VPSのセキュリティ対策

今回はVPSのセキュリティー対策です。

もしVPSにセキュリティー対策を行わないと乗っ取りされる可能性があり最悪、強制解約になるかもしれません。

悪意のあるユーザーが作ったbotです。1秒に何千ともブルートフォースアタックができるのはbotしかありません。大体、ブルートフォースアタックしに来てるのはbotだと思ってください。

SSHポート変更

SSHはVPSを操作(OSの操作)に利用します。

標準は22ポートですがそれだと悪意のあるユーザーにブルートフォースアタックされVPSのリソースを食います。

今回はCentOSを利用している場合です。

vim /usr/lib/firewalld/services/ssh.xml
に
<port protocol="tcp" port="22"/>
という部分があるため
(例)
port="22"をport="10022"にして保存します。
vim /etc/ssh/sshd_config
(例)
#Port 22
を
Port 10022
にして保存します。

先にファイアフォールを再起動したらSSHで接続できないため先にSSHサーバーを再起動してください。

ファイアフォールとsshを再起動します。

SSHでrootのログインを許可しない。

rootはサーバーの管理者権限持ったユーザーです。

大体、悪意のあるユーザーはrootから始めるためrootのログイン許可をなくしたらrootでログインできなくなります。

sshのポートを変更したら簡単なポート番号でなければ来ないのでrootのログインを許可しない設定は必要はないと思いますが、念のためした方がいいです。

先に一般ユーザーを作成しといてください。

vim /etc/ssh/sshd_config
#PermitRootLogin yes
の部分を
PermitRootLogin no
にして保存してください。

sshを再起動したらrootでログインできません。

一般ユーザーで

su
su -
でrootにアクセス可能です。
一般ユーザーでrootと同じ権限を使用したい場合は
sudo
でいけます。

一般ユーザーの追加方法

adduser ユーザーID

ユーザーのパスワード作成

passwd ユーザー名
2回同じパスワードを入力してください。

OSのアップデート

OSのアップデートとインストールされているパッケージの更新です。

yum -y update
dnf -y update

-yはインストールをすべて許可です。

-yを無くしたら毎回インストールしてもいいですか?のところにyを入れる必要性があります。

Clam AntiVirus

これにはEPELリポジトリが必要です。

yum -y install clamav clamav-server-systemd clamav-update clamav-scanner-systemd
dnf -y install clamav clamav-server-systemd clamav-update clamav-scanner-systemd
freshclam
でウイルス定義ファイルを更新します。
vim /etc/clamd.d/scan.conf
User clamscan
に
#User clamscan
#LocalSocket /var/run/clamd.scan/clamd.sock
に
LocalSocket /var/run/clamd.scan/clamd.sock
で保存します。
systemctl start clamd@scan
少し時間かかります。
systemctl enable clamd@scan

ウイルススキャンの仕方はgoogleで調べてください。いろんな方法があります。

RKHunter

rootkit検出ツールです。

yum -y install rkhunter
dnf -y install rkhunter
rkhunter --update
でベータベースのアップデート
rkhunter --propupd
でファイルをアップデート
rkhunter
でスキャン開始します。

これは自動的に動作するので設定はいりません。

結果はメールに届きます。

AIDE

IDSです。IPS機能はありません。

yum -y install aide
dnf -y install aide
aide --init
でデータベースの初期化
cp -p /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
生成されたデータベース(DB)をマスターデータベース(マスターDB)にコピーします。
aide --check
チェックを行います。

定期的にチェックしたい場合はCronに登録してください。

このぐらいしといたら大体大丈夫だと思います。

最後まで読んでくれてありがとうございました。

参考サイト

https://www.server-world.info

https://centossrv.com/

https://knowledge.sakura.ad.jp/8218/

https://weblabo.oscasierra.net/openssh-sshd-centos7-change-port/

この記事が良かったら、シェアしてね!

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です