このページではセキュアな RedHatサーバを構築する場合に設定しておきたい項目の一覧を紹介します。
| 項目 | 設定内容 | 設定方法 | 例 | 備考 |
| Kernel パラメーター | クラッシュカーネル用のメモリ量指定 | 【設定ファイル】 /etc/default/grub の GRUB_CMDLINE_LINUX= 行 (*)/boot/grub2/grub.cfg は自動生成されるため参照のみ。編集は不可。 【設定内容】 crashkernel=auto |
2G以上のメモリを搭載している場合は auto を指定すれば自動で確保される。 | |
| 起動時のグラフィカル画面表示 | 【設定ファイル】 /etc/default/grub の GRUB_CMDLINE_LINUX= 行 (*)/boot/grub2/grub.cfg は自動生成されるため参照のみ。編集は不可。 【設定内容】 rhgb quiet |
|||
| キーボードタイプ変更 | 【設定ファイル】 /etc/default/grub の GRUB_CMDLINE_LINUX= 行 (*)/boot/grub2/grub.cfg は自動生成されるため参照のみ。編集は不可。 【設定内容】 keyboardtype=pc |
|||
| キーボード種類 | 【設定ファイル】 /etc/default/grub の GRUB_CMDLINE_LINUX= 行 (*)/boot/grub2/grub.cfg は自動生成されるため参照のみ。編集は不可。 【設定内容】 KEYTABLE=jp106 |
|||
| 言語設定 | 【設定ファイル】 /etc/default/grub の GRUB_CMDLINE_LINUX= 行 (*)/boot/grub2/grub.cfg は自動生成されるため参照のみ。編集は不可。 【設定内容】 LANG=ja_JP,UTF-8 |
|||
| DISK暗号化無効 | 【設定ファイル】 /etc/default/grub の GRUB_CMDLINE_LINUX= 行 (*)/boot/grub2/grub.cfg は自動生成されるため参照のみ。編集は不可。 【設定内容】 rd_NO_LUKS |
|||
| ソフトウェアRAID無効 | 【設定ファイル】 /etc/default/grub の GRUB_CMDLINE_LINUX= 行 (*)/boot/grub2/grub.cfg は自動生成されるため参照のみ。編集は不可。 【設定内容】 rd_NO_MD |
|||
| LVM無効 | 【設定ファイル】 /etc/default/grub の GRUB_CMDLINE_LINUX= 行 (*)/boot/grub2/grub.cfg は自動生成されるため参照のみ。編集は不可。 【設定内容】 rd_NO_LVM |
|||
| DMRAID無効 | 【設定ファイル】 /etc/default/grub の GRUB_CMDLINE_LINUX= 行 (*)/boot/grub2/grub.cfg は自動生成されるため参照のみ。編集は不可。 【設定内容】 rd_NO_DM |
|||
| SeLinux | SeLinux 無効化 | (1)現状を確認 # getenforce Enforcing Enforcingは「SeLinuxが有効」ということ。 (2)無効化する 【ファイル名】 /etc/selinux/config 【変更前】 SELINUX=enforcing 【変更後】 SELINUX=disabled (3)OSを再起動する。 (注意)disable と dを忘れると、permissiveになる。 |
||
| ネットワーク | NICの自動起動をオンに | /etc/sysconfig/network-scripts/ifcfg-[デバイス名] ここで ONBOOT=YES |
||
| IPアドレス設定(永続的) | nmcli connection modify ens192 ipv4.method manual ipv4.addresses [IPアドレス]/[サブネットマスク] ipv4.gateway [Gatewayアドレス] | nmcli connection modify ens192 ipv4.method manual ipv4.addresses 10.0.0.1/24 ipv4.gateway 10.0.0.254 | [接続名]を取得するには以下のコマンド。 #nmcli device show |
|
| ホスト名変更 | hostnamectl set-hostname [host name] | #hostnamectl set-hostname testsrv.local | 再起動不要で反映される | |
| ipv6を無効化(永続的に) | (1) 以下のフォルダ内に適当な conf ファイルを作成する。 /etc/sysctl.d/ 【ファイル名の例】/etc/sysctl.d/disableipv6.conf 【内容】 net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 (2)以下のコマンドで設定反映 #sysctl -p /etc/sysctl.d/disableipv6.conf (3)以下のコマンドで ipv6 アドレスが表示されないことを確認する。 #ip address もし有効なら、 inet6 ・・・ のような表示あり。 (4)各インターフェースでIPv6を無効化する。 【ファイル名の例】 /etc/sysconfig/network-scripts/ifcfg-ens192 【内容】 IPV6INIT=no (5)hostsファイルの ipv6 に関する記述をコメント化します。 【ファイル名】 /etc/hosts 【修正内容】 #::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 (6)ネットワークを再起動します。 #systemctl restart network |
