はじめての自宅サーバ構築 Fedora/CentOS - セキュリティが仇となる？

2008年5月19日(月)まで！

詳細は画像をクリック！！

【OSはXP・Vistaから選択可能！】
20インチワイド液晶モニタ付きのスリム型デスクPC
インテル Core 2 Duo＆2GBメモリ＆大容量500GB HDDで9万円台！送料無料！

Dell Inspiron 530s プレミアムパッケージ

・Windows Vista(R) Home Premium 正規版
・インテル(R) Core(TM)2 Duo プロセッサー E6750（2.66GHz）
・2GBメモリ
・500GB HDD
・DVD+/-RWドライブ
・20インチワイド液晶モニタ
・ATI(R)RADEON(R)X1300128MBDDR(DVITV-Out付)
・1年間引き取り修理サービス（保守パーツ含む）

構成例価格：168,000円
パッケージ価格： 99,800円　<送料無料><5/13時点>

※配送料無料
※最新の価格はデルサイトでチェック！
※デルでは上記構成からカスタマイズ可能！

デルではおとくなキャンペーン実施中！

レノボ Web 広告限定ストア（キャンペーン＆新着情報）

■ ファイアウォール設定による通信遮断

各サービスを構築し、正常に動作しているらしいにも関わらず通信が出来ない(接続できない)等で悩まされている方は多々おられると思います。
代表的なのが、SSH・telnet・FTP・HTTPやSMTPなどが挙げられます。
Fedoraにはインストール時にファイアウォールの設定があり、大概の方は「セキュリティ重視！！」と言うことでファイアウォールを有効にしていると思います。
実は、このファイアウォールが有効になっていた事が仇となり通信できない場合があるのです。
(勿論、要因は他にもあるかもしれません。設定ミス等々・・・)

■ インストール時の設定画面(画面上方)

画面上のファイアウォールを有効にして、以下の「リモートログイン(SSH)」「Webサーバ(HTTP,HTTPS)」「ファイル転送(FTP)」「メールサーバ(SMTP)」のチェックボックスを外してしまった場合は、そのサービスへの通信が遮断されてしまい接続できなくなります。
また、上記以外のポートも通信する事が出来ません。

■ インストール後のファイアウォール設定変更

インストール時にファイアウォールを有効にしてしまっても、いつでも有効/無効に切り替える事が可能です。
一度、以下の手順でファイアウォールを無効にして動作確認する事をお勧めします。

ファイアウォールの設定
# system-config-securitylevel
　　　　または
# system-config-firewall-tui


ファイアウォールの設定画面が開きます。

「セキュリティレベル:」を「(＊)無効」にして「OK」を押下します。

※：「セキュリティレベル:」を「(＊)有効」にしても、指定したポートを許可する(カスタマイズ)する事も可能です。

■ 以下は「SSH」「WWW」「Secure WWW」を許可する設定です。

■ 「その他のポート」に指定したいポート番号を記述する事も可能です。
例えば53番を追加したい場合は「53」と入力します。
※：複数指定したい場合は" "スペースまたは","カンマで区切ります。(例：53,110)

■ 「OK」で確定した後、再度「カスタマイズ」で開くと番号で指定したポートが名称で表示されます。(賢いですね・・)

余談：この設定結果は「/etc/sysconfig/iptables」に反映されています。

# cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

■ SELinuxによる遮断

SELinux(Security-Enhanced Linux)とはLinuxカーネルのセキュリティ拡張モジュールでプロセスの監視や制御などを行います。
こちらもインストール時には「有効」がデフォルトになっており、構築後に思わぬ弊害になりかねません。
実は私はこの設定を見落として「有効」のまま構築後、Webサーバがアクセス拒否されかなり悩まされました。確実に動作する事が確認できてから「有効」にした方が無難です。
(私は、現在でも「無効」のまま運用しています。)

■ インストール時の設定画面(画面下方)

■ インストール後のSELinux無効設定方法

SELinux設定ファイルの変更
# vi /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#   enforcing - SELinux security policy is enforced.
#   permissive - SELinux prints warnings instead of enforcing.
#   disabled - SELinux is fully disabled.
SELINUXを無効「disabled」にします。
SELINUX=disabled
# SELINUXTYPE= type of policy in use. Possible values are:
#   targeted - Only targeted network daemons are protected.
#   strict - Full SELinux protection.
SELINUXTYPE=targeted

SELINUXの設定内容
enforcing ：SELinuxを有効にする。
permissive：すべての拒否に関する警告をログ出力する。(セキュリティポリシは適用しない)
disabled　：SELinuxのセキュリティ制御を無効にする。

設定を反映するにはリブートする必要があります。
# reboot

■ 広告

パーツのことなら、ツクモにお任せ！

あなたのお住まいの地域で最安のブロードバンド選び