Ubuntuのufwでファイアウォール設定

vpsなど自分で管理するサーバーは、ちゃんと自分で守らなくては、ということでファイアウォールを設定していたのを思い出したのでメモ。 最近のubuntuはufwで設定するらしい。iptablesのフロントエンドらしい。 まずはufwを有効に。 $ sudo ufw enable 次に、基本的に拒否して、使うポートだけ開けていきます。 $ sudo ufw default DENY 今回開けるのは、とりあえずhttpとssh。 sshは攻撃を受けやすいので、portを変えましょう。 Ubuntuでsshのポートを変更する | tjun memo それが無理ならLIMITにしましょう。 LIMITは30秒間に6回アクセスしてきた IP の接続を一定時間拒否するという設定です。ブルートフォース対策です。 $ sudo ufw allow 80/tcp $ sudo ufw limit ssh 現状を確認 $ sudo ufw status Status: active To Action From -- ------ ---- 22/…

Ubuntuでsshのポートを変更する

sshポートをデフォルトの22にしていると攻撃を受けるので、変えましょう。 変える先のポート番号は、10000~65534の間で適当な番号がよいと思います。 また、 $ netstat -an を見て、使われていないポートにしましょう。 設定の変更 $ vi /etc/ssh/sshd_config で、新たなポート番号を設定します。 # What ports, IPs and protocols we listen for #Port 22 Port 24242 そして、sshdを再起動して設定を反映 $ sudo /etc/init.d/ssh restart 次回からssh接続するときは $ ssh xxx.xxx.xxx.xxx -p 24242 のようにポートを指定します。…

debian(ubuntu)で弱いパスワードの人を見つける(LDAP編)

とあるサーバでユーザアカウントが乗っ取られて攻撃の踏み台に使われるという被害にあったので、対策のためパスワードの強度のチェックを行いました。 LDAPで複数サーバのアカウントを管理するシステムだったので、作業はLDAPのmasterで行いました。 まず、パスワードチェックに用いるのはjohnというソフト aptで入ります。 $sudo apt-get install john LDAPを使っていないならば、あとは John the Ripper でパスワードをチェックする - いますぐ実践! Linuxシステム管理 / Vol.168 を参考にするとできると思います。 で、LDAP使ってる場合、パスワードファイルを引いてこなければならないので、まずはLDAPの情報を /etc/ldap/ldap.conf か /etc/ldap/slapd.conf と /etc/ldap.secret あたりを参照して、baseDNとadminDNとldappasswdを取得します。 base: dc=test,dc=example,dc=com admin:…