タグ別アーカイブ: セキュリティ対策

AmazonLinux2でLet’s Encryptサーバー証明書をインストールする

はじめに

 サーバー証明書を無料で発行してくれるということでStartSSL(StartCom運営)を利用していましたが、不正な証明書を発行した、ということで信用を失ってしまったようです。主要ブラウザーで警告が表示されるようになってしまう、ということで、他の無料サービスであるLet’s Encryptでサーバー証明書を取得してみました。
SSH秘密鍵を生成してCSRを作成して…といった従来の手順とは異なり、サーバー実在証明のためにWebサーバーを起動しておく必要があるなど手順が少し複雑なのでまとめておきます。

(参照) Help with certbot on the new “Amazon Linux 2”

続きを読む

DTI VPS 初期設定

はじめに

 DTI VPS の初期設定では、root アカウントにパスワードでリモートログインできるため、下記 3 点をセキュリティ対策として実施したいと思います。

  • リモートログインができる作業用の一般ユーザーを作成して、パスワードではなく SSH Key を使ったログインにする
  • root でのリモートログインを禁止する
  • SSHサーバーのポート番号を変更する
続きを読む

Node.js (Server API) と React + Flux (Client) で CSRF 対策

はじめに

 前回は機能だけ満足するよう実装しましたが、POST、PUT、DELETE といったサーバー側のデータを変更するようなリクエストを受け付けるには CSRF 対策が欠かせません。今回は、前回のカウントアップアプリに CSRF 対策を施します。

続きを読む

Webサーバー nginx における SSL証明書設定の安全性向上 ~SSL Server Test で A+ 判定を目指して~

はじめに

 SSL証明書に使われる暗号化方式は設定時には安全と判断しても、日が経ってから脆弱性が発覚するものです。
 脆弱性が発覚した暗号化方式は以後使えなくなるよう、無効にする必要があります。
 今回、CentOS7 + Nginx における設定の調整方法と、安全性の確認には QUALYS SSL LABS の SSL Server Test ツール (https://www.ssllabs.com/ssltest/index.html) による安全性の確認を紹介したいと思います。
 前提として、CentOS7 + Nginx にはすでに SSL証明書がインストール済みで、https://~ でアクセスできる状態にしておいてください。こちらの投稿を参照してください。

続きを読む

メールサーバーに不正ログインの形跡がないかチェックする

はじめに

 Postfix への接続開始のログをもとに、簡易的にチェックする方法です。
 Postfix のログから接続ログのみを grep コマンドで抽出して、アクセス元のホスト毎に何件ずつあるかを awk コマンドで集計、件数が多いもの順に sort コマンドで並べ替え、をしています。
 この結果から、不明なホストからの接続数が多いもの、がないか、確認できるようになります。

$ sudo grep "connect from" /var/log/maillog |
       grep -v "disconnect from" |
       awk '{count[$8] += 1} END {for(i in count) printf("%08d,%s\n", count[i], i)}' |
       sort -r