さくらのVPSの運営時にチェックしておきたいセキュリティ対策
さくらのVPSを運営するということはサーバーの管理者になるということなので、セキュリティ対策も十分にしておく必要があります。 そこで、確認しておきたいセキュリティポイントを掲載していきたいと思います。
思いついた内容を随時追加していきますので、完成版ではありません。
目次
サーバー管理できるIPアドレスを制限する
会社や事務所など、固定IPアドレスをお持ちであれば、そこからのみSSHサーバーやFTPサーバーにログインできるようにすると、格段にセキュリティが向上するので、ぜひ導入しておきたいところ。
「hosts.allow」「hosts.deny」ファイルを作成してIPアドレス制限
IPアドレス制限を行うには、SSHでサーバーにログイン後、管理者権限(root)になったあとに、サービスにIPアドレス制限がかけられるように「/etc/host.deny」と「/etc/host.allow」ファイルを作成して以下のように記述します。
/etc/host.deny
ALL:ALL
/etc/hosts.allow
ALL:XXX.XXX.XXX.XXX ←お持ちのIPアドレス
これで、FTPやSSHでのログインが指定の固定IPアドレスからの接続のみ許可されるようになります。
この設定方法はTCPWrappersというしくみで、接続のための設定が他にもいろいろとあります。 より詳しい設定方法については「「TCPWrappers(hosts.allow,hosts.deny)とSSHの公開鍵認証について」をご参照ください。
導入されているソフトウェアのアップデートチェック
さくらのVPSではyumというソフトウェアパッケージ管理ツールが用意されているので、その中のコマンドを使ってソフトウェアを常に最新の状態にしておきましょう。
「yum check-update」でアップデートされたソフトウェアを確認
アップデートされたソフトウェアを「yum check-update」で確認します。
# yum check-update Loaded plugins: fastestmirror Determining fastest mirrors * base: ftp.nara.wide.ad.jp * epel: ftp.jaist.ac.jp * extras: ftp.nara.wide.ad.jp * updates: ftp.nara.wide.ad.jp ...(中略) zlib.i386 1.2.3-4.el5 base zlib.x86_64 1.2.3-4.el5 base
こんな感じでアップデートすべきソフトウェアがリストアップされます。 何も表示されなければアップデートの必要はありません。
「sudo yum update」でアップデートを実行する
アップデートソフトウェアが見つかったら「sudo yum update」コマンドでアップデートを実行しましょう。
# sudo yum update Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile ... Total download size: 268 M Is this ok [y/N]: ←ここで「y」キーを押してアップデートを実行する ... yum-fastestmirror.noarch 0:1.1.16-16.el5.centos zlib.i386 0:1.2.3-4.el5 zlib.x86_64 0:1.2.3-4.el5 Complete!
また気づいたら追加していきますよ。
2012-01-30