Help us understand the problem. What is going on with this article?

Ubuntu14.04LTSで出来るだけSecureなサーバを構築する

More than 3 years have passed since last update.

概要

VPSやEC2等のクラウドサーバ、ないしは外部向けの自宅サーバをUbuntuで建てるときに攻撃されない、攻撃の手助けをしないsecureなサーバを建てたいと思い、やったことの備忘録。

ウィルス対策

clamav入れればよいようだ。絶対安心ではないが、ないよりは多分いいと思う。

$sudo apt-get install clamav-base clamav-daemon clamav-freshclam

おそらくインストール時にclamav-daemonが起動しようとして失敗する。ウィルス定義ファイルがないのに起動しようとして失敗する。なので、インストール後に、

$sudo /etc/init.d/clamav-freshclam start

として定期的にウィルス定義ファイルを更新してくれるデーモンを走らせる。参考までにプロキシ環境下の場合は以下の設定を行う。

/etc/clamav/freshclam.conf
HTTPProxyServer proxy.server.com
HTTPProxyPort 8080                      
HTTPProxyUsername myusername
HTTPProxyPassword mypass

プロキシによってはユーザ認証が無いかもしれない。その場合はusernameとpasswordの設定部分は記載不要である。

ログは/var/log/clamav/freshclam.logに格納されるので、確認して定義ファイルの取得が完了してから、

$sudo /etc/init.d/clamav-daemon start

として定期的(デフォルトだと1時間おき)にウィルスチェックが走る。1時間おきとか頻繁すぎるとか、もっと細かくチェックしてよ!という場合は以下の数値を変更する。

/etc/clamav/clamd.conf
SelfCheck 3600

他の設定項目についてはオフィシャルのドキュメントを参照されたい。

Securityパッチを勝手に適用させる

これについては賛否両論あるだろうが、ずぼらな人にはオススメ。毎日確認しているような本物の管理者には不要の手順。

$sudo apt-get install unattended-upgrades
$sudo dpkg-reconfigure -plow unattended-upgrades

dpkg-reconfigureでYes/Noを問われるのでYesとしておく。
security update以外を適用したい場合は以下のコメントアウトを適宜はずす。あまりオススメはしないけど。

/etc/apt/apt.conf.d/50unattended-upgrades
// Automatically upgrade packages from these (origin:archive) pairs
Unattended-Upgrade::Allowed-Origins {
        "${distro_id}:${distro_codename}-security";
//      "${distro_id}:${distro_codename}-updates";
//      "${distro_id}:${distro_codename}-proposed";
//      "${distro_id}:${distro_codename}-backports";
};

更新ログは/var/log/aptitudeに格納されるので確認しておいたほうがいいと思う。

Firewallを設定する

ufwを使うと楽。Ubuntu14.04LTSにufwを入れてFW設定をするを参照されたい。

ystkspr
Ph.D., Information Science and Technology
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした