さくらのVPSを契約後、セキュリティ強化の為にやる4つのこと

さくらのVPSは初期状態ではシャットダウン状態。
使用するにはコントロールパネルにログインしてまずはVPSを起動させる必要があります。

ただし、起動したら攻撃される可能があるので起動後に
セキュリティ強化を行う必要があります。

順を追って説明します。

  1. 作業ユーザーを作成
  2. SSHのポートを22から変更、rootによるログイン禁止
  3. パケットフィルターリングの設定を変更
  4. 公開鍵とパスフレーズによる認証

セキュリティ対策を行った上で、サービス(httpd.vsftpdなど)のインストールを行います。

作業ユーザーを作成

最初はrootしか無いのと、後にrootによるログインを禁止するので作成します。
rootも完全に使えなくするのではなくsshのログインを禁止するだけ。

root権限を使いたい時は、作業ユーザーでログインしてsuコマンドで
rootにユーザーを変更することができます。

また、作業ユーザーは他人にはなるべく分からない名前が良いでしょう。

SSHのポートを22から変更、rootによるログイン禁止

SSHのポートを22から任意のポートに変更します。
1000番以上がおすすめ。

22番ポートはSSHで使うと分かっているのでインターネットから
ホスト名を取得し22番ポートをスキャンすることで
セキュリティ対策の甘いサーバーを見つけること
ができます。

その対策として22番ポートを変更してしまえば、
ポートスキャンされても応答しません。

ターゲットを絞った攻撃には効きませんが、上のような無差別な
ポートスキャンには効果があります。

rootはログインを禁止することでrootに対する総当り攻撃を無効化する
ことができます。

パケットフィルターリング(iptables)の設定を変更

不要なポートを塞ぐことで
OSの脆弱性を突いた攻撃などを防ぐこともできます。

また、wwwサーバなどで必要なポートは開ける設定も必要です。

公開鍵とパスフレーズによる認証

作業ユーザーに対する総当り攻撃を防ぐ効果があります。

公開鍵、秘密鍵、パスフレーズを作成して総攻撃を防ぐ効果があります。
面倒なの別記事で紹介したいと思います。

あとがき

さくらのVPS結構狙われてます。
【参考】さくらのVPSに来る悪い人を観察して通報してインターネットを少し良くする

上の設定に加え、極力ソフトは最新版にアップデートします。
phpmyadminへの不正アクセスが多い様なので名前を変更しておくと
悪い人が来てもすぐ帰ってくれるかもしれません。

後は、不正ログインされてないか時々ログのチェックをおすすめします。

スポンサーリンク