nuy

1. rootパスワードを設定し、SUコマンドを利用Ubuntu のデフォルト設定では root ユーザーはパスワードが設定されていないため利用不可となっています。root ユーザーにパスワードを設定することで、従来の [su] コマンドによる遷移が可能となる。$ sudo passwd root[sudo] password for ← 現在のユーザのパスワードEnter new UNIX password: ← 設定するパスワードを入力

1. SSHサービスのセキュリティ設定SSHサービスはデフォルトでrootユーザーのログインを許可しています。rootユーザーはユーザー名が既に判明しているためパスワードが判明すると、管理者権限でサーバーへログイン出来るため、これを拒否する設定を行います1.1 一般ユーザーの作成Ubuntu 22のインストール時に一般ユーザーを作成している場合は、本手順は不要です。サー バーに作成されているユーザーがrootのみの場合、SSHによるリモートログインが出来なくなりますので、OSのインストール時にユーザーを作成していない場合、事前にユーザーを作成する必要があります。OSのインストール時にユーザーを作成している場合は、本手順は不要です。ユーザーの作成は"useradd"コマンドで行います。"-m"オプションでホームディレクトリの作成、"-p"オプションでパスワードを指定します。例えばユーザーアカウント名として「ubuntuuser」、パスワードとして「123456」を設定する場合は、以下のように実行します。

RSA 公開鍵暗号方式を用いた認証によるSSH接続 公開鍵、秘密鍵ペアの作成OpenSSH 使って Linux サーバに接続するユーザの公開鍵と秘密鍵のペアを作成します。鍵ペアの作成は ssh-keygen をを使います。今回はSSH プロトコル Version 2 で利用する RSA 暗号を利用した鍵セットを作成します。公開鍵と秘密鍵のペアの作成はリモートログインするユーザ権限(huong)で実行します。作成先・ファイル名を指定しなければ、 /home/huong/.ssh/ に id_rsa, id_rsa.pub が作成される。 途中、鍵用のパスワードも入力する。

1. 時刻同期サービスを提供する NTP サーバーをインストール# apt -y install chrony# vi /etc/chrony/chrony.conf# 20～23行目：デフォルト設定はコメントにして自身のタイムゾーンの NTP サーバーを追記#pool ntp.ubuntu.com     iburst maxsources 4#pool 0.ubuntu.pool.ntp.org iburst maxsources 1#pool 1.ubuntu.pool.ntp.org iburst maxsources 1#pool 2.ubuntu.pool.ntp.org iburst maxsources 2

Apache2インストール最初にUFWでhttp:80番ポートおよびhttps:443ポートをallowしておく# ufw allow http# ufw allow https# ufw reload1 Apache2 をインストール# apt -y install apache22 Apache2 基本設定

1.ウイルス対策ソフトClamav導入1.1 インストール# apt install clamav clamav-daemon尚、clamav関連の設定ファイルは、/etc/clamav/フォルダにインストールされる1.2 ウイルス定義の更新# systemctl stop clamav-freshclam # freshclamSat May 21 20:44:38 2022 -> ClamAV update process started at Sat May 21 20:44:38 2022Sat May 21 20:44:38 2022 -> daily database available for update (local version: 26547, remote

1. 証明書を取得する (Let's Encrypt)1.1 事前準備①mod_sslを有効にする# a2enmod ssl②Let's Encrypt証明書を取得するためのクライアントツールをインストール# apt -y install certbot③Let's Encrypt証明書の取得Apache httpd や Nginx などの Webサーバーが稼働していることが前提となります。作業を実施するサーバーで Webサーバーが稼働していない場合は ④の手順を実行。また、インターネット側から、作業を実施するサーバー (証明書を取得したい FQDN のサーバー) の 80 ポート宛てにアクセス可能であることも前提です。

1. MySQL 8インストール1. 1インストール# apt -y install mysql-server1.2. MySQLサーバのセキュリティ設定MySQLサーバのセキュリティ関連の設定を行うためにmysql_secure_installtionというツールを実行します。実行すると、質問形式でいくつかのセキュリティ設定がはじまります。はじめに以下のようにパスワードバリデーション用のプラグインを使用するか確認されます。パスワードバリデーションというのは、MySQL用のユーザのパスワード強度をチェックし、十分セキュアなパスワードのみ受け付けるよう制限をかけることができます。例えば、最低何文字以上で必ず記号と数値を1文字以上含むなどです。この条件について次の質問で設定できます。良ければyを入力してEnterを押します