|||
| su コマンドを root 以外禁止 | su コマンドを実行できるユーザを限定 (1) 【ファイル名】vi /etc/pam.d/su 【内容】 auth required pam_wheel.so use_uid #デフォルトではコメント化されているため、コメントを除外する。 (2)以下のどちらかの方法で suできるユーザを wheel グループに追加 /etc/group usermodコマンド |
|||
| オートネゴシエーション | # /usr/sbin/ethtool -s ens192 autoneg on | |||
| ログ | メール以外全てのメッセージを出力 | 【ファイル名】 /etc/rsyslog.conf 【修正前】 *.info;mail.none;authpriv.none;cron.none /var/log/messages 【修正後】 *.info;mail.none /var/log/messages |
||
| 特定のIPアドレスから受け取った場合はログファイルに出力する | 【ファイル名】 /etc/rsyslog.conf 【修正箇所】 :fromhost-ip, isequal, "<IPアドレス>" -/var/log/test.log |
|||
| エラーメッセージを別ファイルに記録 | 【ファイル名】 /etc/rsyslog.conf 【修正箇所】 *.err /var/log/syslog.err |
|||
| syslogの出力フォーマット変更(ファシリティとプライオリティ出力) | 【ファイル名】 /etc/rsyslog.conf 【対処】 (1)以下の行をコメント化 *.info;mail.none;authpriv.none;cron.none /var/log/messages (2)以下の行を追加 $template custom_template,"%timegenerated% %hostname% %programname% %syslogfacility-text%.%syslogseverity-text% %msg%\n" *.info;mail.none;authpriv.none;cron.none /var/log/messages;custom_template (3)rsyslog 再起動 #systemctl restart rsyslog.service |
|||
| 短期間で大量にsyslogが出力されら場合でも、切り捨てせずにすべてsyslogに記録する。 | 【ファイル名】 /etc/rsyslog.conf 【対処】 $imjournalRatelimitInterval 0 |
|||
| サーバにsyslogを転送する | TCPの場合、以下のように追記する。 *.info;mail.none;authpriv.none;cron.none /var/log/messages & @@[サーバIPアドレス];custom_template |
|||
| ログローテーション | ローテーション対象を追加 | 【ファイル名】 /etc/logrotate.conf 【設定内容】 /var/log/cron /var/log/maillog /var/log/messages /var/log/secure /var/log/spooler 【変更後】 /var/log/cron /var/log/maillog /var/log/messages /var/log/secure /var/log/spooler /var/log/syslog.err /var/log/boot.log |
||
| ログ保存期間を4か月に変更 | 【ファイル名】 /etc/logrotate.conf 【設定内容】 rotate 16 #16週なので四か月 |
|||
| ftpログ(vsftpd.log、xferlog)を毎日ローテーションに変更。保存期間を約5年(1827日)に変更。 | 【ファイル名】 /etc/logrotate.d/vsftpd 【設定内容】 /var/log/vsftpd.log { # ftpd doesn't handle SIGHUP properly daily rotate 1827 nocompress missingok create 0644 root root dateext } /var/log/xferlog { # ftpd doesn't handle SIGHUP properly daily rotate 1827 nocompress missingok create 0644 root root dateext } |
|||
| ftpログ転送 | (1)/var/log/vsftpd.log , /var/log/xferlog のパーミッション確認 /etc/logrotate.conf 内でそれぞれ 644 で生成されていることを確認。 なぜならpermissionで"other"に r が必要なため。 (2) 【ファイル名】 例:/usr/local/bin/ftplog-upload.sh 【設定内容】 #!/bin/sh DT=`date -d '1 days ago' +"%Y%m%d"` cd /var/log/ ftp -i -n 10.0.071<<END passive user username password binary put /var/log/vsftpd.log-$DT /home/hdb/vsftpd.log put /var/log/xferlog-$DT /home/hdb/xferlog bye END (3)cron登録 # crontab -l 0 8 * * * /usr/local/bin/ftplog-upload.sh |
(*)日時ジョブの実行時間は以下で確認する。 #cat /etc/anacrontab |
||
