VPS借りたけどセキュリティが心配! 初心者が気をつけたいセキュリティの話

VPS借りたけどセキュリティが心配!
初心者が気をつけたいセキュリティの話

2012.10.14 上村崇

自己紹介
@uemera uemura

上村崇 ( うえむらたかし )
フリーランスのシステムエンジニア
サーバインフラ、組込みシステム、Web とか。
最近はCodeIgniterとかFuelPHPがブーム。
IT 業界のキャリア 10 年ちょっと
西宮在住

最近のオレ
XOOPS
勉強会準備
WordBench,
サーバ関係 PHPフレームワーク
FuelPHP、CodeIgniter
JavaScript
jQuery

WordPress
主に技術サポート VPS(CentOS)、LAMP、
メールサーバ、git、samba、netatalk
サーバインフラ

これまでに
「VPSでWordPressを始めよう!
サーバーインフラ初心者勉強会」
という名前で勉強会しました。

4/29 京橋 27人
5/26 本町 30人
7/14 十三 33人

VPS初心者勉強会で行った内容

1. VPSの概略やメリットは何か?
2. 実際にさくらのVPSを契約する方法を説明
3. Teratermやターミナル(Mac)の説明と使い方
4. Linuxコマンド基礎
5. ApacheやMySQLなどサーバアプリケーションの
インストール
6. PHPの設定
7. サーバの起動と終了
8. WordPressのインストール

VPS初心者勉強会の資料
VPSを初めて借りてから、WordPressを動かせるようになるまでの
インストール手順書 (7/14実施分)

7/14 サーバインフラ超初心者勉強会プログラム - Google ドキュメント
https://docs.google.com/document/d/1Wv8jYJXoJhTOGWmdJLhGPC6V2SlrU8Gp6JYsJ5sCGD8/edit

今日はその続編の位置づけで、
もう一歩踏み込んだ話をします。
もちろん初めての方にも配慮したいと思います。

例として、
さくらインターネットのVPSを使って説明します。

Linux (CentOS 6.3)

・他社のVPSでもだいたいCentOSを使ってるので応用はききます。
・これから説明することは、root権限を持てないレンタルサーバーでは出来ない
(またはする必要がない)ことが多いですが、セキュリティの知識を高めるという
意味では知っていても損は無いと思います。

本日のプログラム

1. セキュリティ対策の重要性
2. SSHのセキュリティを高める
3. ファイアウォールを設定しよう
4. ユーザをつくるときに気をつけたいこと
5. セキュリティアップデートをしよう
6. phpMyAdminのセキュリティ設定

セキュリティ対策の重要性

システムのログイン認証ログ
/var/log/secure
15:12:12 sshd[27259]: Failed password for bin from 69.94.125.45 port 35312 ssh2
15:12:12 sshd[27259]: Received disconnect from 69.94.125.45: 11: Bye Bye [preauth]
15:12:13 sshd[27266]: reverse mapping checking getaddrinfo for nyfishpix.nyfishpix.com [69.94.125.45] failed
- POSSIBLE BREAK-IN ATTEMPT!
15:12:13 sshd[27266]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh
ruser= rhost=69.94.125.45 user=root
15:12:15 sshd[27266]: Failed password for root from 69.94.125.45 port 35822 ssh2
ruser= rhost=nyfishpix.com user=root
bin や root ユーザにアクセスされた跡
ruser= rhost=69.94.125.45 user=root しかしパスワード不一致でログイン失敗

httpサーバアクセスログ
/var/log/httpd/access_log
- - [06/Oct/2012:01:01:19 +0900] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 15341 "-" "ZmEu"
- - [06/Oct/2012:01:01:19 +0900] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 15341 "-" "ZmEu"
- - [06/Oct/2012:01:01:20 +0900] "GET /pma/scripts/setup.php HTTP/1.1" 404 15327 "-" "ZmEu"
- - [06/Oct/2012:01:01:21 +0900] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 15335 "-" "ZmEu"
- - [06/Oct/2012:01:01:21 +0900] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 15335 "-" "ZmEu"

