今回はVPSのセキュリティー対策です。
もしVPSにセキュリティー対策を行わないと乗っ取りされる可能性があり最悪、強制解約になるかもしれません。
悪意のあるユーザーが作ったbotです。1秒に何千ともブルートフォースアタックができるのはbotしかありません。大体、ブルートフォースアタックしに来てるのはbotだと思ってください。
SSHポート変更
SSHはVPSを操作(OSの操作)に利用します。
標準は22ポートですがそれだと悪意のあるユーザーにブルートフォースアタックされVPSのリソースを食います。
今回はCentOSを利用している場合です。
vim /usr/lib/firewalld/services/ssh.xml
に
<port protocol="tcp" port="22"/>
という部分があるため
(例)
port="22"をport="10022"にして保存します。
vim /etc/ssh/sshd_config
(例)
#Port 22
を
Port 10022
にして保存します。
先にファイアフォールを再起動したらSSHで接続できないため先にSSHサーバーを再起動してください。
ファイアフォールとsshを再起動します。
SSHでrootのログインを許可しない。
rootはサーバーの管理者権限持ったユーザーです。
大体、悪意のあるユーザーはrootから始めるためrootのログイン許可をなくしたらrootでログインできなくなります。
sshのポートを変更したら簡単なポート番号でなければ来ないのでrootのログインを許可しない設定は必要はないと思いますが、念のためした方がいいです。
先に一般ユーザーを作成しといてください。
vim /etc/ssh/sshd_config
#PermitRootLogin yes
の部分を
PermitRootLogin no
にして保存してください。
sshを再起動したらrootでログインできません。
一般ユーザーで
su
su -
でrootにアクセス可能です。
一般ユーザーでrootと同じ権限を使用したい場合は
sudo
でいけます。
一般ユーザーの追加方法
adduser ユーザーID
ユーザーのパスワード作成
passwd ユーザー名
2回同じパスワードを入力してください。
OSのアップデート
OSのアップデートとインストールされているパッケージの更新です。
yum -y update
dnf -y update
-yはインストールをすべて許可です。
-yを無くしたら毎回インストールしてもいいですか?のところにyを入れる必要性があります。
Clam AntiVirus
これにはEPELリポジトリが必要です。
yum -y install clamav clamav-server-systemd clamav-update clamav-scanner-systemd
dnf -y install clamav clamav-server-systemd clamav-update clamav-scanner-systemd
freshclam
でウイルス定義ファイルを更新します。
vim /etc/clamd.d/scan.conf
User clamscan
に
#User clamscan
#LocalSocket /var/run/clamd.scan/clamd.sock
に
LocalSocket /var/run/clamd.scan/clamd.sock
で保存します。
systemctl start clamd@scan
少し時間かかります。
systemctl enable clamd@scan
ウイルススキャンの仕方はgoogleで調べてください。いろんな方法があります。
RKHunter
rootkit検出ツールです。
yum -y install rkhunter
dnf -y install rkhunter
rkhunter --update
でベータベースのアップデート
rkhunter --propupd
でファイルをアップデート
rkhunter
でスキャン開始します。
これは自動的に動作するので設定はいりません。
結果はメールに届きます。
AIDE
IDSです。IPS機能はありません。
yum -y install aide
dnf -y install aide
aide --init
でデータベースの初期化
cp -p /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
生成されたデータベース(DB)をマスターデータベース(マスターDB)にコピーします。
aide --check
チェックを行います。
定期的にチェックしたい場合はCronに登録してください。
このぐらいしといたら大体大丈夫だと思います。
最後まで読んでくれてありがとうございました。
参考サイト
https://knowledge.sakura.ad.jp/8218/
https://weblabo.oscasierra.net/openssh-sshd-centos7-change-port/
コメントを残す