| レポジトリ | ローカルのDVDをレポジトリに設定 | (0)RHEL のDVDを挿入する (1)ブロックIDを表示 # blkid (2)マウントポイントを作成 #mkdir /media/rhel7-repo-iso/ (3)マウント実施。(/dev/sr0 の場合) # mount /dev/sr0 /media/rhel7-repo-iso/ mount: /dev/sr0 is write-protected, mounting read-only (4) cd /etc/yum.repos.d/ (5) vi rhel-dvd.repo 以下を入力 [rhel-dvd] name=Red Hat Enterprise Linux 7.3 - x86_64 - DVD baseurl=file:///media/rhel7-repo-iso/ enabled=0 gpgcheck=1 gpgkey=file:///media/rhel7-repo-iso/RPM-GPG-KEY-redhat-release (6)以下コマンドで一覧が表示されれば成功!! yum --disablerepo=\* --enablerepo=rhel-dvd list (7)以下のコマンドで有効化 #yum-config-manager --enable rhel-dvd |
||
| vsftpd | vsftpd サービスをインストール | #yum install vsftpd #systemctl start vsftpd.service #自動起動をオン # systemctl enable vsftpd.service Created symlink from /etc/systemd/system/multi-user.target.wants/vsftpd.service to /usr/lib/systemd/system/vsftpd.service. #確認 # systemctl list-unit-files -t service | grep vsftpd.service vsftpd.service |
||
| ftpクライアントインストール | #yum -y install ftp | |||
| 匿名接続禁止に | 【ファイル名】 /etc/vsftpd/vsftpd.conf 【設定内容】 anonymouns_enable=NO |
|||
| FTPコマンドログを有効に | 【ファイル名】 /etc/vsftpd/vsftpd.conf 【設定内容】 xferlog_enable=YES xferlog_file=/var/log/xferlog xferlog_std_format=NO log_ftp_protocol=NO #FTPリクエストとレスポンスを記録する。ログが大量になるのでデバッグ時以外はNO。 dual_log_enable=YES #/var/log/xferlog と /var/log/vsftpd.log の両方に記録する |
|||
| バナーを表示しない (デフォルトではvsFTPd 3.0.2のようにftpソフトウェア名とバージョンが表示される。) |
【ファイル名】 /etc/vsftpd/vsftpd.conf 【設定内容】 ftpd_banner=Welcome to blah FTP service. |
|||
| ログイン可能なユーザを限定 | 【ファイル名】 /etc/vsftpd/vsftpd.conf 【設定内容】 userlist_enable=YES userlist_deny=NO #YESはブラックリスト、NOはホワイトリスト 【ファイル名】 /etc/vsftpd/user_list 【設定内容】 user001 user002 (*)ftpアクセス可能なユーザを追加していく。userlist_denyなどを変更した場合はvsftpdの再起動が必要。 |
|||
| dir や ll で表示されるユーザ・グループの情報を隠蔽し、それぞれftp と表示する。 | 【ファイル名】 /etc/vsftpd/vsftpd.conf 【設定内容】 hide_ids=YES |
|||
| passive モードを有効にする | 【ファイル名】 /etc/vsftpd/vsftpd.conf 【設定内容】 pasv_enable=YES |
|||
| wtmpx/btmpx にセッションログを出力 | 【ファイル名】 /etc/vsftpd/vsftpd.conf 【設定内容】 session_support=YES |
|||
| ローカルタイムゾーンの表示 | 【ファイル名】 /etc/vsftpd/vsftpd.conf 【設定内容】 use_localtime=YES |
|||
| ftp による chmod コマンドを禁止 | 【ファイル名】 /etc/vsftpd/vsftpd.conf 【設定内容】 chmod_enable=NO |
|||
| chroot した場合の書き込み権限のチェック回避 | 【ファイル名】 /etc/vsftpd/vsftpd.conf 【設定内容】 allow_writeable_chroot=YES |
chroot した先に書き込み権限があると "refusing to run with writable root inside chroot" エラーが出る現象の回避設定。 | ||
| 上位ディレクトリ参照可能ユーザ | (1) 【ファイル名】 /etc/vsftpd/chroot_list 【設定内容】 chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list (2)上位ディレクトリに移動可能なユーザを指定する 【ファイル名】 /etc/vsftpd/chroot_list (*)上位ディレクトリ移動可能なユーザを指定する。 【設定内容】 user001 (3)vsftpd 再起動後に有効となります。 |
