Webセキュリティの小部屋

サーバーのセキュリティを確保する上で重要なことの１つに、不要なサービスを止めるというものがあります。

なぜ重要かというと、不要なサービスが動作することで CPU やメモリなどのリソースを余分に消費してしまうこともありますが、もっと重要なのは不要なサービスに脆弱性が発生したときに気がつかないということです。

もともと使用していないサービスですから、脆弱性情報のチェックもしていないし、脆弱性対策も行わないので、そこから攻撃されてしまう可能性が高くなります。

このような理由で、不要なサービスは停止する必要があります。

不要なサービスを停止するためには、現在、どのようなサービスが動作しているのか確認する必要があります。

以下のコマンドで、起動時に動作するサービスの一覧を表示することができます。

# chkconfig --list | grep 3:on
auditd          0:off   1:off   2:on    3:on    4:on    5:on    6:off
blk-availability        0:off   1:on    2:on    3:on    4:on    5:on    6:off
clamd           0:off   1:off   2:on    3:on    4:on    5:on    6:off
crond           0:off   1:off   2:on    3:on    4:on    5:on    6:off
httpd           0:off   1:off   2:on    3:on    4:on    5:on    6:off
ip6tables       0:off   1:off   2:on    3:on    4:on    5:on    6:off
iptables        0:off   1:off   2:on    3:on    4:on    5:on    6:off
lvm2-monitor    0:off   1:on    2:on    3:on    4:on    5:on    6:off
netfs           0:off   1:off   2:off   3:on    4:on    5:on    6:off
network         0:off   1:off   2:on    3:on    4:on    5:on    6:off
postfix         0:off   1:off   2:on    3:on    4:on    5:on    6:off
rsyslog         0:off   1:off   2:on    3:on    4:on    5:on    6:off
sshd            0:off   1:off   2:on    3:on    4:on    5:on    6:off
udev-post       0:off   1:on    2:on    3:on    4:on    5:on    6:off

インストールを限定しているので、あまり不要なサービスというのはないのですが、サーバーの機器構成が変わるということはあまりないので、udev-post を無効にしてみましょう。

まず、サービスを停止し、サーバー起動時に動作しないように設定し、設定内容を確認します。

# service udev-post stop
# chkconfig udev-post off
# chkconfig udev-post --list
udev-post       0:off   1:on    2:off   3:off   4:off   5:off   6:off

udev-post が停止され、サーバー起動時の設定も 3:off になったので、自動起動しなくなりました。

このように不要なサービスを停止していきます。

最低限必要な CentOS セキュリティ設定

最低限必要な CentOS セキュリティ設定を以下の記事にまとめていますので、こちらもどうぞ。

スポンサーリンク

カテゴリー:Linux