LoginSignup
19
19

More than 5 years have passed since last update.

@ystkspr

Ubuntu14.04LTSで出来るだけSecureなサーバを構築する

Last updated at Posted at 2015-08-21

概要

VPSやEC2等のクラウドサーバ、ないしは外部向けの自宅サーバをUbuntuで建てるときに攻撃されない、攻撃の手助けをしないsecureなサーバを建てたいと思い、やったことの備忘録。

ウィルス対策

clamav入れればよいようだ。絶対安心ではないが、ないよりは多分いいと思う。

$sudo apt-get install clamav-base clamav-daemon clamav-freshclam

おそらくインストール時にclamav-daemonが起動しようとして失敗する。ウィルス定義ファイルがないのに起動しようとして失敗する。なので、インストール後に、

$sudo /etc/init.d/clamav-freshclam start

として定期的にウィルス定義ファイルを更新してくれるデーモンを走らせる。参考までにプロキシ環境下の場合は以下の設定を行う。

/etc/clamav/freshclam.conf
HTTPProxyServer proxy.server.com
HTTPProxyPort 8080                      
HTTPProxyUsername myusername
HTTPProxyPassword mypass

プロキシによってはユーザ認証が無いかもしれない。その場合はusernameとpasswordの設定部分は記載不要である。

ログは/var/log/clamav/freshclam.logに格納されるので、確認して定義ファイルの取得が完了してから、

$sudo /etc/init.d/clamav-daemon start

として定期的(デフォルトだと1時間おき)にウィルスチェックが走る。1時間おきとか頻繁すぎるとか、もっと細かくチェックしてよ!という場合は以下の数値を変更する。

/etc/clamav/clamd.conf
SelfCheck 3600

他の設定項目についてはオフィシャルのドキュメントを参照されたい。

Securityパッチを勝手に適用させる

これについては賛否両論あるだろうが、ずぼらな人にはオススメ。毎日確認しているような本物の管理者には不要の手順。

$sudo apt-get install unattended-upgrades
$sudo dpkg-reconfigure -plow unattended-upgrades

dpkg-reconfigureでYes/Noを問われるのでYesとしておく。
security update以外を適用したい場合は以下のコメントアウトを適宜はずす。あまりオススメはしないけど。

/etc/apt/apt.conf.d/50unattended-upgrades
// Automatically upgrade packages from these (origin:archive) pairs
Unattended-Upgrade::Allowed-Origins {
        "${distro_id}:${distro_codename}-security";
//      "${distro_id}:${distro_codename}-updates";
//      "${distro_id}:${distro_codename}-proposed";
//      "${distro_id}:${distro_codename}-backports";
};

更新ログは/var/log/aptitudeに格納されるので確認しておいたほうがいいと思う。

Firewallを設定する

ufwを使うと楽。Ubuntu14.04LTSにufwを入れてFW設定をするを参照されたい。

19
19
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
19
19