「セキュリティ」タグアーカイブ

Azure環境のCentOS 7でOpenVASを使えるようにするための設定

前回までで、取りあえずOpenVASのインストールを行いました。

ここで、Auzre環境を設定しないと接続出来ないことを思い出しました。

以前に提供されていたネットワークの設定で「エンドポイント」を指定するのと同じく、ファイアウォールのポートを解放してあげないと、接続出来ないんですね(^^ゞ

「Virtual Machine」から、今回の仮想マシンを選択し、「パブリックIPアドレス/DNS名ラベル」→「設定」へ進みます。

 

更に、「構成」→「DNS名」を入力します。

これで、ドメイン名の設定が完了します。

ここから、ポートを解放します。

同様に、仮想マシンを選択して、「リソースグループ」→「ネットワークセキュリティグループ」(画面のマークを探してください)を選択します。

「受信セキュリティ規則」を選択すると、以下の画面が表示されます。

「追加」を押して、「受信セキュリティ規則」に必要な項目を追加します。

今回は、HTTP(80)とOpenVASが使用するポート番号(デフォルトで9392)を開放します。

IPアドレスによる制限をする場合等、適宜必要に応じて設定してください。

設定が完了すると以下の様に設定した項目が追加されます。

これで、ポートが開放されましたので、ドメイン名を指定してブラウザで開いてみます。

https://ドメイン名/

開かない場合は、httpdが起動していない可能性があります。
前回の設定を確認してみてください。

更に、OpenVASの画面を開いてみます。

https://ドメイン名:9392
httpではなくhttpsであることに注意してください。
本来ならば、以下の画面が表示されるはず・・・なのですが、残念ながらセキュリティ警告画面が表示されると思います。

ブラウザにより異なりますので詳細は記しませんが、表示された画面の「詳細設定」などのリンクをクリックして、そこに掛かれている記述を確認しながら無理やりアクセスを行ってください。

場合によっては、セキュリティ例外に登録する必要があります。

すると、ログイン画面が表示されます。

設定したログインIDとパスワードを入力して設定の再開です。

次回はOpenVASの設定方法について更に続けます。

 

rootのssh接続を禁止する。

CentOS 6.Xにおいて、rootでssh接続が出来なくするための設定です。

デフォルトで接続できなくなっている環境もあるかと思いますが、今回は自分で設定します。

必ず、別途のユーザでssh接続できる状態にしておかなければいけません!!

ユーザの追加などはuseraddコマンドを使うなりなんなりとw

さて、簡単です。

sshdの設定ファイルを開きます。

ファイルの中身はこんな感じ
(セキュリティの関係で、説明に必要が無い部分は省略しています。)

ついでになりますが、sshポートをデフォルト状態にしておくと外部からの攻撃の的になりやすいです。

そこで、ポート番号を別のポートに変更します。
例えば、51222とか任意のポートを指定します。
このポートで接続できることも確認しておきたいですね。

さらに23行目をコピーして以下の様に設定します。

最後にsshdのサービスで設定を再読み込みします。

敢えて、再起動(restart)はしませんでした。

理由は、reloadだと既に接続されている状態が維持されるからです。

この時点でssh接続を行っていた状態は維持されているはずです。

別途、他のssh端末を開いて上記で行った設定を元に接続を行ってみてください。(ポート番号の指定を忘れない様に)

rootへのssh接続が出来ないこと。
ポート番号が任意の指定した番号に変更になり、デフォルトの22ポートでは接続出来なくなっていることを確認してください。

これで、sshポートに対する不正アクセスは大幅に削減できるはずです。

そもそもICMP(PING)を禁止しておくべきなのですが、pingを死活監視に使いたかったので、ファイアウォールで禁止にしました。
サーバ自身はpingに応答出来る様にして、死活監視が可能な状態が欲しかったのです。

ファイアウォールが提供されていない環境では、インターネットからの不正アクセスを軽減する(禁止にはならない)ために、iptablesなどを使ってICMPを拒否することが望ましいと思います。
私の様にそれでも死活監視などの理由で残したい方は、特定のIPからのみ許可するなどの対策をご検討下さい。