サーバ管理と運営 不正アクセスに対するセキュリティ構築 情報工学科 友寄 隆浩
はじめに 近年、インターネットの普及にともないサーバの乗っ取りやHPの改ざん、情報漏えい事件等などのネット犯罪が多発している。これらの犯罪は不正アクセス法により処罰の対象となるが、それでも年々増加傾向にある 本研究はサーバ管理側からの不正アクセスに対するセキュリティ構築である。
概要 ①サーバの立ち上げ 1・apache 2・vsftp ②セキュリティの構築 1・.htaccessによる認証システム 2・設定ファイル 3・ファイアウォール・Selinux
サーバの立ち上げ ①事前準備 1・IPアドレス(Ifcfg-eth)の設定 BROADCAST,IPADDR,NETMASK, サーバの立ち上げ ①事前準備 1・IPアドレス(Ifcfg-eth)の設定 BROADCAST,IPADDR,NETMASK, NETWORKをそれぞれ指定する 2・ホスト名(Hosts)の設定 IPアドレスとホスト名を書き込む
②apache(httpd.conf)の設定 1・ユーザのWeb製作に関する設定 #<Directory /home/*/public_html>~ #</Directory>の#を外す UserDir disable→#を頭に付ける #UserDir public_html→#を外す
2・CGIに関する設定 #AddHandler cgi-script .cgi→#を外す <Directory /home/*/public_html/cgi-bin> Options ExecCGI Order allow,deny Allow from all </Directory>を追加する
3・PHPに関する設定 PHPをインストール PHPモジュールを書き込む LoadModule php5_module /usr/lib/httpd/ modules/libphp5.so 古いバージョンの削除
4・アクセス権限 can_exec(httpd_t, httpd_user_content_t) r_dir_file(httpd_t, httpd_user_content_t) # cd /etc/selinux/strict/src/policy # make clean # make reload ③vsftpd.confの設定 User_list=Yesを追加する
セキュリティ構築(設定ファイル編) Vsftpd.confの変更点 anonymous_enable=YES →NO #chroot_list_file=/etc/vsftpd/chroot_list、 #chroot_list_enable=YES →#を削除
セキュリティ構築 (認証システム編) .htaccessを用いて認証システムを作成した ①Httpd.confの変更点 セキュリティ構築 (認証システム編) .htaccessを用いて認証システムを作成した ①Httpd.confの変更点 Allowoverride None→All ①.htpasswd htpasswd –b -c .htpasswd ユーザ名 をコマンドで入力
②.htaccess AuthUserFile /var/www//.htpasswd AuthGroupFile /dev/null AuthName “ユーザ名とパスワードを 入力してください“ AuthType Basic require valid-user
セキュリティ構築 (ファイアウォール・Selinux編) セキュリティ構築 (ファイアウォール・Selinux編) ファイアウォールの設定 IPTABLES_MODULES=“”→””部分にip_conntrack_ftpを書き込む Selinuxの設定 Selinux policyを追加
まとめ サーバはデフォルト設定でもそれなりのセキュリティは構築できることがわかったが所々穴があるためそれを補わないければならないと感じた。今回の実験でそれを補うことができてると思うが、それでどの程度不正アクセスが防げているか確かめる必要がある