/phpmyadmn/ フォルダなどを狙って攻撃されている。
ただし、ヒットせず404NotFoundを返している。

phpMyAdminの脆弱性を狙った攻撃

ブルート・フォース攻撃
（brute force attack）は、
クラッカがパスワードや暗号
化キーを解読する手法の一つ
である。「brute force」と
は英語で「力ずく」または
「強引に」といった意味で、
ブルート・フォース攻撃とは
考えられるすべての値を片っ
端から試すという力任せの解
読方法を指す。

IPAのセキュリティ対策マニュアルが参考になる。

http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/index.html

SSHのセキュリティを高める

SSHとは?
コマンドラインでサーバーをリモート操作できるツール

リモート操作

sshで接続するためのツール
Macの場合
・ターミナル
・iTerm2というのもある。

Windowsの場合
・Teraterm
またはChromeの拡張機能 Secure Shell

Linuxコマンドのおさらい
ls ディレクトリの中身の一覧を表示する。
cd 他のディレクトリに移動する
cd dir1

pwd 現在自分がいるディレクトリを表示する
cp ファイルのコピー
cp file1 file2

rm ファイルの削除
rm file1

mkdir ディレクトリの作成
mkdir dir1

mv ファイル、ディレクトリの名前変更
mv file1 file2

参考

これだけは知ってもらいたいLinuxコマンド
http://www.tuat.ac.jp/~sanoken/tech/unix/command.html

通常、VPSのデフォルト状態では、
・SSHでrootの直接ログインが可能になっている。
・デフォルトのポート番号22を使っている。

デフォルトのまま使っていると危険性が高い!
・rootのパスワードが破られるとサーバーが乗っ取られてしまう。
・ポート番号22は攻撃されやすい。

参考

ポート番号 | ネット解説
http://y-kit.jp/inet/page/port.htm

rootで直接ログインできるのはヤバイ
ruser= rhost=69.94.125.45 user=root

デフォルトの設定ではrootでログインできてしまう

MBA[~/.ssh]$ ssh root@49.212.197.250
The authenticity of host '49.212.197.250 (49.212.197.250)' can't be established.
RSA key fingerprint is e6:ee:a5:be:8b:1e:70:39:55:67:cd:b0:ea:25:20:3c.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '49.212.197.250' (RSA) to the list of known hosts.
root@49.212.197.250's password:
Last login: Wed Oct 10 20:15:50 2012 from 182-167-47-13f1.hyg1.eonet.ne.jp

SAKURA Internet [Virtual Private Server SERVICE]

-bash: warning: setlocale: LC_CTYPE: cannot change locale (UTF-8)
[root@www24476ue ~]# whoami
root

rootでログインできてしまう!

どうしてもrootになって作業する必要がある場合は、
いったん一般ユーザでログインした後、rootにスイッチ
する。

X root

直接アクセスは禁止
root

o
一般ユーザへのアクセスは許可一般ユーザ
一般ユーザでログイン後、rootに
切り替える

まずはじめに一般ユーザuemuraを作る

# adduser uemura ユーザ u e m u r a 作成

# passwd uemura u e m u r a のパスワードを設定
Changing password for user uemura.
New password: ****** パスワード入力
Retype new password: ******
passwd: all authentication tokens updated successfully.
#

一般ユーザでログインし、rootにスイッチする手順

MBA[~]$ ssh uemura@49.212.197.250 一般ユーザでログイン
uemura@49.212.197.250's password: ******


[uemura@www24476ue ~]$ whoami 一般ユーザ u e m u r a でログイン中
uemura
[uemura@www24476ue ~]$ su - r o o t ユーザにスイッチ
Password: ******
[root@www24476ue ~]# whoami r o o t ユーザでログイン中
root

root直接ログインを禁止する設定
/etc/ssh/sshd_conﬁg
PermitRootLogin yes

n o に変更する

sshのサービスを再起動する。
/etc/init.d/sshd restart

再起動後は、設定確認として r o o t でログイン
できないことを確認すること!

