Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

Linux

2014年2月9日
最低限必要な CentOS セキュリティ設定

はじめに この記事では、CentOS で最低限必要なセキュリティ設定を、最近の動向を踏まえてまとめています。リンク先の記事は、設定内容が分かるよう配慮して記述しています。 この記事で取り上げているソフトウェアは、全て yum コマンドで完結するものになっているので、採用も簡単です。もちろん無料です。 なお、対象は Web サーバーの CentOS になっています。 動作確認は、...
>>続きを読む

2014年1月18日
Logwatch を CentOS にインストールする

Logwatch は、Apache や SSH などのログを見やすく整形した上で、メールで通知してくれる非常に便利なログ監視ツールです。 ログ監視をする上では、必須のツールといっていいでしょう。 Logwatch は以下のようにインストールします。 [crayon-587e12f80f261562033204/] インストールがうまく行ったかは、以下のコマンドで確認できます。 [...
>>続きを読む

2014年1月18日
CentOS で不要なサービスを停止する

サーバーのセキュリティを確保する上で重要なことの1つに、不要なサービスを止めるというものがあります。 なぜ重要かというと、不要なサービスが動作することで CPU やメモリなどのリソースを余分に消費してしまうこともありますが、もっと重要なのは不要なサービスに脆弱性が発生したときに気がつかないということです。 もともと使用していないサービスですから、脆弱性情報のチェックもしていないし、脆弱...
>>続きを読む

2014年1月18日
CentOS で公開鍵認証による SSH ログイン設定を行う

はじめに CentOS に SSH でログインする方法には、パスワード認証方式と公開鍵認証方式があります。 パスワード認証方式は、現在のインターネット環境では、サーバーの認証として脆弱であると言っても過言ではないでしょう。 特に、SSH で不正にログインされるとサーバーを乗っ取られる可能性があるため、これからの Web サーバ-の認証は公開鍵認証方式を採用すべきです。 この記事...
>>続きを読む

2014年1月18日
Apache の Trace メソッドを無効にする

はじめに Apache では、デフォルトで Trace メソッドが有効になっています。 Web アプリケーションにクロスサイトスクリプティングの脆弱性がある場合に、Web サーバーで Trace メソッドが有効になっていると、クロスサイトトレーシングという脆弱性が発生する可能性があります。 クロスサイトトレーシングの脆弱性があると、暗号化されていない Basic 認証の ID やパス...
>>続きを読む