サーバーセキュリティ · 1 min read · Jan 08, 2026
BastilleとPSADを使用してCentOSサーバーを保護する
この文書では、psad、Bastille、およびその他の調整を使用してCentOSサーバーを保護する方法を示します。psadはポートスキャンやその他の疑わしいトラフィックを検出するのに役立つツールであり、Bastilleハードニングプログラムはオペレーティングシステムをロックダウンし、セキュリティを高め、侵害される可能性を減らすためにシステムを積極的に構成します。
システム管理用の追加アカウントを作成する
“adduser”コマンドはアカウントを作成します。
adduser service“passwd”コマンドは”service”アカウントのパスワードを設定します。
passwd serviceダウンロード用のディレクトリを作成する。
これにより、RPMやその他のファイルをダウンロードするためのディレクトリが作成されます。
mkdir /downloads
cd /downloadsPSADのインストール
psadは、Linuxマシン上で実行され、Netfilterログメッセージを分析してポートスキャンやその他の疑わしいトラフィックを検出する3つの軽量システムデーモン(2つの主要なデーモンと1つのヘルパーデーモン)のコレクションです。詳細情報はここにあります。
wget http://www.cipherdyne.com/psad/download/psad-2.4.6.tar.gz
tar xfz psad-2.4.6.tar.gz
cd psad-2.4.6
./install.plBastilleのインストール
Bastilleハードニングプログラムはオペレーティングシステムを”ロックダウン”し、セキュリティを高め、侵害される可能性を減らすためにシステムを積極的に構成します。Bastilleは、システムの現在のハードニング状態を評価し、作業する各セキュリティ設定について詳細に報告することもできます。詳細情報はここにあります。
wget https://downloads.sourceforge.net/project/bastille-linux/bastille-linux/3.2.1/Bastille-3.2.1-0.1.noarch.rpm
rpm -ivh Bastille-3.2.1-0.1.noarch.rpm Bastilleを実行する
これにより、インタラクティブプロンプトが開始されます。
/usr/sbin/bastille -cインタラクティブプロンプトの応答
これらの設定は、Perfect Setupインストールの推奨事項です。他のソフトウェアやパッケージがインストールされている場合、特定の値を変更する必要があるかもしれません。
accept
管理ユーティリティの権限をより制限するように設定しますか? -> YES
mount/umountのSUIDステータスを無効にしますか? -> YES
pingのSUIDステータスを無効にしますか? -> YES
atのSUIDステータスを無効にしますか? -> YES
r-toolsを無効にしますか? -> YES
usernetctlのSUIDステータスを無効にしますか? -> YES
tracerouteのSUIDステータスを無効にしますか? -> YES
IPベースの認証を使用するクリアテキストrプロトコルをBastilleが無効にしますか? -> YES
パスワードの有効期限を強制しますか? -> YES
default umaskを設定しますか? -> YES
システム上のユーザーのためにどのumaskを設定しますか? -> 007
ttyの1-6でrootログインを禁止しますか? -> NO
削除するための余分なアカウントをBastilleに尋ねさせますか? -> NO
GRUBプロンプトをパスワード保護しますか? -> NO
CTRL-ALT-DELETEによる再起動を無効にしますか? -> YES
シングルユーザーモードをパスワード保護しますか? -> NO
TCP Wrappersとxinetdでデフォルト拒否を設定しますか? -> NO
ログイン時に"Authorized Use"メッセージを表示しますか? -> YES
このマシンの使用を許可する責任者は誰ですか? -> YOUR COMPANY NAME
システムリソース使用量に制限を設けますか? -> YES
コンソールアクセスを少数のユーザーアカウントに制限しますか? -> YES
コンソールにログインできるアカウントはどれですか? -> root
プロセスアカウンティングを設定しますか? -> NO
acpidおよび/またはapmdを無効にしますか? -> YES
PCMCIAサービスを無効にしますか? -> YES
GPMを無効にしますか? -> YES
このマシンでHP OfficeJet (hpoj)スクリプトを無効にしますか? -> YES
このマシンでISDNスクリプトを無効にしますか? -> YES
kudzuの起動時の実行を無効にしますか? -> YES
sendmailがデーモンモードで実行されるのを停止しますか? -> YES
namedを無効にしますか?少なくとも今のところ? -> NO
Apacheウェブサーバーを無効にしますか? -> NO
ウェブサーバーをlocalhostのみにバインドしますか? -> NO
特定のインターフェースにウェブサーバーをバインドしますか? -> NO
シンボリックリンクの追跡を無効にしますか? -> YES
印刷を無効にしますか? -> YES
TMPDIR/TMPスクリプトをインストールしますか? -> NO
パケットフィルタリングスクリプトを実行しますか? -> YES
高度なネットワーキングオプションが必要ですか? -> NO
DNSサーバー: [0.0.0.0/0] -> デフォルトのままにする
公開インターフェース: -> eth+
監査するTCPサービス: -> telnet ftp imap pop3 finger sunrpc exec login linuxconf ssh
監査するUDPサービス: -> 31337
監査するICMPサービス: -> 空白
公開インターフェースで許可するTCPサービス名またはポート番号: -> 21 22 25 53 80 110 111 143 443 631 953 993 995 3306
公開インターフェースで許可するUDPサービス名またはポート番号: -> 空白
パッシブモードを強制しますか? -> YES
ブロックするTCPサービス: -> 2049 2065:2090 6000:6020 7100
ブロックするUDPサービス: -> 2049 6770
許可されるICMPタイプ: -> destination-unreachable echo-reply time-exceeded
ソースアドレス検証を有効にしますか? -> YES
拒否方法: -> DENY
DHCPクエリ用のインターフェース: -> 空白
クエリするNTPサーバー: -> 空白
アウトバウンドで不許可にするICMPタイプ: -> destination-unreachable time-exceeded
Bastilleがファイアウォールを実行し、起動時に有効にしますか? -> YES
psadを設定しますか? -> YES
psadチェック間隔: -> 15
ポート範囲スキャンの閾値: -> 1
スキャンの持続性を有効にしますか? -> NO
スキャンタイムアウト: -> 3600
すべてのスキャンシグネチャを表示しますか? -> NO
危険レベル: -> 5 50 1000 5000 10000
メールアドレス: -> root@localhost
メールアラート危険レベル: -> 1
すべての新しいパケットでアラートを表示しますか? -> YES
スキャンIPの自動ブロックを有効にしますか? -> NO
変更を加える準備ができましたか? -> YES
SSH設定の編集
これにより、SSHを保護するための追加の手順が必要になります。以下の設定は、次のことを行います。
- SSHv2が使用されることを保証する
- rootユーザーはSSH経由で直接ログインできない
- パスワードのないアカウントはログインを許可されない
- ログインバナーが表示される。
vi /etc/ssh/sshd_config以下の行を編集し、コメントを削除します。保存して終了するのを忘れないでください。
#Protocol 2,1 -> Protocol 2
#PermitRootLogin yes -> PermitRootLogin no
#PermitEmptyPasswords no -> PermitEmptyPasswords no
#Banner /some/path -> Banner /etc/issueシステムを再起動する
最終チェックとしてシステムを再起動してください。すべてが正しく起動することを確認してください。
reboot新しい投稿を受信箱で受け取る
スパムはありません。いつでも購読を解除できます。