Q&A
そうですね。
ちゃんと設定します。
VPS(Linux)を借りて、gitbucketを動かしたいと思いました。
次の項目についてセキュリティ対策をしたいのですが、ツッコミ入れてもらえますか?
ちなみに、セキュリティ要件をクリアするまで公開しない予定なので、わかんなら公開するなーってツッコミは不要です。
やりたいこと
CentOS7・Apache24・Tomcat8/GitBucketで、ソース管理サーバを作りたい
セキュリティ対策
SSH
・rootでログイン禁止
・SSH 2のみサポート
・SSHのポートを変更
・公開鍵をつかってログイン
・使っていないユーザは削除
・サービスを実行しているユーザのログインシェルはnologinに設定
Apache
・options -indexes -followsymlinks に設定
・traceを無効にする
・OS/Apacheのバージョンは非表示
Firewall
・80番(ソース見られて問題無いです)とSSHのポートだけ有効にする
その他
・OSは最新の状態に保ちます
ファイル改竄検知 ---> 皆さんは入れてますか?
VPSだと足を引っ張るだけな気がするんです。
ウイルスソフト ---> メールサーバじゃないんで、入れません
ルートキットの検出 ---> あれって、本当に分かるんですか?
ログ監視 ---> これは、必要なのでしょうか?
SELinux ---> 無効でいい気がする
回答3件
0
ベストアンサー
SSH・Apache・Firewall は、それで十分だと思いますが
GitBucketのポートは、解放しないのですか?
>ファイル改竄検知
GitBucketが使用目的なら、正しい使い方をしても
ファイルが頻繁に書き変わりそうなので、
役に立たないかもしれません。
>ウイルスソフト
PC側で守っても十分かもしれませんが、
入れていれば、不正侵入された後に置かれる
メジャーな不正ツールなどを検出してくれる期待はあります。
>ルートキットの検出
入れなくてもいいかも、
現実的な効果は、あまり期待できないので、
ないよりましレベルかと。
>ログ監視
必要ですが、不正アクセスの試みは、
嫌というほどログに上がってきます。
とりあえずCentOS6ではデフォルトであった
logwatchあたりを入れて、
1日1回の統計情報あたりからやっていかがでしょうか。
私は、SSHのログインにかんして、
成否にかかわらずリアルタイムで知りたかったので、
CentOS7にrsyslogをインストールして、
下記サイトを参考にメール通知させるようにしました。
>SELinux
動かした方がいいのは判っているのですが、
面倒なのでいつも動かしていないです。
投稿2015/07/09 03:23
総合スコア79
0
あとは、
・公開鍵をつかってログイン
というのが文字通りだけの意味であるなら、「パスワードを使ってのログインの禁止」もした方が良いです。
そこまで含んでの記述ならいいのですが。
投稿2015/07/09 02:24
総合スコア84505
0
他に思いつくところといったらSSHのポート番号を変更するくらいでしょうか。デフォルトから変更するだけで攻撃が激減するのでオススメです。
ところでApacheは必要ですか?
投稿2015/07/08 21:50
総合スコア1293
回答有難うございます。
あんまり、Apacheは必要ないです。
Apacheの勉強のためにインストールするだけです。
ところで、ルートキットの検出/ログ監視/SELinux ってやるのが普通なのでしょうか?
なんとなく意識高い系の人がやっているだけな気がするんもので
ルートキットの検出とSELinuxはやっていません。
本当はやったほうが良いのかも知れませんが、面倒なので…
ログ監視は不正アクセスと死活監視くらいはやったほうが良いかも知れません。
やっぱり、ルートキット検出とSELinuxはOFFにするんですね。
色々やったほうがいいなーとは思いつつ、勉強するのも面倒だし
リッチなサーバじゃないので遅くなりそうだなーとも思います。
クラックされたらどんな手段を講じていても、結局サーバを再インストールしなくちゃいけないわけですし
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/07/09 03:43