Zenn
🕌

AlmaLinux 9.2インストールの後最初に行った変更

2023/08/26に公開
Linux
Security
AlmaLinux
tech

カーネル更新

dnf install kernel
dnf needs-restarting -r
systemctl reboot

セキュリティ更新

dnf update –security
systemctl reboot

その他全パッケージ更新

dnf update
dnf needs-restarting -r
systemctl reboot

ツール導入(テルネットクライアントとBINDユーティリティ)

dnf install telnet
dnf install bind-utils

シェルの日本語化

localectl
localectl list-locales
dnf install langpacks-ja glibc-langpack-ja
localectl list-locales
localectl set-locale LANG=ja_JP.UTF-8
localectl
echo $LANG
source /etc/locale.conf
echo $LANG
dnf needs-restarting -r

不要サービス停止(atd)

systemctl is-active atd.service
systemctl stop atd.service
systemctl disable atd.service
systemctl is-active atd.service

cockpitバナー削除

ll /etc/motd.d/cockpit
rm /etc/motd.d/cockpit

ユーザーID・グループID基準値変更

vi /etc/login.defs
# 144行目(UID_MIN)の1000を5000に変更
# 157行目(GID_MIN)の1000を5000に変更

SELinux無効化

getenforce
vi /etc/selinux/config
# 22行目を変更(SELINUX=enforcing → disabled)
systemctl reboot
getenforce

SSHポート変更

vi /etc/ssh/sshd_config
# 21行目を変更(#Port 22→Port 22)
# 21行目の下に行追加(Port 22222)
firewall-cmd --add-port=22222/tcp --permanent --zone=public
firewall-cmd –reload
systemctl restart sshd
vi /etc/ssh/sshd_config
# 21行目を削除(Port 22を行ごと消す)
vi /usr/lib/firewalld/services/ssh.xml
# 5行目を変更(port="22"→"22222")
firewall-cmd --remove-port=22222/tcp --permanent --zone=public
firewall-cmd –reload
systemctl restart sshd

su可能ユーザー限定

vi /etc/pam.d/su
# auth required pam_wheel.so use_uid → コメント解除

rootのsshログイン禁止

vi /etc/ssh/sshd_config
#PermitRootLogin:prohibit-password → no
sshd -t
systemctl restart sshd

Firewall調整

firewall-cmd --state
systemctl enable --now firewalld
firewall-cmd --get-active-zones
firewall-cmd --list-all --zone=public
firewall-cmd --remove-service=cockpit --zone=public --permanent
firewall-cmd --remove-service=dhcpv6-client --zone=public --permanent
firewall-cmd --add-service={http,https} --zone=public --permanent
firewall-cmd --zone=public --add-rich-rule="rule family=ipv4 source address=192.168.10.0/24 service name=ssh accept" --permanent
firewall-cmd --remove-service=ssh --zone=public --permanent y
firewall-cmd --reload

メモ

  • cockpitバナー削除方法は微妙だったかも(sshd側で調整した方がよかったか?)。そもそもcockpit使う方向でもよかったかも
  • 本当はSELinux無効化はしない方がよかったかも
  • 本当は監査(Auditd)詳細設定、マルウェア対策(clamav)導入、WAF(ModSecurity)導入なども挑戦したかったが今回は諦めた

Discussion