自宅サーバでやることがなくなってきたので、とりあえずセキュリティを強化するためにSnortっていうIDSを導入した。 今回は、せっかくパッケージが用意されてるんだからってことでyumで導入することにした。 yumでパッケージを見てみると・・・MySQLやPostgreSQLに対応したものと、その後ろ […]

続きを読む

NTTのひかり電話を使うときに必要なルータ「RT-200NE」はNAPTされたあとのプライベートIPから自分のグローバルIPを参照できないので、外部に公開するDNSサーバと自宅内で使うDNSサーバを別にする必要がある。 今回の構成ではApacheの設定でネームベースのヴァーチャルドメインを使う予定だ […]

続きを読む

サービスがダウンしたらすぐに再起動するツールをインストールする。 常にサービスの死活を監視し、落ちたらすぐに再起動するdaemontoolsはqmailやdjbdnsととても相性が良い。 作者はやはりD. J. Bernstein氏で、同ソフトは作者のページからダウンロードすることができる。 ssh […]

続きを読む

メールサーバやDNSサーバの起動にtcpserverを利用すると、IPアドレスや、ドメイン名でのアクセス制御ができるようになる。 作者が同じqmail用のスパム対策用プログラムも添付しているが、現在は利用されていないようだ。 今回は、一応いつでも使えるように、パッチ当ては行っておくこととする。 tc […]

続きを読む

今や常識となりつつあるウィルス検知ソフトを導入する。 Clam AntiVirusはシグネチャによるパターンマッチング方式を採用しており、2006年12月27日の時点で約85,000種類のウイルスに対応する、GPLライセンスに従って利用することができるオープンソースのソフトウェアだ。 qmailやp […]

続きを読む

有名なのはTripwireかもしれないけど、ここでは昔から使い慣れたaideを導入する。 aideではコンフィグファイルに記述することで、どのファイル、ディレクトリについてどのような検知方法をするかを設定することができる。 改竄されてから導入しても意味がないので、aideやTripwireはインスト […]

続きを読む

WebサーバでPHPとMySQLを使うため、データベースサーバの設定を行う。 Fedora Core 6ではPHPとMySQLを連動させるために、php-mysqlというパッケージが必要になる。 また、MySQLにパスワードを設定する場合は、mod_auth_mysqlというパッケージが必要になる。 […]

続きを読む

今回構築しているサーバはNAPT環境であり、さらに、iptablesで制御しているため、サービスが起動しているためにセキュリティホールになることはあまり考えられないが、メモリの無駄遣いにもなるので不要なサービスは止めることにする。 まず、自動起動される設定になっているサービスを調べ、自動起動する設定 […]

続きを読む

パソコンの時間は毎日ちょっとづつずれる。 1日では0.1秒でも10日で1秒・・・という具合に・・・。 そもそも、インストール時にちゃんとあわせたつもりでも実際には、2～3秒ずれてることもしばしばだ。 って言うことで、ちゃんとGPSで調時された時計と時間を合わせる。 障害が発生した際などはこのシステム […]

続きを読む

2006/12/25sshでの接続をdsa認証のみにするだけでもかなりセキュリティレベルが向上すると思うけど、rootになれるユーザを特定のユーザのみと制限することで更なるセキュリティ向上を試みる。 たとえば、Webサーバのセキュリティホールをついてハッキングされた場合など、侵入者はapache:a […]

続きを読む