(1)/etc/vsftpd/chroot_list で指定されたユーザ ftp> pwd 257 "/home/user001" ls / でルートディレクトリが表示される。 (2)指定されていないユーザ ftp> pwd 257 "/" ls / でもルートディレクトリが表示されない。 |
||
| 性能情報取得 | 10分間隔から1分間隔に変更 | 【ファイル名】 /etc/cron.d/sysstat 【変更前】 */10 * * * * root /usr/lib64/sa/sa1 1 1 【変更後】 */1 * * * * root /usr/lib64/sa/sa1 1 1 |
(*)再起動なしで設定が反映される | |
| 保存日数を28日から90日に | 【ファイル名】 /etc/sysconfig/sysstat 【変更前】 HISTORY=28 【変更後】 HISTORY=90 |
|||
| firewalld | 新規ゾーンを作成 | firewall-cmd --permanent --new-zone=myzone |
||
| デフォルトゾーンを変更 | firewall-cmd --set-default-zone=myzone |
|||
| インターフェースにactive-zoneを追加 | firewall-cmd --zone=myzone --change-interface=ens192 | firewall-cmd --list-allでインターフェースを確認 | ||
| 状態を確認 | firewall-cmd --list-all | |||
| [基本設定] ・loopbackを許可 ・sshの送信を許可 ・送信をすべて禁止 ・forwardをすべて禁止 |
iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o ens192 -p icmp --icmp-type echo-request -j ACCEPT iptables -A OUTPUT -o ens192 -p icmp --icmp-type echo-reply -j ACCEPT iptables -A INPUT -o ens192 -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -o ens192 -p icmp --icmp-type echo-reply -j ACCEPT iptables -A OUTPUT -o ens192 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o ens192 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ens192 -j DROP iptables -A FORWARD -o ens192 -j DROP iptables-save |
|||
| リッチルールを追加 [ftp inbound] | #firewall-cmd --permanent --zone=myzone --add-rich-rule=' rule family="ipv4" source address="10.0.0.0/8" service name="ftp" accept' #activeにも対応しているみたい。(要するに outbound 20も許可される。 #確認 #firewall-cmd --permanent --zone=myzone --list-rich-rules (注)iptables コマンドの後でも大丈夫だった |
|||
| journald設定 | 短時間での大量メッセージ出力時の切り捨てを無効化 | 【ファイル名】 /etc/systemd/journald.conf 【修正内容】 RateLimitBurst=0 RateLimitInterval=0 |
||
| メモリ上に記憶する | 【ファイル名】 /etc/systemd/journald.conf 【修正内容】 Storage=volatile |
|||
| メモリダンプ設定 | kdumpを有効化する | (1)サービスの自動起動設定 #systemctl enable kdump.service (2)サービスの設定確認 #/usr/bin/systemctl status kdump.service |
||
| 出力パーティションを指定 | 【ファイル名】 /etc/kdump.conf 【修正内容】 xfs [デバイス名] |
|||
| 出力パスを指定 | 【ファイル名】 /etc/kdump.conf 【修正内容】 path /var/crash #出力先パスを指定 |
|||
| 圧縮しない、0で埋められたページや未使用のページは出力しない | 【ファイル名】 /etc/kdump.conf 【修正内容】 core_collector makedumpfile --message-level 1 -d 31 |
|||
| NTP | ntp クライアントでパブリックサーバの参照を無効化 | #自動起動をオン # systemctl enable vsftpd.service |
||
| 【ファイル名】 /etc/ntp.conf 【修正内容】 #server 0.rhel.pool.ntp.org iburst #server 1.rhel.pool.ntp.org iburst #server 2.rhel.pool.ntp.org iburst #server 3.rhel.pool.ntp.org iburst |
||||
| ntp サーバを指定 | Server [NTPサーバのIPアドレス] prefer | prefer で優先先を指定するが、このオプションは有効にならず、実際にどちらが優先されるかは OSが決めているようだ。 | ||
| NTPサーバとの時刻のずれが大きくても停止しない。 | 【ファイル名】 /etc/ntp.conf 【修正内容】 tinker panic 0 (*)先頭に記載 |
