Ubuntu23.04

Ubuntu Server 23.04インストールイメージのダウンロード Ubuntu Serverのインストール用メディアはインターネット上の公式サイトからダウンロードできます。高速な回線さえあれば2～3分程度でOS自体をダウンロードすることができます。ダウンロードしたisoファイルからインストール用CD/DVDを作成する必要があります。(約2.5G) Vmware等を使用して仮想マシンにインストールする場合はisoファイル自体を利用できます。 isoファイルのダウンロード先は「Ubuntu 公式ダウンロードサイト」です。

1. MariaDB インストール 1.2. MariaDBサーバのセキュリティ設定 2.WordPressインストール 2.1 データベース作成 Word Press 用のデータベースを作成します(例として今回はデータベース名を 「wp_db」、ユーザー名を「wp_user」、パスワードを「?Y123456y」) アカウント作成時「Your password does not satisfy the current policy requirements」が表示される場合はパスワードを8文字以上、英数大文字小文字、記号等を含めてください MariaDBサーバのセキュリティ関連の設定を行うためにmysql_secure_installtionというツールを実行します。 実行すると、質問形式でいくつかのセキュリティ設定がはじまります。はじめに以下のようにパスワードバリデーション用のプラグインを使用するか確認されます。パスワードバリデーションというのは、MariaDB用のユーザのパスワード強度をチェックし、十分セキュアなパスワードのみ受け付けるよう制限をかけることができます。例えば、最低何文字以上で必ず記号と数値を1文字以上含むなどです。この条件について次の質問で設定できます。 良ければyを入力してEnterを押します

Snort3 インストール Ubuntu22.04,23.04はデフォルトのユニバースリポジトリは下記の通りsnort2.9となっていますので、ソースコードからSnort3をビルド、コンパイルしてインストールします

1.SNORT2 インストール Snortは、IPネットワーク上でリアルタイムのトラフィック分析とパケットロギングを実行できるオープンソースのネットワーク侵入検知システムです。 「プロトコル分析」「コンテンツ検索」「マッチング」を実行でき、「バッファオーバーフロー」「ステルスポートスキャン」「CGI攻撃」「SMBプローブ」「OSフィンガープリント試行」「セマンティックURL攻撃」「サーバメッセージブロック探査」など、さまざまな攻撃検出に使用できます 2.Tripwireインストール クラッカーによるLinuxサーバーのファイルの改竄を検知するシステムを導入する。 今回は、ファイル改竄検知システムにホスト型IDS(IDS=Intrusion Detection System)のTripwireを導入する。 Tripwireは、導入時のファイル状態をデータベース化し、そのデータベースとファイルの現状を比較することにより、ファイルの追加／変更／削除を検知する。

1. DiCEのインストール ネットが切断されたり、ルーターが切断再起動したときにおこるグローバルIPの変更の度に、ダイナミックDNSにアクセスしグローバルIPが変更されたことを知らせなくてはいけません。その作業を自動的にやってくれるのがDiCEです 2. ディスク使用率チェックスクリプト導入 2.1 スクリプト作成 3. ログ解析ツール logwatch インストール 3.1 logwatch のインストール

1. システムのバックアップ 1.1 /var/www/html　配下のバックアップ ①/var/www/systemディレクトリーを作成 1.2 MariaDBlのデータベースバックアップ ①/var/www/system配下にdb_backup.shスクリプト作成 2. システムの復元 2.1 HTML配下 バックアップファイルの復元 ① バックアップに使用するHTML バックアップファイルを、「/（ルート）」ディレクトリへ格納 最新のタイムスタンプの付いたバックアップファイルを選択 2.2 MariaDB データベースを復元 ①DB バックアップファイルを任意のディレクトリに保存し、データを解凍

1. 証明書を取得する (Let's Encrypt) 1.1 事前準備 1.mod_sslを有効にする 2. Apache2にSSL/TLS(Let's Encrypt) の設定 ①Apache2のSSL関連設定ファイルの編集 3. Mail サーバーにSSL/TLS(Let's Encrypt) の設定 3.1 メールサーバー用証明書の取得 メールサーバー用の証明書を取得するが上記と同様の方法では取得できないので「--standalone」オプションをつけて下記のようにしても失敗する。一度web サーバーを止めてから行うと下記のとおり成功する

