/etc/ftpusers でftpのアクセス制限


/etc/ftpusersでFTPのアクセス制限をかけることができます。

BINDのバージョン情報を隠すには


/etc/named.confのoptions{}内に以下のように記述することでbindのバージョンを隠すことができます。

Ctrl+Alt+deleteキーによる再起動の禁止


Ctrl+Alt+deleteキーによる再起動を禁止するには/etc/inittab 内にある以下の行をコメントアウトすればよい。

MRTGディレクトリにアクセスできない


MRTGインストール直後、mrtgディレクトリにアクセスできない場合、/etc/httpd/conf.d/mrtg.cfgを確認してください。

RedHat 9.0以前のパッケージのアップデート


RedHat 9.0 までのバージョンではすでにサポートが打ち切られてしまったが、Fedora Legacy Projectにてパッケージのアップデートを手にいれることができる。

SNMPの設定


SNMPとはネットワークに接続された様々な機器を監視するためのプロトコルです。SNMPを使用するとトラフィックやディスク、ロードアベレージ、プロセス数などの情報を取得することが可能です。

SSHでログインできるユーザを制限


/etc/ssh/sshd_config 内に以下の行を追加することで、特定のユーザ以外SSHでログインできなくすることができます。

chrootkit - rootkitの検出


chrootkitを使用すればrootkitを検出することが可能。

chrootssh


chrootsshを使用すればユーザを特定のディレクトリに閉じこめることが可能です。

iplogによるトラフィック監視


iplogはトラフィックを監視し、ポートスキャンなどを検出してくれます。iplogではlibpcapが必要となるため、まずパッケージが入っているかどうか確認し、なければ先にインストールしてください。

iptables - DNAT


あて先アドレスの書き換えにはDNATを使用します。以下の例では192.168.1.1にきたアクセスを192.168.1.100にリダイレクトしています。

iptables - SNAT


送信元アドレスの変換の書き換えにはSNATを使用します。以下の例では192.168.1.1宛のパケットの送信元アドレスを192.168.1.100に書き換えています。

iptables 設定 - ルールの削除


iptablesのルールを一つだけ削除したい場合は -D オプションを使用します。

iptablesでftpを通す


iptablesでFTPを通すには20番ポートと21番ポートをあけるだけではpassive modeのFTPはうまく通してくれません。ip_conntrack_ftpとip_nat_ftp二つのモージュールをロードする必要があります。

iptablesでpingを通す


iptablesでpingを通すにはicmp-typeの0と8を通せばよい。

iptablesのルール一覧を表示するには


iptables -L でルールの一覧を表示することができます。

iptalbesでdhcpを通す


iptablesでdhcpを通すには以下のようにudpポートの67と68を開ければよい。

john the ripper


パスワードが安全かどうかを確かめるにはJohn the Ripperが便利です。実際ユーザ名とパスワードが同じものはすぐに解析されてしまいます。

macアドレスによるフィルタリング


iptablesではmacアドレスによるフィルタリングも可能です。

nmapによるOSの特定


nmapはポートスキャンを行うためのツールでhttp://www.insecure.org/nmap/より取得することができます。nmapは-OオプションをつけることでOSの特定にも使用できます。

qpopperのバージョンを隠すには


qpopperのバージョンを隠すにはまず/etc/qpopper.confなどを作成し、set shy = trueとします。

rootユーザで直接SSHへログインするのを防ぐ


SSHにてrootユーザが直接ログインするのを防ぐには sshd_config にて PermitRootLoginをnoにすればよい。

rp_filter - スプーフィング対策


スプーフィング対策としてカーネルパラメータのrp_filterを有効にしましょう。スプーフィングとはプライベートアドレスを詐称してファイアウォールを通りぬける手法です。rp_filterを有効にすると送信元IPアドレスが正しいかどうかを確認してくれます。

scponly


scponlyはscpのみを許可するシェルです。configure時に--enable-chrooted-binaryオプションをつければ、ユーザをホームディレクトリ内に閉じ込めることが可能です。

ssh-agent - 公開鍵認証の鍵管理


ssh-agentは公開鍵認証で使用するキーを管理するためのプログラムです。

sshdfilter


最近sshへのbrute force attackが増えているが、sshdfilterというのを使用すれば、attackがあった時点でiptablesにルールを追加してくれるようになる。sshへの接続を閉じれない場合には使えるかもしれない。

sshdがサポートするプロトコルのバージョン


sshがサポートするプロトコルのバージョンは/etc/ssh/sshd_config内のProtocol行に記述されています。

sudo


sudoを使えば特定のユーザ(グループ)に、そのユーザ権限では実行できないコマンドの実行権限を与えることができます。sudoの設定は/etc/sudoersにて行いますが、viで開くと危険なのでvisudoコマンドを使用します。

suコマンドの制限


特定のユーザ以外suコマンドを使えなくするには/etc/pam.d/su にある以下のコメントをはずし、wheelグループにsuを許可するユーザ名を追加すればよい。

system-config-securitylevel-tui - ファイアウォールの設定


RHELやFedoraでFirewall(iptables)の設定を自動で行ってくれるツール。インストール時の画面と同じものが立ち上がります。

tcp_syncookies - SYN Flood攻撃を防ぐには


/proc/sys/net/ipv4/tcp_syncookies の値を1にすることでSYN flood攻撃に対する耐性をあげることができます。(デフォルトでは0になっています)

tripwireによるファイル改竄検知


tripwireは定期的にデータベースとの照合を行いファイルに改竄がないかどうかを確認するためのソフトです。導入にはRPMを使用すると楽です。

zlib + libpng + gd + mrtgのインストール


mrtgのインストールにはzlibとlibpng、それからgdが必要となります。

公開鍵認証でパスワードなしにログイン


公開鍵認証を使用すればパスワードなしにリモートサーバにログインできます。手順としてはまずssh-keygenコマンドを使用して公開鍵と秘密鍵のペアを作成します。