デフォルトではNTPサーバと1000秒ずれている場合、ntp サービスが停止する場合がある。(ntpサーバあるいは自分側で故障など大きな問題が発生していると判断している模様) これをいくらずれていても時刻を合わせる設定とする。 |
||
| slew モード設定 | 【ファイル名】 /etc/sysconfig/ntpd 【修正内容】 OPTIONS="-x" |
ntpの時刻合わせの方法には一気に合わせる「step モード」と徐々に合わせる「slow モード」の2種類がある。 「step」モードで大幅に時刻が変更となるとソフトウェアによっては不整合が発生し障害の元となる場合がある。よってslewモードとして、大幅な時刻のずれが発生しても問題が起こりにくくする。 デフォルトはステップモードの "-g" (*)10秒程度の場合は少しずつ補正する。ただしslewモードでも大幅に時刻がずれている場合は、一気に修正される。 |
||
| 確認 | 以下のコマンドを実行し、サーバのIPアドレスの左側に * が表示されていることを確認する。 # ntpq -p |
(*)10秒程度の場合は少しずつ補正する。ただしslewモードでも大幅に時刻がずれている場合は、一気に修正される。 | ||
| ntpd 起動前の時刻同期 | 【ファイル名】 /etc/ntp/step-tickers 【修正内容】 <IPアドレスを追記する> |
ntpd 起動前に時刻同期をしておく。時刻が大幅にずれている場合、ntpd 起動に失敗する場合がある問題に対処。 | ||
| ユーザ追加 | ユーザ追加 | 各ユーザの設定 | ||
| ユーザID(UID) 。500番まではOSが使用するため、501番以後を使用する。 | ユーザ名:user01,グループ名:myusers,UID=1001,GID=1001の場合 # groupadd -g 1001 myusers # useradd -m user001 -u 1001 -g myusers |
|||
| グループID(GID) 。500番まではOSが使用するため、501番以後を使用する。 | ユーザ名:user01,グループ名:myusers,UID=1001,GID=1001の場合 # groupadd -g 1001 myusers # useradd -m user001 -u 1001 -g 1001 myusers |
|||
| ホームディレクトリ | useradd の -m オプション指定で作成される。 | |||
| ログインシェル。 /bin/bash #ログイン許可 /sbin/nologin #ログイン禁止 |
ユーザ作成後、以下を実行 #usermod -s /sbin/nologin user01 |
|||
| SSH/SFTP/SCP 許可 | ||||
| FTP 許可 | ||||
| パスワード変更許可 | ||||
| パスワード有効期限 | ||||
| パスワード変更禁止期間 | ||||
| パスワード有効期限切れ警告 | ||||
| SU 可否 | ||||
| SUDO 可否 | ||||
| 初回パスワード変更強制 | chage -d 0 user01 | |||
| パスワードポリシー | ・最低限の長さ:minlen=8 ・英字大文字を最低限1回使用する:ucredit=-1 ・英字小文字を最低限1回使用する:lcredit=-1 ・数字を最低限1回使用する:dcredit=-1 ・英字・数字以外を最低限1回使用する:ocredit=-1 ・元パスワードと4文字以上異なるパスワード変更のみ許可:difok=5 |
【ファイル名】 requisite pam_pwquality.so try_first_pass local_users_only retry =3 authtok_type= 【修正行】 password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 ucredit=-1 lcredit =0 dcredit=-1 ocredit=-1 difok=5 |
pam_cracklib.so ではなくpam_pwquality.soを使用 | |
| ・100日以内のパスワード変更: ・パスワード変更可能となるまでの日数(すぐにパスワードを何度も変更して同じものを使い続けることへの対処) ・パスワード切れ警告開始日(何日前から警告を表示するか) |
【ファイル名】 /etc/login.defs 【修正行】 PASS_MAX_DAYS 100 PASS_MIN_DAYS 7 #PASS_MIN_LEN 5 PASS_WARN_AGE 14 |
|||
| アカウントロック(n回パスワードを間違えるとアカウントをロックする)。ただしローカルログインなどに機能し、ssh ログインでは機能しない。 | 【ファイル名】 /etc/pam.d/system-auth 【修正行】 auth required pam_tally2.so deny=4 (*)場所に注意。既存行の authの先頭に付ける。 |
[参考] 失敗回数確認コマンド(sshログイン失敗は対象外) # pam_tally2 -u user001 アカウントロック解除 #pam_tally2 -u user001 -r |
||
| パスワードの有効日数:100 パスワード変更禁止期間:7 パスワード最小文字数:5 パスワード期限切れ警告開始日数(×日前):14 |
【ファイル名】 /etc/login.defs 【修正行】 PASS_MAX_DAYS 100 PASS_MIN_DAYS 7 PASS_MIN_LEN 5 PASS_WARN_AGE 14 |
|||
| rm 実行時の確認の表示 | 【ファイル名】 /home/skel/.bashrc 【追加行】 alias rm='rm -i' |
root は元からついているので付加不要。 | ||
