備忘録_30 / ServersMan@VPS_11
どうです!このインパクトあるタイトルは!… … やっぱり即閉じですよね。いえ、閉じてくださいお願いします。
セキュリティの基本は目立たない。木の葉を隠すなら木の葉の中、オツムの程度を人にバラさないがセオリーです。
ですから、今回も人に読まれたくない投稿記事になります。いわんや、能ある鷹は爪を隠す、に尽きます。
――――― では、その対偶は?
隠す爪がない鷹は、本来あって然るべき場所にそもそも脳ミソが実装されていなかった ――――― 。
I have the bone No miso.
I have a regrets.This is the only my path.
So sorry I pray, “unlimited blade works”
体は …脂で出来ている。
ならば我が生涯に一切の善玉コレステロールは不要ず。
その体は、…きっと…無限の中性脂肪で出来ていた。
CentOS7の使用ポートについての前知識
第3者がポートスキャンを使用してSSHサービスが実行されているかどうかを確認するとき、大抵の場合、 ウェルノウンポートである1023番ポートまでしかポートスキャンを行わないと言われております。 このため、SSHで利用するポート番号を22番ポートから1024番ポート以上に変更しておくことにより、 第3者からの攻撃を未然に防げる可能性が高くなります。
ウェルノウンポートとは?
【英】well-known port numbers
ウェルノウンポートとは、TCP/IPで使用されるポートのうち、特によく利用されているポートのことである。または、そのポートを指すポート番号のことである。例として、HTTPが主に使用する「80番」などがある。ウェルノウン(well-known)とは、「よく知られた」「有名な」といった意味の英語である。ウェルノウンポートと呼ばれるポート番号は0番から1023番の間にある。
via:weblio辞書 ウェルノウンポートの意味・解説
| 番号 | プロトコル名 | |
| 20 | TCP | FTP(データ) |
| 21 | TCP | FTP(制御) |
| 22 | TCP | SSH |
| 23 | TCP | TELNET |
| 25 | TCP | SMTP |
| 43 | TCP | WHOIS |
| 53 | UDP | DNS |
| 番号 | プロトコル名 | |
| 67 | UDP | DHCP(サーバ) |
| 68 | UDP | DHCP(クライアント) |
| 80 | TCP | HTTP |
| 110 | TCP | POP3 |
| 123 | UDP | NTP |
| 161 | UDP | SNMP |
| 443 | TCP | HTTPS |
「よく知られた」ポートだけで1024個もあるらしく、全てを書ききれないので私がネットやTwitter等で実際に聞いたことがあるものだけをPickUpしてみました。因みに情報資格試験に出るらしく、これは全て丸暗記だそうです…。
覚えきれません…、私なりに幾つか語呂合わせを考えてみますた。
- お兄さん(23)☎してネェ~と(TELNET)💖
- よよみ(443)変態プレイすンなッ(HTTPS)💢
今のところWordPressしか運用しておりませんから、この中で使っているポートはHTML形式のファイルの送受信に使う「80:HTTP」とそのセキュア「443:HTTPS」、サーバーにコマンドを与える「22:ssh」のこの3つぐらいしか思いつきません。「20:FTP」なんてServersMan@VPSでは最初から使えませんし、如何様にしても使えない以上穴を塞ぐ必要ってあるのでしょうか?一応閉じておくに越した事はないのでしょうけど…、
それは良しとして、それ以外が全く分からないです。WordPressに連動しているデータベースや各種サービスが個別にポートを使っていたら正常に動作出来なくなりますよね?
ServersMan先輩
いくら考えても分からないものは分からないので、本職の方のiptable設定を参考にさせていただきました。
というよりは、そっくりそのまま上から順番にコピペでコマンドラインに入力しました。取り敢えず動くかどうか試してみて、これで動かないなら完全にギブアップ。
あ・な・たの声が~私を引き戻す🎵崩れる足もとに桜が舞い散る💦目の前を塞ぐ迷宮を🔫切り裂いて~lalala🎶
iptable設定
④ FW設定
次にFWの設定です。CentOS7はfirewalldというサービスがありますが、ServersManのVPSはOpenVZを用いているため使えません。Dockerも使えないみたいです。ハイパバイザー型がハードウェアレベルの仮想化であるのに対して、OpenVZはOSレベルの仮想化なので自由度が低いようです。その分、安価で高速な環境を提供して貰えているとのこと。
閑話休題。※ 1
とりあえずiptablesでFWの設定を行います。
オプション「-A」はチェイン(検査ルール)の指定、「-m」はマッチングモジュール指定。
・localhostから(内部)の通信許可
iptables -A INPUT -i lo -j ACCEPT
・ping許可
iptables -A INPUT -p icmp -j ACCEPT
※pingのプロトコルはICMP
・HTTP許可
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
※HTTPのポートは80番
・HTTPS許可
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
※HTTPS(HTTPS(SSL))のポートは443番
・SSH接続許可
iptables -A INPUT -p tcp -m tcp --dport SSHポート番号 -j ACCEPT
※自分で設定したSSH接続ポート番号
・派生の通信許可
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
・内向きの通信拒否(上記以外)
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
・外向きの通信許可
iptables -P OUTPUT ACCEPT
・設定保存
service iptables save
・設定確認
cat /etc/sysconfig/iptables iptables -L
この設定後、当然ですが許可したポート以外は通信不可能な状態になります。SSHポート番号が間違っていたりすると、以後リモート操作(SSH)ができず、サーバーリセットという事態になりかねませんので注意しましょう。
via:ServersManパイセン_マニュアル
先輩ありがとう ――― !!
- いいお!(110)ポッポな俺様(pop3)★5SSRの神召喚!!
iptable設定と仮想専用サーバーの動作の確認
[図_2]
| vi /etc/sysconfig/iptables |
前回、設定ファイルの一番最後のコメント行のお尻にこっそりと付け加えた"#"が消えています??
備忘録_29 / ServersMan@VPS_10
今の状態で、[iptableの初期化]ボタンを押したらリセットされるでしょうか?
怖いので絶対にしませんが…。
取り敢えずしばらくはこの状態で使ってみます。
今回は以上です。
閑話休題 [※ 1]
本来の話題から逸れてしまった話を元に戻すという意味のこと。閑話とは、無駄話や雑談を表す言葉で、休題とはこれまで話していた話題や話を終わりにする/話題を変えるという意味である。類語として口語に「それはさておき」「ともかく」などがある。
via:weblio辞書_閑話休題の意味
EyeCatch画像:Rudy and Peter Skitterians/Pixabayからの画像