sshのポート番号22を変更する設定
/etc/ssh/sshd_conﬁg
#Port 22

Port 10022
10022に変更する

sshのサービスを再起動する。
/etc/init.d/sshd restart

ポート10022を指定してsshにアクセスする
ssh uemura@49.212.197.250 -p 10022

10022ポートで接続した例
# ssh uemura@49.212.197.250 -p 10022
The authenticity of host '[49.212.197.250]:10022 ([49.212.197.250]:10022)' can't be
established.
RSA key fingerprint is e6:ee:a5:be:8b:1e:70:39:55:67:cd:b0:ea:25:20:3c.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[49.212.197.250]:10022' (RSA) to the list of known hosts.
uemura@49.212.197.250's password: ******
Last login: Thu Oct 11 12:02:42 2012 from 182-167-47-13f1.hyg1.eonet.ne.jp

$
ログイン成功 !

ポート22で接続すると失敗する例
# ssh uemura@49.212.197.250
ssh: connect to host 49.212.197.250 port 22: Connection refused

ファイアウォールを設定しよう

Linuxのファイアウォールはiptablesで。
・コマンドラインで実行するツール
・テキストファイルを更新して設定する。
・概念を理解するのはちょっと難しいかも
・でも激しく導入を推奨します。

ポリシーの設定
必要なポートのみ通信を許可する。
o
port: 80 (http)
port: 20,21 (ftp)
port: 10022 (ssh)

X
それ以外のポートは拒否

3つの出入口(チェイン)
INPUT, OUTPUT, FORWARD

FORWARD

INPUT OUTPUT

設定しておきたいポリシー
INPUT : 原則として通信禁止、一部のポートを許可
OUTPUT: 原則として通信許可
FORWARD: 原則として通信禁止、一部のポートを許可

iptablesは2通りの方法で設定できる。
・シェルスクリプトを作成して、
そこにコマンドを書いていく方法
#!/bin/bash
シェルの中は、行の1つ1つが実行
iptables -F コマンドになっている。
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT ファイル単独で実行する。
iptables -P FORWARD DROP

・・・・・・・・・

・iptablesの設定ファイルに書く方法
*filter iptables専用の設定書式で書く。
:INPUT DROP [0:0]
:FORWARD DROP [0:0] 設定ファイルなので、これ単独で
:OUTPUT ACCEPT [0:0] は実行できない。
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT

・・・・・・・・・

iptablesは2通りの方法で設定できる。
・シェルスクリプトを作成して、
そこにコマンドを書いていく方法
#!/bin/bash
シェルの中は、行の1つ1つが実行
iptables -F コマンドになっている。
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT ファイル単独で実行する。
iptables -P FORWARD DROP

・・・・・・・・・

・iptablesの設定ファイルに書く方法
*filter iptables専用の設定書式で書く。
:INPUT DROP [0:0]
:FORWARD DROP [0:0] 設定ファイルなので、これ単独で
:OUTPUT ACCEPT [0:0] は実行できない。
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT

・・・・・・・・・この方法でやります

設定ファイル
/etc/sysconﬁg/iptables
3つのチェインの設定
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

FTP (20,21)、SSH(10022)、
HTTP(80)のポートを許可する。
許可するポートの設定
-A INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT
COMMIT

設定ファイル
/etc/sysconﬁg/iptables

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0] おまじないとして必要
:OUTPUT ACCEPT [0:0]

-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp --icmp-type any -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp -m state --state NEW ! --syn -j DROP

COMMIT

iptablesの起動

/etc/init.d/iptables start

※注意!
SSHのポート10022を閉じてしまうとSSH通信ができなくなるので、起動は
慎重に!