公開鍵暗号方式を用いた認証によるSSH接続  公開鍵、秘密鍵ペアの作成 OpenSSH 使って Linux サーバに接続するユーザの公開鍵と秘密鍵のペアを作成します。 鍵ペアの作成は ssh-keygen をを使います。 今回はSSH プロトコル Version 2 で利用する RSA 暗号を利用した鍵セットを作成します。 公開鍵と秘密鍵のペアの作成はリモートログインするユーザ権限(huong)で実行します。 作成先・ファイル名を指定しなければ、 /home/huong/.ssh/ に id_ed25519,id_ed25519.pub が作成される。 途中、鍵用のパスワードも入力する。

1. rootパスワードを設定し、SUコマンドを利用 Ubuntu のデフォルト設定では root ユーザーはパスワードが設定されていないため利用不可となっています。 root ユーザーにパスワードを設定することで、従来の [su] コマンドによる遷移が可能となる。 2. システムの最新化 3. locateコマンドを利用できるようにする Linuxシステム全体を対象として、特定のファイルを検索するのにはfindコマンドを利用する場合が多いが、findはオプションの指定がやや分かりにくいところがあります。 locateコマンドは指定したファイル名をもつファイルを全て抽出することが可能です。 4. vimエディターの設定 Ubuntu にはデフォルトでvimがインストールされています 5. ネットワークの設定 5.1 ホスト名の設定 Ubuntu のインストール時にホスト名を設定していて、そのままのホスト名で運用する場合には、本手順は不要です。 ホスト名を変更する場合は"hostnamectl set-hostname"コマンドを利用します。 例としてここではホスト名として「ubuntu-10」を設定します。

1. SSHサービスのセキュリティ設定 SSHサービスはデフォルトでrootユーザーのログインを許可しています。rootユーザーはユーザー名が既に判明しているためパスワードが判明すると、管理者権限でサーバーへログイン出来るため、これを拒否する設定を行います 2. ファイヤーウォールの設定 Ubuntuでは「ufw」というソフトウェアを使ってファイアウォールを設定することが多いので、ufwを利用したファイアウォール設定を行います。 ufwはOSの導入時にインストールされています。インストール後に最低限のフィルタ設定を行う手順を紹介します。 ufwで設定するフィルタルール • サーバーに転送されるパケットは全て拒否 • サーバーから外部へ送信されるパケットは全て許可 • 最初に許可するポートはSSH用のポート(2244) • サーバーに入ってくるパケットを制限

1. 時刻同期サービスを提供する NTP サーバーをインストール 2. FTPサーバー　vsftpdをインストール 2.1インストール、設定 2.2 Vsftpd Over SSL/TLS ①自己署名の証明書を作成します。 Let's Encrypt 等の信頼された正規の証明書を使用する場合は当作業は不要です。

Apache2インストール 最初にUFWでhttp:80番ポートおよびhttps:443ポートをallowしておく

1.ウイルス対策ソフトClamav導入 1.1 インストール 2. メールソフト導入 2.1 Postfix : インストール/設定 Postfix をインストールして SMTPサーバーを構築します。SMTP は 25/TCP を使用します。 メール不正中継防止に、後述の Dovecot の SASL機能を利用し、送信にも認証が必要なように Postfix を設定します 2.2 Dovecot : インストール/設定 DovecotをインストールしてPOP/IMAPサーバーを構築します。POP は 110/TCP, IMAP は 143/TCP を使用します 2.7 メールサーバーPostfixに ClamAV適用 Postfix と Clamav を連携させて 送受信メールをリアルタイムスキャンできるように設定します ①Amavisd および Clamav Daemon をインストールして Clamav Daemon を起動 2.8 メールサーバーPostfixに spamassassin適用 2.5.1 spamassassin をインストール