UNIXな生活
更新:2002/9/15  
Linuxな生活  FreeBSDな生活
  Solarisな生活
  JAVAな生活
  Practical use
  掲示版
Server向け、セキュリティー初期設定

FreeBSDの、SecurServer構築

FreeBSDは4.4Releasを使用し、Installでは、StandardモードでkernelDeveloperを選択しInstallします。
FireWallやWebServerなどで使用しますので、NICはとりあえず2枚差します。
ここではNICのde0が内向き、ed0が外向きとし、de0のIPを設定しています。
内側のインターフェースde0:192.168.0.1
ホストネームは、demoserverにしてあります。(好きな名前に変更してください。)
管理は コンソールおよびsshで行います。

作業はとりあえず以下の内容になります。
1.不要なサービスの停止。必要なサービスの起動
2.サービスの機能制限。
3.内向きインターフェースde0へのIPv4の付与

1.不要なサービスの停止。必要なサービスの起動
/etc/rc.conf
・設定概要
/etc/rc.confでは、sendmail、動いていればusbdを停止します。
またportmapプログラムに依存するサービスは使わないので、停止します。
そして、sshを起動します。
・設定内容
/etc/rc.confを開いて、sendmail,usbdのデフォルトで "YES"となっているところを"NO"と編集しサービスを停止します。*最近のものは、Sendmailの停止に"NONE"を指定。
portmapを停止するので、portmap_enable="NO"を追加します。
sshを使用するので、sshd_enable="YES"を追加します。
マシンを再起動します。
コマンドで"ps-aux"とすると、sedmailなどが停止し、sshdが起動していることが確認できます。

/etc/inetd.conf
・設定概要
FreeBSD4.4Releaseでは、inetdでの不要と思われるサービス(diff,ntalk,telnet,ftp)は初期状態で、無効になっているはずですが、念のため確認します。というか、そもそもinetd経由で使用するものが無かればinetd事態を止めるべきです。その場合は、/etc/rc.confに以下を追加します。

・inetdの停止
inetd_enable="NO"

・inetdの設定内容
/etc/inetd.confを開き、diff,ntalk,telnet,ftpが無効(#でコメントアウト)になっていることを確認します。
もし無効になっていなければ対象行の先頭に#を入れて無効にしてください。

2.サービスの機能制限
またまた/etc/rc.conf
ここでは、2つのサービスの起動オプションを設定します。
・inetdの起動オプションの変更
inetdの起動オプション-aを使用し、サービスを提供するインターフェースを指定します。
つまり、この場合内側のインターフェイスにします。
/etc/rc.confにinetd_flags="-wW -a 192.168.0.1"を追加します。
・syslogの起動オプションの変更
syslogdでは、IPv4環境のみ考慮しますので、/etc/rc.confにsyslogd_flags="-4 -s"を追加します。

3.内向きインターフェースde0へのIPv4の付与
またまたまた、/etc/rc.conf
de0のIP設定をします。/etc/rc.confに以下を追加。
ifconfig_de0="inet 192.168.0.1 netmask 255.255.255.0"
hostname="demoserver"

ここまでできたら、マシンを再起動し、設定の確認をしてください。
確認したら、FireWallやWebServerなどの構築へGO!

ここまでの/etc/rc.confの設定内容
ifconfig_de0="inet 192.168.0.1 netmask 255.255.255.0"
hostname="demoserver"
sendmail_enable="NO"
sshd_enable="YES"
portmap_enable="NO"
syslog_flags="-4 -s"
inetd_flags="-wW -a 192.168.0.1"
kern_securelevel_enable="NO"#kernelセキュリティーレベル
keymap="jp.106"#キーボードの設定
moused_type="NO"#マウスの設定(未使用)
moused_enable="NO"#マウスの設定(未使用)

たぶんこんな感じになっているはずです。多少違いはあると思いますが・・・。
あとはkernelセキュリティーレベルを変更する。!
Producted by Tomoya Sakurai