常駐サービス化

chkconfig iptables on

現在のフィルタ状態を確認する。

# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
DROP tcp -- anywhere anywhere state NEW tcp flags:!FIN,SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ftp-data
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:10022
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http

Chain FORWARD (policy DROP)

Chain OUTPUT (policy ACCEPT)

<参考>
さくらのVPS CentOSでサーバ構築 3 – iptables
http://akibe.com/centos-setup-3-iptables/

最低限の設定について開設しているので分かりやすいです。

＠IT：ステートフルパケットフィルタを使ったサービスの公開
http://www.atmarkit.co.jp/ﬂinux/rensai/iptables01/iptables01a.html

体系的な知識を吸収できます。

ユーザをつくるときに気をつけたいこと

morikawaユーザを作る
adduser morikawa

このコマンド1つで、
・SSH接続可能
・FTP接続可能
・メール送受信可能
なユーザが作られる。

passwd morikawa m o r i k a w a のパスワードを設

でも、必要なのはFTP接続機能だけだったりします。

morikawaユーザをSSH接続禁止にする
usermod -s /sbin/nologin morikawa

※SSH接続禁止にしても、引き続きFTP接続は可能です。

ユーザの一覧はpasswdファイルで確認できる
/etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

uemura:x:500:500::/home/uemura:/bin/bash
morikawa:x:501:501::/home/morikawa:/sbin/nologin

ログイン可能なユーザは/bin/bash
ログイン不可能なユーザは/sbin/nologin
になっています。

<参考>SSH ログインさせないアカウントを作る - Ceekz Logs
http://private.ceek.jp/archives/002511.html

<参考>
メールサービスも使わせないようにする

メールサーバーpostfixのケース
/etc/postfix/main.cf
transport_maps = hash:/etc/postfix/transport

/etc/postfix/transport
bar@example.com error:

[postfix-jp: 2107] Re: Local ユーザの一部を拒否は可能？
http://www.postfix-jp.info/ML/arc-2.3/msg00106.html

セキュリティアップデートをしよう

セキュリティパッケージのインストール
(さくらVPSではすでに導入済みでした)

yum -y install yum-plugin-security

セキュリティアップデートがあるかどうかチェック
yum --security check-update

セキュリティアップデートだけでなく、全てのパッ
ケージでアップデートがあるかどうかチェック
yum check-update

セキュリティアップデートがあるかどうかチェック

# yum --security check-update
Loaded plugins: fastestmirror, security
Loading mirror speeds from cached hostfile
* base: ftp.nara.wide.ad.jp
* epel: ftp.iij.ad.jp
* extras: ftp.nara.wide.ad.jp
* updates: ftp.nara.wide.ad.jp
Limiting package lists to security relevant ones
1 package(s) needed for security, out of 37 available

phpMyAdmin.noarch 3.5.2.2-1.el6 epel

phpMyAdminのアップデートが1つある

すべてのアップデートのチェック

# yum check-update
Loaded plugins: fastestmirror, security
Loading mirror speeds from cached hostfile
* base: ftp.nara.wide.ad.jp
* epel: ftp.iij.ad.jp
* extras: ftp.nara.wide.ad.jp
* updates: ftp.nara.wide.ad.jp

bind-libs.x86_64 32:9.8.2-0.10.rc1.el6_3.4
bind-utils.x86_64 32:9.8.2-0.10.rc1.el6_3.4
cups-libs.x86_64 1:1.4.2-48.el6_3.1
dbus.x86_64 1:1.2.24-7.el6_3
dbus-libs.x86_64 1:1.2.24-7.el6_3
dhclient.x86_64 12:4.1.1-31.0.1.P1.el6.centos.1
dhcp-common.x86_64 12:4.1.1-31.0.1.P1.el6.centos.1
dracut.noarch 004-284.el6_3.1
dracut-kernel.noarch 004-284.el6_3.1
glibc.x86_64 2.12-1.80.el6_3.5
glibc-common.x86_64 2.12-1.80.el6_3.5
glibc-devel.x86_64 2.12-1.80.el6_3.5
glibc-headers.x86_64 2.12-1.80.el6_3.5
initscripts.x86_64 セキュリティアップデートだけではなく、
9.03.31-2.el6.centos.1
irqbalance.x86_64 2:0.55-35.el6_3
kernel.x86_64
ソフトウェアのアップデートがあれば全てリストアップされる。
2.6.32-279.9.1.el6
kernel-devel.x86_64 2.6.32-279.9.1.el6

