概要
VPSやEC2等のクラウドサーバ、ないしは外部向けの自宅サーバをUbuntuで建てるときに攻撃されない、攻撃の手助けをしないsecureなサーバを建てたいと思い、やったことの備忘録。
ウィルス対策
clamav入れればよいようだ。絶対安心ではないが、ないよりは多分いいと思う。
$sudo apt-get install clamav-base clamav-daemon clamav-freshclam
おそらくインストール時にclamav-daemonが起動しようとして失敗する。ウィルス定義ファイルがないのに起動しようとして失敗する。なので、インストール後に、
$sudo /etc/init.d/clamav-freshclam start
として定期的にウィルス定義ファイルを更新してくれるデーモンを走らせる。参考までにプロキシ環境下の場合は以下の設定を行う。
/etc/clamav/freshclam.conf
HTTPProxyServer proxy.server.com
HTTPProxyPort 8080
HTTPProxyUsername myusername
HTTPProxyPassword mypass
プロキシによってはユーザ認証が無いかもしれない。その場合はusernameとpasswordの設定部分は記載不要である。
ログは/var/log/clamav/freshclam.logに格納されるので、確認して定義ファイルの取得が完了してから、
$sudo /etc/init.d/clamav-daemon start
として定期的(デフォルトだと1時間おき)にウィルスチェックが走る。1時間おきとか頻繁すぎるとか、もっと細かくチェックしてよ!という場合は以下の数値を変更する。
/etc/clamav/clamd.conf
SelfCheck 3600
他の設定項目についてはオフィシャルのドキュメントを参照されたい。
Securityパッチを勝手に適用させる
これについては賛否両論あるだろうが、ずぼらな人にはオススメ。毎日確認しているような本物の管理者には不要の手順。
$sudo apt-get install unattended-upgrades
$sudo dpkg-reconfigure -plow unattended-upgrades
dpkg-reconfigureでYes/Noを問われるのでYesとしておく。
security update以外を適用したい場合は以下のコメントアウトを適宜はずす。あまりオススメはしないけど。
/etc/apt/apt.conf.d/50unattended-upgrades
// Automatically upgrade packages from these (origin:archive) pairs
Unattended-Upgrade::Allowed-Origins {
"${distro_id}:${distro_codename}-security";
// "${distro_id}:${distro_codename}-updates";
// "${distro_id}:${distro_codename}-proposed";
// "${distro_id}:${distro_codename}-backports";
};
更新ログは/var/log/aptitudeに格納されるので確認しておいたほうがいいと思う。
Firewallを設定する
ufwを使うと楽。Ubuntu14.04LTSにufwを入れてFW設定をするを参照されたい。