Setting of security on my linux box

パスワード

まあ、お約束と言うか、基本というか...。

パスワードはできうる限り複雑長大にする(^^;。
不必要なユーザは登録しない。
ログインする必要の無いユーザのパスワード欄は `*' にしておく(/etc/shadow)。

ルーティングの禁止

/etc/rc.d/rc.inet2
ルーティングは禁止して、クライアントから外部へのアクセスは delegated を通して行う。

tcp-wrapper

その他のアクセス制限

/etc/hosts.lpd
/etc/hosts.canna
/etc/exports(非推奨!:ネットワーク越しにバックアップする為やむなしに設定...)

不必要なデーモンの停止

vi /etc/inetd.conf
vi /etc/rc.d/*

ポートをオープンしてるプログラムの確認

tar xvzf lsof_4.62.tar.gz
cd lsof_4.62
tar xvf lsof_4.62_src.tar
cd lsof_4.62_src
./Configure linux
make
cp lsof /usr/local/bin/lsof
lsof -i

ipchainsによるフィルタリング

一応カーネルレベルでルーティングを止め、不必要なデーモンは起動していないという前提で、インターネット側(eth0)からIP偽造でのアタックを防ぐ為のみに利用する。

まぁ、ゆるゆるな設定ですな(^^;。

ipchainsを利用するために適切なオプションを選択してカーネルを作る。
- CONFIG_FIREWALL=y
- CONFIG_IP_FIREWALL=y

vi /etc/rc.d/rc.local
ルールを設定する。

#
# firewall setting
#
if [ -x /sbin/ipchains ]
then
#-- 基本設定 ここから -- 
# やって来るパケットを全て受け入れる
    /sbin/ipchains -P input ACCEPT
# 出て行くパケットを全て許す
    /sbin/ipchains -P output ACCEPT
# ルーティングはカーネルレベルで止めてるけど、一応ここでも止めておく
    /sbin/ipchains -P forward DENY
#-- 基本設定 ここまで -- 
#
#-- 個別設定 ここから --
# インターネット側(eth0)からのパケットなのに
# ソースが192.168.0.0/24(プライベート)なやつは拒否する
    /sbin/ipchains -A input -i eth0 -s 192.168.0.0/24 -d 0/0 -j DENY
#-- 個別設定 ここまで --
fi

設定の確認

# /sbin/ipchains -L -n -v
Chain input (policy ACCEPT: 12137 packets, 1861124 bytes):
 pkts bytes target     prot opt    tosa tosx  ifname     mark       outsize  source                destination           ports
    0     0 DENY       all  ------ 0xFF 0x00  eth0                           192.168.0.0/24       0.0.0.0/0             n/a
Chain forward (policy DENY: 0 packets, 0 bytes):
Chain output (policy ACCEPT: 11395 packets, 1103720 bytes):

[更新]