🕌
AlmaLinux 9.2インストールの後最初に行った変更
カーネル更新
dnf install kernel
dnf needs-restarting -r
systemctl reboot
セキュリティ更新
dnf update –security
systemctl reboot
その他全パッケージ更新
dnf update
dnf needs-restarting -r
systemctl reboot
ツール導入(テルネットクライアントとBINDユーティリティ)
dnf install telnet
dnf install bind-utils
シェルの日本語化
localectl
localectl list-locales
dnf install langpacks-ja glibc-langpack-ja
localectl list-locales
localectl set-locale LANG=ja_JP.UTF-8
localectl
echo $LANG
source /etc/locale.conf
echo $LANG
dnf needs-restarting -r
不要サービス停止(atd)
systemctl is-active atd.service
systemctl stop atd.service
systemctl disable atd.service
systemctl is-active atd.service
cockpitバナー削除
ll /etc/motd.d/cockpit
rm /etc/motd.d/cockpit
ユーザーID・グループID基準値変更
vi /etc/login.defs
# 144行目(UID_MIN)の1000を5000に変更
# 157行目(GID_MIN)の1000を5000に変更
SELinux無効化
getenforce
vi /etc/selinux/config
# 22行目を変更(SELINUX=enforcing → disabled)
systemctl reboot
getenforce
SSHポート変更
vi /etc/ssh/sshd_config
# 21行目を変更(#Port 22→Port 22)
# 21行目の下に行追加(Port 22222)
firewall-cmd --add-port=22222/tcp --permanent --zone=public
firewall-cmd –reload
systemctl restart sshd
vi /etc/ssh/sshd_config
# 21行目を削除(Port 22を行ごと消す)
vi /usr/lib/firewalld/services/ssh.xml
# 5行目を変更(port="22"→"22222")
firewall-cmd --remove-port=22222/tcp --permanent --zone=public
firewall-cmd –reload
systemctl restart sshd
su可能ユーザー限定
vi /etc/pam.d/su
# auth required pam_wheel.so use_uid → コメント解除
rootのsshログイン禁止
vi /etc/ssh/sshd_config
#PermitRootLogin:prohibit-password → no
sshd -t
systemctl restart sshd
Firewall調整
firewall-cmd --state
systemctl enable --now firewalld
firewall-cmd --get-active-zones
firewall-cmd --list-all --zone=public
firewall-cmd --remove-service=cockpit --zone=public --permanent
firewall-cmd --remove-service=dhcpv6-client --zone=public --permanent
firewall-cmd --add-service={http,https} --zone=public --permanent
firewall-cmd --zone=public --add-rich-rule="rule family=ipv4 source address=192.168.10.0/24 service name=ssh accept" --permanent
firewall-cmd --remove-service=ssh --zone=public --permanent y
firewall-cmd --reload
メモ
- cockpitバナー削除方法は微妙だったかも(sshd側で調整した方がよかったか?)。そもそもcockpit使う方向でもよかったかも
- 本当はSELinux無効化はしない方がよかったかも
- 本当は監査(Auditd)詳細設定、マルウェア対策(clamav)導入、WAF(ModSecurity)導入なども挑戦したかったが今回は諦めた
Discussion