CentOS7の仮想サーバー構築にチャレンジ その5

投稿日:2016年06月28日
最終更新日:

CentOS7の仮想サーバー構築にチャレンジ その4 の続きです。iptablesの設定が完了後、さらにセキュリティを固めていきます。

もくじ

  • CentOS7 ISOファイルの入手(その1)
  • VMwareの準備(その1)
  • 仮想マシンの作成(その1)
  • CentOS7のセットアップ(その2)
  • 初回ログイン(その3)
  • ファイアウォール(iptables)(その4)
  • sudoの有効化(その5)
  • リモートからのrootログインの禁止設定(SSH)とセキュリティ強化(その5)
  • Apacheのインストール(その6)
  • WEBサーバーとして運用するための設定(その7)
  • SFTPによるファイルのアップロード(その7)
  • PHPのインストール(その8)
  • ユーザーディレクトリでWEBサイトを公開する(その8)
  • PHPをCGIモードで(ユーザー権限で)動かす(その8)
  • デフォルトパーミッションの変更(その9)
  • php.iniと.user.ini(その9)
  • MySQLの導入(その10)
  • phpMyAdminのインストール(その11)
  • WordPressのインストール(その12)

sudoの有効化

ここまではrootでログインして作業を行ってきました。サーバー構築初期はroot権限が必要な作業も多いので、rootでログインしたほうが便利なことも多々ありますが、日常的なサーバー運用でrootログインするのは自殺行為です。通常は、sudoコマンドを用いて、必要なときだけ通常ユーザーがroot権限を貰って作業します。手順解説は当サイトのCentOSでSudoを使えるようにする | 自由とテクノロジーを愛す者のサイトで行います。root以外のユーザーを新規に作成する場合は、こちらを参考にして下さい。

sudoが使えるようになった後、ユーザーを切り替える場合は

リモートからのrootログインの禁止設定(SSH)とセキュリティ強化

さて、sudoが使えるようになったところで、SSH経由でのrootログインを禁止しましょう。これもセキュリティ強化のためです。同時に他のセキュリティ強化設定も行います。コマンドは以下(ここからはrootでないsudoできるユーザーでログインしている前提でコマンドを記載)

設定ファイルの書き換えが終わったら保存します。ポート番号を変更する場合は下記を参考にSELinuxの設定を変更して下さい。そうでない場合は「SSH 設定ファイル書き換え後の操作」に飛んで下さい。

SELinuxとポート番号

ポート番号の設定をいじるときには、SELinuxの設定をいろいろと弄る必要が出てきます。SSHのポート番号を変更する際SELinux関連のコマンドは以下(参考サイト→CentOS 7 で sshd のポートを変更する(firewalld, SELinuxの設定) | CentOS | daily memorandum 3.0.0)

SSH 設定ファイル書き換え後の操作

ここまで終わったら、試しにSSHでrootログインしてみましょう。拒絶されれば設定が有効化されています。

iptablesの設定、sudoの有効化、SSHでのrootログイン禁止まで終われば、とりあえずセキュリティはそこそこのレベルに達すると思います。が、セキュリティに終わりはありません。常に最新の情報を仕入れて対策を施す必要がありますし、ソフトのアップデートも欠かせません。今回はCentOSでのソフトのアップデートに使うコマンドを解説して終わりたいと思います。

このブログを応援する・寄付する

当ブログでは暗号通貨による寄付を募っております。

Bitcoin:

Monacoin:

Litecoin: