CentOS 7サーバーの初期設定

• 前書き
• 前提条件
• ステップ1：標準ユーザーアカウントを作成する
• ステップ2：rootログインとパスワード認証を禁止する
• ステップ3：タイムゾーンを構成する
• ステップ4：IPTablesファイアウォールを有効にする
• 手順5：ファイアウォールを通過する追加のトラフィックを許可する

前書き

新しくアクティブ化されたCentOS 7サーバーは、運用システムとして使用する前にカスタマイズする必要があります。この記事では、ユーザーが行う必要がある最も重要なカスタマイズをわかりやすく説明しています。

前提条件

新しくアクティブ化されたCentOS 7サーバー（できればSSHキーでセットアップ）rootとしてサーバーにログインします。

ssh -l root server-ip-address

ステップ1：標準ユーザーアカウントを作成する

セキュリティ上の理由から、rootアカウントを使用して毎日のコンピューティングタスクを実行することはお勧めできません。代わりに、sudo管理者特権を取得するために使用する標準ユーザーアカウントを作成することをお勧めします。このチュートリアルでは、joeという名前のユーザーを作成するとします。ユーザーアカウントを作成するには、次のように入力します。

adduser joe

新しいユーザーのパスワードを設定します。パスワードの入力と確認を求められます。

passwd joe

新しいユーザーをwheelグループに追加して、を使用してroot権限を引き受けることができるようにしsudoます。

gpasswd -a joe wheel

最後に、ローカルマシンで別のターミナルを開き、次のコマンドを使用して、リモートサーバー上の新しいユーザーのホームディレクトリにSSHキーを追加します。SSHキーをインストールする前に、認証を求められます。

ssh-copy-id joe@server-ip-address

キーがインストールされたら、新しいユーザーアカウントを使用してサーバーにログインします。

ssh -l joe server-ip-address

ログインが成功した場合、他の端末を閉じることができます。これ以降、すべてのコマンドの前にが付きsudoます。

ステップ2：rootログインとパスワード認証を禁止する

SSHキーを使用して標準ユーザーとしてログインできるようになったので、ルートログインとパスワード認証の両方が許可されないようにSSHを構成することをお勧めします。両方の設定は、SSHデーモンの構成ファイルで構成する必要があります。したがって、を使用して開きnanoます。

sudo nano /etc/ssh/sshd_config

PermitRootLogin行を探し、コメントを外して、値をnoに設定します。

PermitRootLogin     no

PasswordAuthentication行についても同じことを行います。これはすでにコメント解除されているはずです。

PasswordAuthentication      no

ファイルを保存して閉じます。新しい設定を適用するには、SSHをリロードします。

sudo systemctl reload sshd

ステップ3：タイムゾーンを構成する

デフォルトでは、サーバーの時刻はUTCで示されます。ローカルタイムゾーンを表示するように設定することをお勧めします。これを行うには、国/地域のゾーンファイルを/usr/share/zoneinfoディレクトリに配置し、そこから/etc/localtimeディレクトリへのシンボリックリンクを作成します。たとえば、米国の東部にいる場合は、次を使用してシンボリックリンクを作成します。

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

その後、dateコマンドを実行して、時刻が現在localtimeで指定されていることを確認します。出力は次のようになります。

Tue Jun 16 15:35:34 EDT 2015

出力のEDTは、ローカル時刻であることを確認します。

ステップ4：IPTablesファイアウォールを有効にする

デフォルトでは、新しくアクティブ化されたCentOS 7サーバー上のアクティブなファイアウォールアプリケーションはFirewallDです。これはIPTablesの優れた代替品ですが、多くのセキュリティアプリケーションはまだそれをサポートしていません。したがって、OSSEC HIDSなどのアプリケーションを使用する場合は、FirewallDを無効にするかアンインストールすることをお勧めします。

FirewallDの無効化/アンインストールから始めましょう：

sudo yum remove -y firewalld

次に、IPTablesをインストール/アクティブ化しましょう。

sudo yum install -y iptables-services
sudo systemctl start iptables

起動時に自動的に開始するようにIPTablesを構成します。

sudo systemctl enable iptables

CentOS 7のIPTablesには、次のコマンドで表示できるデフォルトのルールセットが付属しています。

sudo iptables -L -n

出力は次のようになります。

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

これらのルールの1つがSSHトラフィックを許可していることがわかるので、SSHセッションは安全です。

これらのルールはランタイムルールであり、再起動すると失われるため、以下を使用してファイルに保存することをお勧めします。

sudo /usr/libexec/iptables/iptables.init save

そのコマンドはルールを/etc/sysconfig/iptablesファイルに保存します。このファイルをお好みのテキストエディタで変更することにより、いつでもルールを編集できます。

手順5：ファイアウォールを通過する追加のトラフィックを許可する

ほとんどの場合、新しいサーバーを使用していくつかのWebサイトをホストするため、ファイアウォールに新しいルールを追加して、HTTPおよびHTTPSトラフィックを許可する必要があります。これを行うには、IPTablesファイルを開きます。

sudo nano /etc/sysconfig/iptables

SSHルールの直後または前に、HTTP（ポート80）およびHTTPS（ポート443）トラフィックのルールを追加して、ファイルのその部分が以下のコードブロックに示すように表示されるようにします。

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

ファイルを保存して閉じ、IPTablesをリロードします。

sudo systemctl reload iptables

上記の手順が完了すると、CentOS 7サーバーはかなり安全になり、運用環境で使用できるようになります。