セキュリティアップデートのみ更新
yum --security update

すべてのパッケージを更新

yum update

<参考>
はじめての自宅サーバ構築 - Fedora/CentOS - yum plugin「yum-security」の導入
http://kajuhome.com/yum_security.shtml

実際にコマンド打ったときの様子を分かりやすく掲載しています。

「yum-security」でセキュリティアップデートのみを適用する
http://arutora.com/archives/20120201010005/

こちらはコマンドが簡潔にまとめられています。

phpMyAdminのセキュリティ設定

phpMyAdminとは:

MySQLのテーブルを
操作することができる
Webアプリケーション

まずMySQLサーバのインストール
(まだインストールしていない場合)

yum install mysql-server

phpMyAdminのインストール
(まだインストールしていない場合)

yum install phpMyAdmin

phpMyAdminセキュリティ強化のポイント
・phpMyAdminのURLを分かりにくくする
・アクセスできるIPアドレスを限定する
・SSLで利用できるようにする。

phpMyAdminのURLを分かりにくくする
デフォルトのままだと、
http://example.com/phpmyadmin
で接続することになる。

URLが容易に想像できてしまうので危険

分かりにくいURLにする。
http://example.com/phpmyadminjWtKjgil

phpMyAdminの設定ファイルを変更する。
/etc/httpd/conf.d/phpMyAdmin.conf
#Alias /Phpmyadmin /Usr/Share/Phpmyadmin コメントアウトする。
#Alias /phpmyadmin /usr/share/phpMyAdmin
Alias /phpmyadminjWtKjgil /usr/share/phpMyAdmin

<Directory /usr/share/phpMyAdmin/>
   <IfModule mod_authz_core.c> エイリアス設定。これで
     # Apache 2.4 http:/xxxx.com/phpmyadminjWtKjgil
     <RequireAny> でphpMyAdminにアクセスできるよう
       Require ip 127.0.0.1
になる。
       Require ip ::1
     </RequireAny>
   </IfModule>
   <IfModule !mod_authz_core.c>
     # Apache 2.2
     Order Deny,Allow
     Deny from All
     Allow from All
     Allow from ::1
   </IfModule>
</Directory>

アクセスできるIPアドレスを限定する
#Alias /Phpmyadmin /Usr/Share/Phpmyadmin
#Alias /phpmyadmin /usr/share/phpMyAdmin
Alias /phpmyadminjWtKjgil /usr/share/phpMyAdmin

   <IfModule mod_authz_core.c>
     # Apache 2.4
     <RequireAny>
       Require ip ::1
     </RequireAny>
   </IfModule>
   <IfModule !mod_authz_core.c>
     # Apache 2.2
     Order Deny,Allow
     Deny from All 接続できるIPアドレスを制限するには、
     Allow from 123.123.123.123 Allow from で指定すればよい。
     Allow from 192.168.0
     Allow from ::1
   </IfModule>
</Directory>

phpMyAdminをSSLで利用する。
SSLを利用すると通信内容が暗号化されるので、
盗聴の被害を食い止めることができる。

port: 80 (http)

暗号化

port: 443 (ssl)

phpMyAdminをSSLで利用する
yum install mod_ssl S S L モジュールインストール

/etc/init.d/httpd restart httpd再起動

https://example.com/phpmyadminjWtKjgil
でアクセスできるようになる。

httpによるphpMyAdminへの通信を
禁止したい場合
   <IfModule mod_authz_core.c>
     # Apache 2.4
     <RequireAny>
       Require ip ::1
     </RequireAny>
   </IfModule>
   <IfModule !mod_authz_core.c> この1行を入れてhttp再起動すれば、
     # Apache 2.2
http通信は禁止される。
SSLRequireSSL
     Order Deny,Allow
     Deny from All
     Allow from All
     Allow from ::1
   </IfModule>
</Directory>

今後の勉強会の予定はメールでお知らせできます!

上村・もりたく勉強会
http://toyao.net/studymeeting/

ありがとうございました

VPS借りたけどセキュリティが心配! 初心者が気をつけたいセキュリティの話

More Related Content

VPS借りたけどセキュリティが心配! 初心者が気をつけたいセキュリティの話

Editor's Notes