検証環境
- [サーバー側] CentOS 7.5.1804 (Core)
- [接続側] Windows 10 Home 64bit
概要
サーバー機にCentOS7をインストールをし、WindowsからTeraTermを用いて、リモート操作するまでの手順を記載する
WindowsでRufusを用いてCentOS7をUSBに書き込み、サーバー機に作成したUSBを用いてインストール
CentOS7の基本的なセットアップを行い、公開鍵認証によるSSH接続をする
セキュリティ強化のためFail2banをインストールし、無差別ログインの対策を行う
CentOSのインストールはこちらを参考にしました
OSの用意
USBメモリを使用してCentOS 7をインストール
OSのダウンロード
OSイメージDVD ISOを以下からダウンロード
ISOイメージを元にブートUSBを作成
Rufusのダウンロード
Windwos機にて以下からRufusをダウンロード
USBメモリを挿しRufusを起動
ISOイメージを選択する
スタートをクリック
ダイアログが出るので、ISOイメージモードで書き込む(推奨)を選びOKをクリック
OSをインストール
起動デバイスをUSBメモリにしてPCを起動
起動時にF12を押し、BOOT設定を変更
起動デバイスをUSBメモリにして起動
インストール
Install CentOS 7を選択しEnter
インストールの言語を選択
下にスクロールし、日本語を選択
続行(C)をクリック
インストール概要設定
各設定事項を設定していく
地域設定
日付と時刻
下記の点だけ設定されていることを確認
| 設定値 | 値 |
|---|---|
| 地域(R) | アジア |
| 都市(C) | 東京 |
キーボード(K)設定
デフォルトで日本語キーボードになっていることを確認
言語support(L)設定
日本語になっているかを確認し、完了(D)をクリック
SECURITY POLICY設定
オフにして完了(D)をクリック
インストールソース(I)設定
変更点は無いので完了(D)をクリック
ソフトウェアの選択(S)
最小構成のインストールを選択し、完了(D)をクリック
インストール先
ローカルの標準ディスクにあるハードディスクを選択
ハードディスクにチェックが入っていることを確認し、完了(D)をクリック
KDUMP設定
KDUMPとは
KDUMPとは、カーネルパニック(システムの中核部分で何らかの理由により致命的なエラーが発生し、安全に復旧することができなくなった状態)が起きた時、原因を特定するためのdumpファイル(OSがやアプリが異常終了した際に原因特定のため、最後の瞬間のメモリやレジスタの内容を記録したファイル)を保存してくれるサービス。
参考
CentOS7でkdumpの設定
ダンプファイル 【 dump file 】 .dmpファイル / dmpファイル
カーネルパニック
今回は、便宜上無効化させていただく。
チェックをはずし、完了(D)をクリック
ネットワークとホスト名(N)設定
イーサネットの設定をオンにして、ホスト名(H)を設定
設定後、右下にある設定(O)をクリック
CentOS7のインストール開始
設定が終わり次第、右下のインストールの開始(B)をクリックし、インストールを開始
インストールユーザ作成
インストール中にrootのパスワードとユーザ作成を実施
rootパスワードの設定
rootのパスワードを入力し、完了(D)をクリック
rootとはシステムを管理する最高権限を有するユーザーのため、予測し辛いパスワードを設定してください。
ユーザの作成
| 項目 | 値 |
|---|---|
| フルネーム(F) | フルネーム |
| ユーザー名(U) | ユーザー名 |
| このユーザーを管理者にする | チェックを入れる |
| このアカウントを使用する場合にパスワードを必要とする | チェックを入れる |
設定完了後の再起動
rootパスワードとユーザーを作成し、インストールが完了したら右下の再起動(R)をクリックし、再起動
OSインストール後
再起動したら
再起動したらOSイントール時と同様に起動時にF12を押し、BOOT設定を変更
起動デバイスをOSをインストールしたHDDにして起動
起動後
マシンを再起動した後、OS選択画面が表示されます
一番上のOSを選択しEnter
ターミナルについて
今回は最小構成のインストールを選択したため、Windowsのようなマウスを使っての操作(GUI)ではなく、黒い画面に白い文字だけのターミナルでの操作(CUI)となります。