| 新規ファイル作成のパーミッションを644とする | 【ファイル名】 /home/skel/.bashrc 【追加行】 UMASK=022 |
|||
| root 化可能なユーザを制限 | (1) 【ファイル名】 /etc/login.defs 【追加内容】 SU_WHEEL_ONLY yes (2) 【ファイル名】 /etc/pam.d/su 【追加内容】 auth required pam_wheel.so use_uid (3)wheel にユーザを追加 usermod -aG wheel user001 |
|||
| リモート sudo の実行を許可 | (1)visudo を実行 (2)以下の通りコメント化 #Defaults requiretty |
(1)visudo を実行 (2)以下の通りコメント化 #Defaults requiretty |
||
| リモート sudo パスワードキャッシュを無効 | デフォルトでは sudo 実行時のパスワードはローカルにキャッシュされる。5分間有効となる。 毎回 sudo 実行時にはパスワードが必要な設定に変更する。(*)即時反映される。 |
(1)visudo を実行 (2)以下の行を追加 Defaults timestamp_timeout = 0 |
||
| sudo 可能ユーザを限定 | visudo という専用のツールで編集する。wheelグループのみsudo 可能とする設定を行う。 (1)以下のコマンドを実行する。 visudo (2)以下のコメントを除外する #%wheel ALL=(ALL) ALL (*)実際には以下のファイルを編集するが、visudo 以外では原則編集ができない模様。間違えて編集して保存すると、二度とrootが使用できない致命的な状況になる可能性があるため。 /etc/sudoers |
|||
| カーネルパラメーター | ||||
| その他 | telnet クライアント導入 | # yum install telnet -y [中略] Running transaction インストール中 : 1:telnet-0.17-59.el7.x86_64 1/1 検証中 : 1:telnet-0.17-59.el7.x86_64 1/1 インストール: telnet.x86_64 1:0.17-59.el7 完了しました! |
||
| [Ctrl] + [Alt] + [Del] キーによるリブートの無効化。(*)再起動不要。 | ln -s /dev/null /etc/systemd/system/ctrl-alt-del.target | |||
| ssh サーバ設定 | ip v6を無効化する設定。 【ファイル名】 /etc/ssh/sshd_config 【変更前】 #AddressFamily any 【変更後】 AddressFamily inet |
|||
| SSH Protocol 2 を指定 【ファイル名】 /etc/ssh/sshd_config 【変更前】 #Protocol 2 【変更後】 Protocol 2 |
||||
| root 直接ログオンを禁止 【ファイル名】 /etc/ssh/sshd_config 【変更前】 #PermitRootLogin yes 【変更後】 PermitRootLogin no |
||||
| sftpサーバのログを詳細に /var/log/auto.log に出力する 【ファイル名】 /etc/ssh/sshd_config 【変更前】 Subsystem sftp /usr/libexec/openssh/sftp-server 【変更後】 Subsystem sftp /usr/libexec/openssh/sftp-server -l VERBOSE |
||||
【ファイル名】 /etc/ssh/sshd_config AllowUsers user001 user002 user003 |
||||
| 不要なサービスの停止 | ||||
| 以下は例であり環境により異なる。 | (参考) #systemctl list-unit-files --type=service --no-pager 定義されているサービスの一覧を表示する #systemctl list-units --type=service --no-pager 稼働中のサービスの一覧を表示する |
|||
| lvm2-lvmetad.service | # systemctl disable lvm2-lvmetad.service |
|||
| lvm2-monitor.service | # systemctl disable lvm2-monitor.service Removed symlink /etc/systemd/system/sysinit.target.wants/lvm2-monitor.service. |
|||
| chronyd | # systemctl disable chronyd | 時刻同期を ntpd で実行したい場合。 | ||
| rhnsd | # systemctl disable rhnsd.service rhnsd.service is not a native service, redirecting to /sbin/chkconfig. Executing /sbin/chkconfig rhnsd off |
定期的に Red Hat Network に接続して更新をチェックする。インターネットに接続していない場合など不要なら停止。 (*)ただし rhsmcertd(サブスクリプションマネージャー)は起動しておく。 rhnsdはsystemd対応のサービスではないため、従来の chkconfigにコマンドがリダイレクトされ処理される。 |
||
| wpa_supplicant | # systemctl disable wpa_supplicant | wpa 関連 |