昨日の朝, WordPress 4.0.1 になっていた。セキュリティ・アップデートということだが,主として, XSS 関連のようだ。自動でアップデートされると思うが,されない場合は,手動での早急なアップテートをお奨めする。 “An extremely unlikely hash collision could allow a user’s account to be compromised, that also required that they haven’t logged in since 2008 (I wish I were kidding).” というのを読んで,思わず笑っちゃったが,笑いごとじゃないよなあ(溜息)。
CentOS7 は標準で SSH が使えるようだ。 OS 変更後, TeraTerm で接続してみた。もちろん,他の SSH クライアントでも構わない, PuTTY とか WinSCP とか。 SSH サーバの現時点のバージョンは 6.4p1-8 だった。
標準の設定だと, root かつ パスワードでアクセス可能なので,ちょっと,不安。細かい設定は後回しとしても,最小限,これだけは変えておこう。
設定いじりの前に, TeraTerm で 認証鍵ペアを作った。秘密鍵には, passphrase も設定した。サーバ上でも鍵は作れるが,それだと,秘密鍵のほうをネット経由でやり取りすることになる。これが嫌いなのだ。多人数相手だと,メールででもやり取りしないと仕方ないだろうが。
||その 1 Sudoers ファイルの編集||
usermod -G wheel centos
<--- 「centos」というのは, sudo を使わせたいユーザ。 # visudo
su - centos
sudo shutdown -h now
We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
パスワードを要求される。
[sudo] password for centos:
||その 2 policycoreutils-python のインストール||
yum install policycoreutils-python
||その 3 SSH の設定を変更||
mkdir .ssh
chmod 700 .ssh
cat id_rsa.pub > .ssh/authorized_keys
chmod 600 .ssh/authorized_keys
rm -f id_rsa.pub
su -
vi /etc/ssh/sshd_config
# systemctl restart sshd.service
注)**** には well-known ports 以外の数値を使う。ただし,数値は 0 ~ 65535。
firewall-cmd --permanent --zone=public --add-port=****/tcp
firewall-cmd --reload
semanage port -a -t ssh_port_t -p tcp ****
exit
exit
$ sudo firewall-cmd --list-all
public (default, active)
interfaces: eth0
sources:
services: dhcpv6-client ssh
ports: ****/tcp
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
SSH の設定変更,おしまい!!
This website uses cookies.
View Comments
おはようございます。
sshもきれいにまとめてらっしゃいますね。
CentOS7で運用を開始しましたら
色々不具合がでてきました。
★昔ながらのeth0にする方法
Red Hat EL 7(CentOS 7)でNICのデバイス名を古い形式(eth0とか)にする方法
★vsftpdが自動起動しない場合の変更方法
# vi /usr/lib/systemd/system/vsftpd.service
[Unit]
Description=Vsftpd ftp daemon
#After=network.target
After=network.target mariadb.service
★webmin
chkconfigとserviceコマンド
★clamd
サーバーを再起動するとサービスが復旧しない。
対処法はサーバー再起動しない。
くりくりさん,こんにちは。
> ★昔ながらのeth0にする方法
初めに, systemctl status iptables と systemctl status firewalld をやったんですが, iptables は dead で, firewalld が running でした。それで, iptables の扱いは元に戻りそうにないなと思って, firewalld を覚えるつもりなんですが,こちらに関してはどうでしょうか。
ls /etc/sysconfig/network-scripts/ では, ifcfg-eth0, ifcfg-eth1, ifcfg-eth2, ifcfg-lo になっています。「さくらの VPS のカスタムインストール」から CentOS7 を入れると,ネットワーク設定はいじらなくていいんです。そこのところで,既に ethx 系を使うように設定されているのでしょうか。
ところで,関係リンクをタグに変えました。毎度ですが,コメント時にタグの使えない設定で,すみません m(_"_)m。
> ★vsftpdが自動起動しない場合の変更方法
これは, Maria ちゃん絡みですか?デフォが, MySQL なんでしょうか。
> ★webmin
> chkconfigとserviceコマンド
この辺は,「systemctl に変った」件関係の話ですか。私は,しょっぱなの sshd の再起動で躓きました。
> ★clamd
> 対処法はサーバー再起動しない。
エッ??!!
今晩は
明日も休みなんで寝てました(w
>こちらに関してはどうでしょうか。
iptablesとfirewalldですが、俺はiptablesです。
plesk11もそうだしplesk12もiptablesですからね。
さらにiptablesに変わるnftablesがあります。
nftables
どれがメインになるかはわかりません。
iptablesは消えていくのかな。
以下は不具合解消法ですかね?
vsftpdは再起動するとsystemctl enable vsftpdとしても
再起動すると自動起動しなくなります。
対処方法は起動順序をnetworktarget
もしくはmariadbの後に変更する必要があります。
clamdはrpmforgeにel7がありましたが
これも再起動するとちゃんとうごきません。
自動起動設定はchkconfigを使い。
起動はinitではなくsystemdですからね。
いずれにせよまだCentOS7は色々はやいというか
不具合が多いですね。
後、今年はお腹いっぱいと関わってくるんですが、
CentOS5のサポートが2.4年です。
今年みたいに不具合が多いとサポートが終わったOS
で運用は絶対したくないですね。
くりくりさん,こんばんは。
前返信は,いろいろ,勘違いの書き込みでした(汗)。当たり前ですが,まだまだ勉強不足なんです。
> 以下は不具合解消法ですかね?
これは, systemd で依存関係を解決することに関連がありそうですが, vsftpd の起動が mariadb に関係あるんでしょうか?
> いずれにせよまだCentOS7は色々はやいというか
そうですね。
しかし,今年のように大きな脆弱性が目白押しだと,おっしゃるように,サポートの終わった OS での運用は,確かに厳しいと思います。