OS起動後
CentOS Linux 7 (Core)
Kernel 起動したOS
localhost login:
のような画面が表示されます
ここで先ほど作成したユーザーでログインしてみましょう
localhost login:ユーザー名
Password:パスワード
### Linuxはパスワードを打っても画面に変化はない
### そのため、文字数など間違えないように打つ
ログインしたら
Last login:曜日 月 日 時刻 from ログインしたIP
[ユーザー名@localhost ~]$
と表示されます
[ユーザー名@localhost ~]$とはユーザー名はユーザー名で、localhostはローカルホスト名です。
1スペース空けて書かれている~はユーザーがいるディレクトリ名です。
ディレクトリとは
ディレクトリとはフォルダのようなものです。
参考
#と$の違いについて
[ユーザー名@localhost ~]$の一番右にある$とはコマンド入力待ちであることを表しています。$で表示されている場合は一般ユーザーで、$が#だった場合はスーパーユーザー(システム管理者:root)であることを表しています。
コマンドを打つ際に
$ コマンド
となっている場合は一般ユーザーでコマンドを打つことを表し
# コマンド
となっている場合はrootでコマンドを打つことを表します。
ユーザーの切り替え
使うコマンドはsuです
| コマンド | 意味 | 説明 |
|---|---|---|
| su | ユーザーを切り替える(Switch User) | ユーザーを切り替えるのに使用する |
$ su
参考
パッケージ
パッケージとは
パッケージとは、Linuxが採用しているアプリケーションの配布形態のこと
セットアップファイルのようなもの
CentOSではyumやrpm、dnfなどを用いてパッケージの名前を入力するだけでアプリケーションをダウンロード、インストールできる
参考
パッケージのアップデート
OSのインストール時についてくるパッケージのアップデートを行う
### まず管理者権限(root)になる
$ su -
パスワード:パスワードを入力
# yum update
# yum upgrade
必要最低限のパッケージ
yum
後述するyum -yの-yとは
インストールしますか?(y/n)などの確認に対して、自動ですべてyを入力するもの
参考
時刻同期
# yum -y install ntpdate
# yum -y install chrony
テキストエディタ
# yum -y install vim
zip解凍に使う
# yum -y install unzip
Chrony(NTP)設定
一度時刻同期をする
# ntpdate ntp.nict.jp
chrony.confのバックアップ
cp /etc/chrony.conf /etc/chrony.conf.origin
chronyの設定ファイル編集
# sh -c "echo -e 'server ntp.nict.jp\nserver ntp.nict.jp\nserver ntp.nict.jp' > /etc/chrony.conf"
chronyの起動設定
# systemctl start chronyd
# systemctl enable chronyd
Chronyの動作確認
# chronyc sources -v
出力例
210 Number of sources = 4
.-- Source mode '^' = server, '=' = peer, '#' = local clock.
/ .- Source state '*' = current synced, '+' = combined , '-' = not combined,
| / '?' = unreachable, 'x' = time may be in error, '~' = time too variable.
|| .- xxxx [ yyyy ] +/- zzzz
|| Reachability register (octal) -. | xxxx = adjusted offset,
|| Log2(Polling interval) --. | | yyyy = measured offset,
|| \ | | zzzz = estimated error.
