これぐらいやっとけ 〜Linuxサーバのセキュリティ設定〜 - nabeの雑記帳

管理中のサーバで行っているセキュリティ設定を公開します。本当はこういうことを公開するのはよろしくないのですが、脆弱サーバが氾濫している現状そこが踏み台となってsshアタックされるのも迷惑極まりないので、最低限やっとけという内容でまとめました。*1 起動サービスと概要 iptables/Firewallの設定 iptablesの中身 limit-burstについて hashlimitについて hosts.allow/hosts.deny(TCP Wrapper)の設定 sshdの設定 その他の設定 Apacheの設定 Postfixの設定 Dovecotの設定 まとめ 起動サービスと概要 Apache (www) sshd smtp/pop bind (DNS) ntpd いくつかの注意点。 sftpで十分なのでftpdは使わない。WinSCP等を使えばffftpに依存する必要はない。*2

[RobinEgg]

無言ブクマの嵐に戦慄したんだけど、一番重要なのは、このエントリの内容を全部とは言わんけど、せめて八割程を理解するまでは外部向けのサーバー立てるなってことな。スクリプトコピペからもう一歩踏み込んで。

[takuya_1st]

iptables って火壁だから。。。Linuxマシンじゃなく別のマシンでやってるならそれでいいんだとおもうな

[akatakun]

パスワード付サービスは時間あたりの接続数を制限する

[Akaza]

limitとhashlimit

[pidekazu]

[security]

[benkeiblog]

はいはい、ブクマブクマ

[valinst]

内容は素晴らしいけど、デザインがスイーツブログみたいなのが気になる。

[wataboh2000]

これぐらいやっとけ　〜Linuxサーバのセキュリティ設定〜 - nabeの雑記帳

[nak812]

確かに「これぐらいやっとけ」ばかり。知らない、で済ませるのではなく、当たり前と思うようにならないと全体の品質は上がらない　⇒⇒

[gin0606]

いつか使う。

[fubar_foo]

iptableのhashlimitでDoS対策

[adsty]

最低限やっておきたいセキュリティ設定。

[syque]

iptables, hashlimit, hosts.allow(deny) など外部からの攻撃に対抗する基本的な対策

[asterisknautz]

メモ クイックポスト

[linden]

参考にする。

[Mu_KuP]

サーバをFW無してパブリックIPに晒す、ってのが怖いな...／良いページだと思います。

[takanory42]

そのうち読む

[takabou_book]

参考に！

[chapise]

これぐらいやっとけ　〜Linuxサーバのセキュリティ設定〜 - nabeの雑記帳

[sononon]

#yam

[f-suger]

おお

[karupanerura]

普段FreeBSDでipfilter使ってるからiptablesあまり触らないので有難い。

[izit_kosuke]

念のため

[ryouchi]

ふむ。「最低でもsshにはlimit-burstによる接続回数制限をつけてください」

[vesikukka]

自分のサーバと見比べてみよう。

[ugon105]

なんかブクマしとけという気になった

[indication]

hashlimit

[rti7743]

linux機にグローバルなところに晒さないで、FW置いて使用するポートだけをsnatで転送してくればいいんじゃね？

[Kmusiclife]

bindはしっかりと設定しないと色々と回りが困るのでしっかりと設定してください。 http://d.hatena.ne.jp/Kmusiclife/20101116/1289878358

[tengo1985]

自分はApacheのバージョン隠すのは別にやらなくてもいい派。