshd再起動
[root@hoge ~]# /etc/rc.d/init.d/sshd restart
sshd を停止中: [ OK ]
sshd を起動中: [ OK ]
・ssh接続ユーザ制限
[root@hoge ~]# vi /etc/pam.d/sshd
*sshファイルを編集する。(sshでの接続ユーザ限定)
===========================================================
session required pam_loginuid.so
account required pam_access.so ←追記する
===========================================================
[root@hoge ~]# vi /etc/security/access.conf
*access.confファイルを編集する。
(sshでの接続ユーザ限定:"追加したユーザ名"とwheelユーザ以外は禁止)
===========================================================
10 # ":" character:
~中略~
57 # All other accounts are allowed to login from anywhere.
58 #
59 -:ALL EXCEPT wheel "追加したユーザ名":ALL ←追記する
============================================================
(4)接続制限
・hosts.allowファイルを編集し内部からの接続を許可する。
[root@hoge ~]# echo "ALL:XXX.XXX.XXX." >> /etc/hosts.allow ←LAN内
※XXX.XXX.XXX.の箇所は自分のプライベートアドレスを指定
・hosts.denyファイルの編集
[root@hoge ~]# echo "sshd: ALL" >> /etc/hosts.deny ←全てのsshd接続を禁止
・IPV6無効化(デフォルトでONになっているが使用しないのでOFFにする)
[root@hoge ~]# vi /etc/sysconfig/network
*networkファイルを編集する。
===========================================================
NETWORKING=yes
NETWORKING_IPV6=no ←yesからnoに書き換え
HOSTNAME=websrv
GATEWAY=192.168.1.1
===========================================================
(5)プリントサーバサービス停止
[root@hoge ~]# /etc/rc.d/init.d/cups stop
cups を停止中: [ OK ]
[root@hoge ~]# chkconfig cups off
[root@hoge ~]# chkconfig --list cups
cups 0:off 1:off 2:off 3:off 4:off 5:off 6:off
(6)バッファオーバフロー防御
[root@hoge ~]# echo 2 > /proc/sys/kernel/exec-shield
(7)不要サービス停止
・サービス停止(必要サービスのみ起動させるように変更する)
[root@hoge ~]# ntsysv
※上記コマンドで停止するサービスをスペースではずして「OK」に移動後に
エンターで設定完了する。停止サービスはここ参考に以下のサービスを停止。
anacron、apmd、atd、bluetooth、cpuspeed、firstboot、ip6tables、netfs、
nfslock、pcsd、portmap、rpcgssd, rpcidmapd, rpcsvcgssd
(8)TeraTermをWindowsにインストール
TeraTermをダウンロードしてWindowsにインストール
これ以降はTeraTerm経由で作業する。
コメント