|| | | \
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^- kuroa.me 2 6 377 58 +15ms[ +15ms] +/- 56ms
^* ntp-b2.nict.go.jp 1 6 377 57 -650us[-1016us] +/- 3514us
^- time.cloudflare.com 3 6 377 59 +9134us[+8770us] +/- 70ms
^+ ntp-a2.nict.go.jp 1 6 377 58 +703us[ +338us] +/- 8305us
SELinuxの無効化
SELinuxとは
SELinuxとはセキュリティ関連のLinuxカーネル(システムの中核)制御機能である。強制アクセス制御機能を加える。
事後防衛的な手段で、もしサーバーに侵入されたとしても、被害を最小限に抑えるための仕組みとなっている。
そのため、侵入自体を防衛できるものではない。
参考
今回は、便宜上無効化させていただく。
SELinuxのConfigのバックアップ
# cp /etc/selinux/config /etc/selinux/config.origin
vimでコンフィグを編集
# vim /etc/selinux/config
SELINUX=enforcing <- コメントアウト
SELINUX=disabled <- 追加
IPv6の無効化
IPv6が必要なければ無効にしておく。
vimでコンフィグを編集
# vim /etc/sysctl.d/disable_ipv6.conf
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
有効にする
| コマンド | 意味 |
|---|---|
| sysctl | カーネルパラメータを設定する |
-pは指定されたファイルから読み込んだ内容をsysctl設定にロードする
# sysctl -p /etc/sysctl.d/disable_ipv6.conf
参考
# man sysctl
SSH(Secure Shell)とは
ネットワークを経由して他のコンピュータ(主にサーバー)に接続し、遠隔操作するためのもの。
また、通信途中の情報はすべて暗号化される
昔は暗号化通信をしないtelnetというものがあった
また、sshdのdはデーモン
Windows側の操作
Windowsでssh接続するにはTeratermというソフトが使われる。
ソフトのダウンロード
窓の杜等からダウンロードする
表示されるダイアログに従ってインストールを進める
公開鍵認証によるSSH接続
ssh接続を行う際、そのままではユーザーIDとパスワードがあればどのPCからでもログインができる
これではパスワードが分かればだれでもサーバーを操作することができる
これを防ぐため、パスフレーズを使ってログインする公開鍵認証方式を行う
公開鍵認証ではサーバーに公開鍵を登録し、遠隔操作したいPC(クライアント)は保存してある秘密鍵を用いてログインする
公開鍵と秘密鍵の生成
公開鍵と秘密鍵を生成するために、Tera Termを起動する
起動すると新しい接続ウィンドウが表示されるので、キャンセルをクリック
TeraTermの設定からSSH鍵生成をクリック
鍵生成ウィンドウが表示されるため生成(G)をクリック
パスフレーズは空でも構いません
公開鍵の保存(I)をクリック
保存先はどこでも良いのですが、ここではC:\Users\ユーザー名フォルダに.sshフォルダを作り、その中に保存しましょう
秘密鍵の保存(P)をクリックし、同様のフォルダに保存
これで、公開鍵と秘密鍵の生成は完了
公開鍵の転送
ここで一度パスワード認証でログインSSH接続を行う
Teratermを再起動し、新しい接続ウィンドウを表示
ホストに接続したいPCのIPやURLを入力
OKをクリック
ユーザー名とパスワードを入力し、プレインテキストを使うが選択されていることを確認しOKをクリック
これにてログインが完了する
Teratermに先ほど作成した公開鍵ファイル(id_rsa.pub)をドラックアンドドロップする
SCPが選択されており、送信先が~/になっていることを確認してウィンドウ下部のOKをクリック
ホームディレクトリでlsコマンドを打ち、ファイルが入っているかを確認
これで公開鍵の転送は終了
TeraTermのショートカットによるログインの簡略化
Teratermにはショートカットを用いることでログインまでの操作を簡略化できる
そのため、ログイン用のショートカットを作成する
デスクトップで右クリック
新規作成からショートカットをクリック
項目の場所の入力部分に以下の内容を入力し次へをクリック
# "teratermのexeファイルの場所の指定" 接続先IPアドレス:ポート番号 認証方法 ユーザー名 パスワード 鍵のファイルパス
# 初期のSSHのポート番号は22なのでIPアドレス:22と入力
例
"C:\Program Files (x86)\teraterm\ttermpro.exe" aaa.bbb.ccc.ddd:xx /auth=publickey /user=username /keyfile=C:\Users\username\.ssh\id_rsa
ショートカットの名前を適当に決め、完了をクリック
これでショートカットの作成は終了
参考
CentOS7側の操作
sshdの設定
# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.origin
# vim /etc/ssh/sshd_config
# 39行目 - rootユーザーによるログインを許可するか
PermitRootLogin no <-追加
# 66行目 - パスワードなしのログインを許可するか
PermitEmptyPasswords no <-追加
# 68行目 - パスワード認証を許可するか
PasswordAuthentication no <-追加
SSHサービスの起動
SSHのサービスを起動する
# systemctl start sshd.service
サービスが起動したかの確認
