OracleLinux9.3

OracleLinux9.3 インストール Oracle Linuxは、Red Hat Enterprise LinuxやCentOS Linuxに代わる100%アプリケーション・バイナリ互換性のある選択肢を提供し、ハイブリッド環境とマルチクラウド環境の両方に対応しています。 2006年以降、Oracle Linuxは完全に無料でダウンロードして使用できます。ソースコード、バイナリ、アップデートは無料で提供されます。自由に再配布可能です。本番環境での使用は無料です。 今回は、最新のOracle Linux9.3(2023年11月15日リリース)で進めていきます。 １．Oracle Linux9.3 ダウンロード Oracle Linux9.2 のインストールイメージ(OracleLinux-R9-U3-x86_64-dvd.iso )は下記サイトからダウンロード可能 https://www.oracle.com/linux/

1.bash補完機能拡張パッケージのインストール # dnf -y install bash-completion # reboot 2.SELinuxの無効化 まず、selinuxを無効化します。selinuxはLinuxの監査やセキュリティを向上させる機能ですが、有効になっているとサービスの動作や、設定内容にかなりの制限が出てきます。そのため、基本的には無効にする場合が多いのが実情です。 SELinuxの動作モード Enforcing : SELinux機能は有効でアクセス制御も有効 Permissive : SElinuxはwarningを出すが、アクセス制限は行われません disabled : SElinux機能・アクセス制御ともに無効

1.SSHによるリモート接続の設定 SSHはサーバーへリモートで接続するためのサービスで、基本的にはOSインストール直後に動作していますが、デフォルトの設定ではややセキュリティに難があります。 ここではデフォルトの設定を変更してSSH接続のセキュリティを高める設定を行います。 1.1 SSHサービスの設定ファイル変更 SSHサービスの設定を変更するために設定ファイルを変更します。 SSHサービスの設定ファイルは"/etc/ssh/sshd_config"になります。

公開鍵暗号方式を用いた認証によるSSH接続  公開鍵、秘密鍵ペアの作成 OpenSSH 使って Linux サーバに接続するユーザの公開鍵と秘密鍵のペアを作成します。 鍵ペアの作成は ssh-keygen をを使います。 公開鍵と秘密鍵のペアの作成はリモートログインするユーザ権限で実行します。 作成先・ファイル名を指定しなければ、 /home/(ユーザ名)/.ssh/ に id_ed25519, id_ed25519.pub が作成される。 途中、鍵用のパスワードも入力する。 PuTTYgen を使った秘密鍵の作成 Winscpを起動し該当サーバーを選択「Tools」からRun Puttygen を起動する

1.FTPサーバ インストール 1.1vsftpdインストール # dnf -y install vsftpd 1.2vsftpd の設定 編集前の vsftpd.conf を .bak を付けて保存 # cp /etc/vsftpd/vsftpd.conf /home/huong/vsftpd.conf.bak 2. vsftpd SSL/TLS Vsftpd を SSL/TLS で利用できるように設定します 2.1 自己署名の証明書を作成 Let's Encrypt 等の信頼された正規の証明書を使用する場合は当作業は不要です 3. Sambaでファイルサーバー導入 ユーザー認証が必要なアクセス権付ファイルサーバーをSambaで構築します。 導入手順 ①ユーザー認証が必要なアクセス権付の共有フォルダーを作成 ②アクセス可能なグループ作成 ③アクセス可能なグループに属するユーザー作成 ④設定ファイル編集

WEBサーバー(Apache)インストール、バーチャルホスト設定 1.Apache2インストール 1.1 httpdをインストール 2. CGIスクリプトの利用確認 ①CGIの利用可確認 3. PHPのインストールと設定

clamav ( アンチウィルスソフト )のインストール 1.Clam AntiVirusインストール # dnf -y install clamav clamd clamav-update メールサーバー インストール 1. Postfixのインストール 1.1 インストール Postfix をインストールして SMTP サーバーを構築します Mail サーバー : Postfix + Clamav + clamav-milter+SpamAssassin 1.メールのリアルタイムスキャン ①clamav-milterインストール Clam AntiVirusを使用してメールサーバー側でメールに対するウイルスチェックを行う。 メールサーバーとClam AntiVirusとの連携はclamav-milterを利用して行なう。

1.SSL証明書を取得する ( Let's Encrypt ) 最新のopen sslをインストールしておく # dnf install openssl-devel 1.1 事前準備 1.パッケージ管理システムSnappyインストール Let’s EncryptのSSL証明書発行ツール「certbot」は2021年以降は「snap」を利用したインストールが推奨されていますので、まずSnapdをインストールします。(dnfまたはyumでの従来の方法でもインストールできます) 1.2 証明書の取得 # certbot certonly --webroot -w /var/www/html/[FQDN] -d [FQDN] 初回のみメールアドレスの登録と利用条件への同意が必要 受信可能なメールアドレスを指定 2. Apache のhttps 化 3. Mail サーバーにSSL/TLS(Let's Encrypt) の設定 3.1 メールサーバー用証明書の取得 メールサーバー用の証明書を取得するが上記と同様の方法では取得できないので「--standalone」オプションをつけて下記のようにしても失敗する。

MySQL8 インストール ＃ dnf -y install mysql-server charset.cnf 下記の内容で新規作成 ＃vi /etc/my.cnf.d/charset.cnf # デフォルトの文字コードを設定 絵文字等 4 バイト長の文字を扱う場合はutf8mb4 [mysqld] character-set-server = utf8mb4 [client] default-character-set = utf8mb4 WordPressインストール 1. Word Press 用のデータベースを作成 例としてデータベース[wp_db] データベースユーザー[wp_user] パスワード[?W123456]とします

Suricata SURICATA IDS/IPSはネットワーク上の通信を監視し、不審なトラフィックを検知するオープンソースのIDSです。基本的な仕組みはシグネチャ型であるため、あらかじめ設定した不正な通信を検知できます。また、Suricataは検知だけでなく防御も行えることが特徴です。 1.事前準備 ①EPEL リポジトリをシステム上で有効化する # dnf -y install epel-release SNORT3  Snortは、IPネットワーク上でリアルタイムのトラフィック分析とパケットロギングを実行できるオープンソースのネットワーク侵入検知システムです。 「プロトコル分析」「コンテンツ検索」「マッチング」を実行でき、「バッファオーバーフロー」「ステルスポートスキャン」「CGI攻撃」「SMBプローブ」「OSフィンガープリント試行」「セマンティックURL攻撃」「サーバメッセージブロック探査」など、さまざまな攻撃検出に使用できます。 1.事前準備 ①必要なソフトウェアをインストールする 必須パッケージのインストール 1.openssl-develのインストール

Tripwire 1.ダウンロード、インストール Logwatch ①インストール DiCE ネットが切断されたり、ルーターが切断再起動したときにおこるグローバルIPの変更の度に、ダイナミックDNSにアクセスしグローバルIPが変更されたことを知らせなくてはいけません。その作業を自動的にやってくれるのがDiCEです ディスク使用率チェックスクリプト導入 3.1 スクリプト作成

1.Webサイトデータバックアップ 1-1./var/www/html配下のバックアップ ①バックアップスクリプトファイルの作成 2.MySQLデータベースバックアップ ①バックアップスクリプトファイルの作成 3.html配下のバックアップファイルの復元 ① HTML バックアップファイルを「/（ルート）」ディレクトリへ格納 4.Mysqlバックアップファイルの復元 ①DB バックアップファイルを任意のディレクトリに保存し、 （例では「/var/www/backup/db_bak」ディレクトリです）データを解凍