メモ(raspberry pi その4)
■素人が考えるバニラからのセキュリティ設定
前のメモと重複しますけれど、セキュリティ関係のみ絞って
まとめてみました。
・raspi-config(省略)
・apt-get update
・apt-get upgrade
・rpi-update
・passwd root
・passwd pi
・/etc/hosts.deny
sshd: ALL
・/etc/hosts.allow
sshd: 192.168.0.0/24 127.0.0.0/8
・/etc/ssh/sshd_config
Port xxx # ポート番号変更
PermitRootLogin no # Rootログイン拒否
PermitEmptyPasswords no # パスワードの空白は認証拒否
・ntpdデーモンを停止。ntpdateをインストールしてcron設定(省略)
・固定ipアドレスの設定(省略)
・sambaインストール
・/etc/samba/smb.conf
[global]セクションに以下を追加
hosts deny = all
hosts allow = 192.168.0.0/24 127.0.0.0/8
[homes]セクションとそのオプションはコメントアウト。
ファイルの末尾に以下を追加
[share]
comment = pi share
writable = yes
path = /home/pi/share
force user = pi
・ufwインストール
・ufw default deny
・ufw logging low
・ufw status
Status: active
To Action From
-- ------ ----
137 ALLOW Anywhere
138 ALLOW Anywhere
139 ALLOW Anywhere
445 ALLOW Anywhere
xxx LIMIT Anywhere ※ssh
■セキュリティパッチは自動化
・週1でcron
update.sh
>||
#!/bin/bash
LANG=ja_JP.utf8
apt-get update > /home/pi/update.log
apt-get -y upgrade >> /home/pi/update.log
||<
■大変そうだったのでやらなかった対策
・piユーザを削除して別のユーザを作る
・piユーザのsudoコマンド使用時に常にパスワードを要求する
・SSHログイン方式を公開鍵のみにする
・postfix(MTA)のインストール
・clamavのインストール
・logwatchのインストール
・tripwireのインストール
・chkrootkitのインストール
・外部(インターネット)公開の場合
ラズベリーパイは個人的にしか使わないので
携帯のip、会社のipアドレスだけアクセスできるようにして
あとは接続できないようにするとか。
もしくは国内のみというのも手ですね。
http://www.bartbania.com/raspberry_pi/security-checklist-for-linux-system/