# systemctl status sshd.service
出力例
● sshd.service - OpenSSH server daemon
Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
Active: active (running) since 月 2020-02-10 00:02:16 JST; 1 day 5h ago
Docs: man:sshd(8)
man:sshd_config(5)
Main PID: 1696 (sshd)
CGroup: /system.slice/sshd.service
mq1696 /usr/sbin/sshd -D
ファイアウォールの設定
CentOS 7.3ではSSH用のポートが元から開放されているため、設定は不要
一応確認方法
# firewall-cmd --list-all
service:欄にsshが入っていればOK
もし入っていなければ
# firewall-cmd --permanent --add-service=ssh
公開鍵の登録
ここで作成した一般ユーザーに切り替える
# su - user
クライアントからアップロードした公開鍵を登録する
~/.ssh/authorized_keysに公開鍵の内容を追記することで登録できる
authorized_keysには複数の公開鍵を登録できる
vimやcatで追記しよう
# ~/.ssh フォルダが存在しない場合, 作成する
$ mkdir ~/.ssh
# 転送したid_rsa.pubの内容をauthorized_keysに追記する
$ cat ~/id_rsa.pub >> ~/.ssh/authorized_keys
# 所有者以外のアクセスを許可しない
$ chmod 700 ~/.ssh/
$ chmod 600 ~/.ssh/authorized_keys
# 登録済みの公開鍵を削除する
$ rm ~/id_rsa.pub
これでWindows側のショートカットを起動すると接続できる
参考
セキュリティ強化について
セキュリティを無視していると無差別ログインが1日だけでも膨大な量アクセスアタックされるため
そのためfail2banを導入する
fail2banのインストールと設定
epel-releaseリポジトリをインストールする
yum install epel-release
Fail2ban等のインストール
yum install fail2ban fail2ban-systemd direwalld
Fail2banの設定
# vim /etc/fail2ban/jail.d/jail.local
23行目
# [sshd] <- コメント削除
# enabled = true <- コメント削除
banaction = firewallcmd-ipset <- 追加
43行目-72行目
# [DEFAULT] <- コメント削除
# 24時間以内に3回不審なアクセスがあったら24時間BAN
bantime = 86400 <- 変更
findtime = 86400 <- 変更
maxretry = 3 <- 変更
96行目
# CentOS7のためsystemd
backend = systemd <- 変更
OS再起動時にサービスを自動的に起動する
# systemctl enable fail2ban
# systemctl enable firewalld
サービスの起動
# systemctl start firewalld
# systemctl start fail2ban
Fail2banのステータスを確認
# systemctl status fail2ban
出力例
● fail2ban.service - Fail2Ban Service
Loaded: loaded (/usr/lib/systemd/system/fail2ban.service; enabled; vendor preset: disabled)
Active: active (running) since 日 2020-02-09 23:40:59 JST; 1min 32s ago
Docs: man:fail2ban(1)
Process: 16160 ExecStartPre=/bin/mkdir -p /run/fail2ban (code=exited, status=0/SUCCESS)
Main PID: 16163 (f2b/server)
CGroup: /system.slice/fail2ban.service
mq16163 /usr/bin/python -s /usr/bin/fail2ban-server -xf start
2月 09 23:40:59 localhost.localdomain systemd[1]: Starting Fail2Ban Service...
2月 09 23:40:59 localhost.localdomain systemd[1]: Started Fail2Ban Service.
2月 09 23:41:00 localhost.localdomain fail2ban-server[16163]: Server ready
Hint: Some lines were ellipsized, use -l to show in full.
BANされたIPアドレスの確認
# fail2ban-client status sshd
出力例
Status for the jail: sshd
|- Filter
| |- Currently failed: 1
| |- Total failed: 2
| `- Journal matches: _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
|- Currently banned: 0
|- Total banned: 0
`- Banned IP list:
参考
CentOS7での fail2banのインストールと設定方法(with firewalld)
CentOS7 fail2banでSSH, SMTPへの攻撃からサーバを守る