■素人が考えるバニラからのセキュリティ設定

前のメモと重複しますけれど、セキュリティ関係のみ絞って
まとめてみました。

・raspi-config（省略）
・apt-get update
・apt-get upgrade
・rpi-update
・passwd root
・passwd pi


・/etc/hosts.deny
sshd: ALL
・/etc/hosts.allow
sshd: 192.168.0.0/24 127.0.0.0/8


・/etc/ssh/sshd_config
Port xxx # ポート番号変更
PermitRootLogin no # Rootログイン拒否
PermitEmptyPasswords no # パスワードの空白は認証拒否


・ntpdデーモンを停止。ntpdateをインストールしてcron設定（省略）
・固定ipアドレスの設定（省略）


・sambaインストール
・/etc/samba/smb.conf
[global]セクションに以下を追加
hosts deny = all
hosts allow = 192.168.0.0/24 127.0.0.0/8

[homes]セクションとそのオプションはコメントアウト。

ファイルの末尾に以下を追加
[share]
comment = pi share
writable = yes
path = /home/pi/share
force user = pi


・ufwインストール
・ufw default deny
・ufw logging low
・ufw status
Status: active

To Action From
-- ------ ----
137 ALLOW Anywhere
138 ALLOW Anywhere
139 ALLOW Anywhere
445 ALLOW Anywhere
xxx LIMIT Anywhere　※ssh

■セキュリティパッチは自動化
・週１でcron
update.sh
>||
#!/bin/bash

LANG=ja_JP.utf8

apt-get update > /home/pi/update.log
apt-get -y upgrade >> /home/pi/update.log

||<

■大変そうだったのでやらなかった対策
・piユーザを削除して別のユーザを作る
・piユーザのsudoコマンド使用時に常にパスワードを要求する
・SSHログイン方式を公開鍵のみにする
・postfix（MTA）のインストール
・clamavのインストール
・logwatchのインストール
・tripwireのインストール
・chkrootkitのインストール

・外部（インターネット）公開の場合
ラズベリーパイは個人的にしか使わないので
携帯のip、会社のipアドレスだけアクセスできるようにして
あとは接続できないようにするとか。
もしくは国内のみというのも手ですね。

http://www.bartbania.com/raspberry_pi/security-checklist-for-linux-system/