HP2133にインストールしたFreeBSD 9.3-RELEASEの、設定ファイルの編集その2。
前回(http://d.hatena.ne.jp/debslink/20160501/1462113024)に引き続き、セキュリティ関連とパフォーマンスのチューニング。
設定内容はGoogleで検索し、アクセスした各サイトの記載内容から自分の環境に合ってそうなものを拝借。
家の中から、デーモン君の缶バッジが見つかった。
デーモン君がウエイターみたいな感じでCDメディアを持っている絵が描かれているもの。入手元はぷらっとホームかも知れない。
ついでに、FreeBSD Mallにてロゴが付いたパーカーとTシャツとインストールDVDを注文。気長に到着を待つ。
/etc/rc.conf
前回の/etc/rc.conf設定に、以下を追記。
tcp_drop_synfin="YES" # SYN+FINの両方を含んだTCPパケットを破棄。 icmp_drop_redirect="YES" # icmpのリダイレクト要求を無視。 icmp_bmcastecho="NO" # icmpブロードキャストおよびマルチキャストを無視。 sendmail_enable="NO" # sendmailを使わないのでNO sendmail_submit_enable="NO" sendmail_outbound_enable="NO" sendmail_msp_queue_enable="NO" portmap_enable="NO" # portmapに依存するサービスを動かさないのでNO
/etc/sysctl.conf
オプションの1はSYNのみ無視、2は全て無視
net.inet.udp.blackholeの設定によりtracerouteへの応答はしなくなるが、自分の環境では問題無し。
net.inet.tcp.blackhole=2 # 閉じているポートでTCPパケットを受信しても無視 net.inet.udp.blackhole=1 # 閉じているポートでUDPパケットを受信しても無視 security.bsd.map_at_zero=1 # NULLポインタに関連する脆弱性を利用した不正なコード実行などを防ぐ
/etc/newsyslog.conf
/etc/syslog.confはデフォルト設定のまま、/etc/newsyslog.confで/var/log/xferlogのアーカイブファイルの数とログファイルのサイズを指定。
/var/log/xferlog 600 10 500 * JC
上記の値について。
600はファイルのパーミッション
10は保存するアーカイブファイルの数
500はログファイルのファイルサイズ(k)
アスタリスクはログファイルのアーカイブ化実行の日時指定無し
Jはbzip2でアーカイブ化、Cはログファイルが存在しない際は作成する
/etc/hosts.allow
以下の3行を追加し、外部からのssh、ftp(vsftpd)アクセス受け付ける設定。
sshd : ALL : allow ftpd : ALL : allow # vsftpdだけでは拒否される為にこの行も追記 vsftpd : ALL : allow
/etc/inetd.conf
以下の1行を追記。
1分間で同じIPアドレスから10回以上のアクセスを検知すると
そのIPアドレスからのアクセスを拒否。また、毎分10本以上の接続を受け付けない。
inetd_flags="-wWl -C 10 -R 10"
/etc/rc.firewall
log="log logamountの値を500から0に修正し、ロギングカウンターが上限に達した事によるロギング停止を防ぐ。
if [ ${firewall_logdeny:-x} = "YES" -o ${firewall_logdeny:-x} = "YES" ] ; then log="log logamount 0" #The default of 100 is too low. sysctl net.inet.ip.fw.verbose=1 >/dev/null fi