Q&A
回答ありがとうございます!
iptablesなのですが、centos7に限っての話なのですがfirewalldに変わってiptablesをいじる場合firewalldを停止するらしいのですが、どちらを使用したほうがいいでしょうか?
firewalldでの設定だと不十分な場合はiptablesをいじろうと考えてはいます。(調べたかぎりiptablesの設定はかなり複雑で難しそうなので...)
前提・実現したいこと
勉強の一環で、ラズパイにcentos7を乗せてwebサーバを稼働させたいのですが、サーバ公開前の段階でセキュリティについてどこまでやれば良いのかがわかりません。基本的なことは少しやったのですが、他に必須なことや、やった方が良い項目などを教えていただけると助かります。
今はapacheを乗せて静的サイトを表示させることが目標です。
環境:RapberryPI3 CentOS7
自分がやったこと
・sshのポートを変更
・sshでrootログインを拒否
・公開鍵認証にする
・パスワード認証を切る
・使うポートのみ開ける
試したこと
https://centossrv.com/
こちらのサイトにあるtripwireを導入しようと思ったのですが、ラズパイでepelのリポジトリが上手く使えず挫折しかけたのですが、これは必須でしょうか?
他にもchkrootkit、Clam AntiVirus、iptablesなどはまだやっていないですが、必須かそうでないかなども教えていただけると助かります。(全てやるのが理想だと思いますが、記事内に参考程度と書いてあったりするため、あまりに時間がかかるようなら飛ばしても大丈夫かどうかを知りたいです。)
回答2件
0
貴方の意識している対策に加えて、DMZを構成して通常使用するパソコンのネットワークからは分離することを考えてください。これにより万が一クラックされる自体に陥っても、家庭内の他のネットワーク機器が大きな被害を受ける可能性を減らす事が出来ます。
家庭用に売られているブロードバンドルーターのDMZ機能ではポートフォワードでインターネットからの接続を受け付ける事は出来ても、LANから隔離したDMZを構成するような機能は持ち合わせていません。DMZを構成するには最低でもSOHO向けの業務用ルータが必要になります。あるいはインターネット接続を2回線用意して、完全に分離してしまっても良いでしょう。
もう一つはサーバを放置しないことです。定期的にログインしてメンテナンスを継続するようにしてください。セキュリティパッチの適用も当然に必要ですし、身に覚えのない通信がないか、不自然な負荷がないかなど、普段から意識するようにしてください。
投稿2018/04/23 14:52
総合スコア472
0
ベストアンサー
RaspberryPiなので、いろいろと盛り込むと性能的に厳しくなる可能性が高いです。
リポジトリは使えないことがいろいろあるので、ソースコンパイルしてみて、無理ならさっぱり忘れるのがよいかと。
セキュリティ環境は日々変わっていきますので、取られたり壊れたりしたら困るデータは入れずに、先に進んだらよいかと。
iptablesくらいは設定したほうがよいかも。
インフラ方面の脆弱性もそうですが、Webサイト自体にもいろいろと脆弱性が入る余地があるので、そちらも気をつけねば。
投稿2018/04/23 13:32
総合スコア8560
私はfirewalldで良いとは思いますが、以下のリンクも参考にしてみると勉強になるかと。
https://teratail.com/questions/57547
https://arstechnica.com/civis/viewtopic.php?f=16&t=1368567
https://www.centos.org/forums/viewtopic.php?t=57091
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/04/24 04:28