サーバの管理_セキュリティ

SuitePROをご利用いただくにあたり、絶対に行っていただきたい設定
SuitePROは、root権限をお渡しする為、お客さまが自由にサーバを構築いただくことができます。
しかし、同時に、お客さまのサーバのセキュリティ管理がしっかりとなされていない場合、攻撃者によるサーバの乗っ取りなど、セキュリティ上のリスクが非常に高くなります。

SuitePROをお使いいただくにあたり、セキュリティ対策が必要な項目は以下の通りとなります。
これらの項目について、使い始める際に必ず実施いただくようお願いいたします。

rootアカウントログインの制限

[ 管理者アカウントでの直接ログインを禁止する設定 ]

管理者アカウントでSSHでログインできる状態になっていると辞書攻撃(よく使われそうなパスワードを使って不正侵入を試みる方法)や 総当たり攻撃(手当たり次第にさまざまなパスワードを使って不正侵入を試みる方法)によって第三者によって管理者権限を不正に取得される危険があります。

この危険性に対処するため、管理者アカウント(root)を使ってSSHでログインすることを禁止する設定を行うことが出来ます。 設定の手順は以下の通りです。

設定を行う前にユーザーアカウントの管理の項目に書かれている方法でユーザーアカウントを作っておいて下さい。 設定を行う前にユーザーアカウントを作っておかないとSSHでログインすることが出来なくなってしまいます。

もしユーザーアカウントを作っていない状態でこの設定を行い、 ログインすることが出来なくなってしまった場合はコントロールパネルの「再インストール」メニューにある「sshdの再インストール/起動」から設定ファイルの初期化を実施し、さらに「sshdの起動」ボタンを押しsshdを再起動して下さい。
  1. サーバーにSSHで接続し、rootアカウントを使用してログインします。
  2. viなどのテキストエディタで /etc/ssh/sshd_config ファイルを開いて下さい。
    viで /etc/ssh/sshd_config ファイルを開くコマンドは以下の通りです。
    [root@localhost ~]# vi /etc/ssh/sshd_config
    「#PermitRootLogin yes」と書いてある行がありますので、この行の行頭にある「#」を削除し「yes」を「no」に書き換えて下さい。
    [root@localhost ~]# no  (←行頭にある # を削除)
    書き換えが終了したらファイルを保存してテキストエディタを終了して下さい。
  3. 以下のコマンドを実行し、設定した内容を有効にしてください。
    [root@localhost ~]# service sshd reload

    [ ユーザーアカウントの管理 ]

    初期状態ではユーザーアカウントは1つも作成されていません。 メールアカウントを追加したい場合など、root以外のアカウントを使用したい場合は rootで仮想専用サーバにログインして以下のコマンドを実行して下さい。
    [root@localhost ~]# useradd (ユーザー名)
    たとえば、「nttpc」というユーザーアカウントを作成したい場合は以下のコマンドを入力します。
    [root@localhost ~]# useradd nttpc
    ユーザーを追加したら、そのユーザーのパスワードも設定して下さい。 パスワードが設定されていない場合、そのユーザーはログインすることが出来ません。 パスワードの設定は以下のコマンドで行うことが出来ます。
    [root@localhost ~]# passwd (ユーザー名)
    たとえば、「nttpc」というアカウントのパスワードを設定したい場合は以下のコマンドを入力します。 コマンドを入力すると設定するパスワードを入力するプロンプトが表示されますので、 設定したいパスワードを入力してEnterを押す操作を2回繰り返してください。
    [root@localhost ~]# passwd nttpc
    Changing password for user nttpc.
    New UNIX password:(設定するパスワードを入力)
    Retype new UNIX password:(同じパスワードをもう一度入力)
    passwd: all authentication tokens updated successfully.
    
    作成したユーザーアカウントを削除したい場合は以下のコマンドを入力します。
    [root@localhost ~]# userdel (ユーザー名)
    
    たとえば、「nttpc」というアカウントを削除したい場合は以下のコマンドを入力します。
    [root@localhost ~]# userdel nttpc
    
    初期状態でシステムで使われるアカウントが多数登録されています。 これらのアカウントを削除するとサーバが正常に動作しなくなる場合がありますので、 アカウントの削除を行う場合はお客様ご自身が作成されたユーザアカウントであることをご確認の上、慎重に行ってください。
    通常、上記手順で作成したアカウントは500から501、502、・・・のように順番にUIDが割り当てられます。

パスワードの変更

SuitePROの[契約内容変更サービス]、[コントロールパネル]および[root]のパスワードは、サービスご利用開始時点では、全てお客さまが指定された同一のパスワードが設定されています。セキュリティ確保のため、各パスワードを定期的に変更いただくようお勧めします。
各パスワードは、それぞれ異なるパスワードを設定することができます。

パスワード変更にあたっては、8文字以上の英数字と記号を組み合わせた、推測されにくいパスワードを設定いただきますようお願い申し上げます。

具体的な設定の方法は以下のとおりです。

  • [契約内容変更サービス]パスワードはこちらで変更できます。
  • [コントロールパネル]パスワードは、コントロールパネル上で変更できます。
  • [root]パスワードはこちらをご参照ください。

ユーザーアカウントのSSHのログイン制限

作成したユーザーアカウントで、サーバにSSHでログインする必要が無いユーザーアカウントについては、ログインシェルの変更を行われることをお勧めします。この制限を設定すると、そのユーザーはSSHでログインすることが出来ません。

たとえば、「nttpc」というアカウントのSSHのログイン制限を設定したい場合は以下のコマンドを入力します。

[root@localhost ~]# chsh nttpc
Changing shell for nttpc.
New shell [/bin/bash]: /sbin/nologin
Shell changed.

RPMパッケージのアップデート

ソフトウェアにはセキュリティ上の問題が発見される場合がありますので、RPMパッケージは常に最新のバージョンに保っておくことをお勧めします。
アップデートはコントロールパネルから行うことが出来ますので、ご利用開始時やOSの再インストールを行った時はRPMパッケージのアップデートを行って下さい。

SuitePROでは初期状態で「yum」サービスが起動する設定になっており、このサービスが動作していれば毎日自動的にRPMパッケージのアップデートが実行されます。
yumサービスは停止せず、そのままご利用頂くことをお勧めします。

使用しないサービスの停止

仮想専用サーバの再起動時に自動起動するサービスを設定することが出来ますが、適切な設定を行わないまま必要のないサービスをonにしておくと不正アクセスを受ける危険がありますので、 使用しないサービスはoffに設定しておくことをお勧めします。