1.SNORTインストールSnortは、IPネットワーク上でリアルタイムのトラフィック分析とパケットロギングを実行できるオープンソースのネットワーク侵入検知システムです。「プロトコル分析」「コンテンツ検索」「マッチング」を実行でき、「バッファオーバーフロー」「ステルスポートスキャン」「CGI攻撃」「SMBプローブ」「OSフィンガープリント試行」「セマンティックURL攻撃」「サーバメッセージブロック探査」など、さまざまな攻撃検出に使用できます。

1. DiCEのインストールネットが切断されたり、ルーターが切断再起動したときにおこるグローバルIPの変更の度に、ダイナミックDNSにアクセスしグローバルIPが変更されたことを知らせなくてはいけません。その作業を自動的にやってくれるのがDiCEです

1. システムのバックアップ1.1 /var/www/html　配下のバックアップ①/var/www/systemディレクトリーを作成# mkdir -p /var/www/system②/var/www/system配下にbackup_all.shスクリプト作成# vi /var/www/system/backup_all.sh

Snort3 インストールUbuntu22.04,23.04はデフォルトのユニバースリポジトリは下記の通りsnort2.9となっていますので、ソースコードからSnort3をビルド、コンパイルしてインストールします

Ubuntu Server 24.04インストールイメージのダウンロードUbuntu Serverのインストール用メディアはインターネット上の公式サイトからダウンロードできます。高速な回線さえあれば2～3分程度でOS自体をダウンロードすることができます。ダウンロードしたisoファイルからインストール用CD/DVDまたはUSBディスクを作成する必要があります。(約2.7G)Vmware等を使用して仮想マシンにインストールする場合はisoファイル自体を利用できます。isoファイルのダウンロード先は「Ubuntu 公式ダウンロードサイト」です。Ubuntu 24.04 ( 2024年04月25日リリース)は 2029年6月までサポートですので、本番環境にはLTS版のUbuntu24.04を導入するほうが無難です。

1. rootパスワードを設定し、SUコマンドを利用Ubuntu のデフォルト設定では root ユーザーはパスワードが設定されていないため利用不可となっています。root ユーザーにパスワードを設定することで、従来の [su] コマンドによる遷移が可能となる。2. システムの最新化# apt update# apt upgrade3. locateコマンドを利用できるようにするLinuxシステム全体を対象として、特定のファイルを検索するのにはfindコマンドを利用する場合が多いが、findはオプションの指定がやや分かりにくいところがあります。locateコマンドは指定したファイル名をもつファイルを全て抽出することが可能です。4. vimエディターの設定Ubuntu にはデフォルトでvimがインストールされています4.1 vimの設定変更vim設定を、全てのユーザーに許可したくない場合もあるかと思います。そのような場合には各ユーザーごとにvimの環境を変更できる「.vimrc」ファイルをユーザーのホームディレクトリに作成することでvimの環境を設定できます。今回はrootユーザーのホームディレクトリ"/root/"に「.vimrc」ファイルを作成し全ユーザーに適用するよう設定します。

1. SSHサービスのセキュリティ設定SSHサービスはデフォルトでrootユーザーのログインを許可しています。rootユーザーはユーザー名が既に判明しているためパスワードが判明すると、管理者権限でサーバーへログイン出来るため、これを拒否する設定を行います1.1 一般ユーザーの作成Ubuntu24.04のインストール時に一般ユーザーを作成している場合は、本手順は不要です。サー バーに作成されているユーザーがrootのみの場合、SSHによるリモートログインが出来なくなりますので、OSのインストール時にユーザーを作成していない場合、事前にユーザーを作成する必要があります。OSのインストール時にユーザーを作成している場合は、本手順は不要です。2. ファイヤーウォールの設定Ubuntuでは「ufw」というソフトウェアを使ってファイアウォールを設定することが多いので、ufwを利用したファイアウォール設定を行います。ufwはOSの導入時にインストールされています。インストール後に最低限のフィルタ設定を行う手順を紹介します。ufwで設定するフィルタルール• サーバーに転送されるパケットは全て拒否• サーバーから外部へ送信されるパケットは全て許可• 最初に許可するポートはSSH用のポート(2244)• サーバーに入ってくるパケットを制限