セキュリティ

WebARENAのVPSをご利用頂くにあたり、絶対に行って頂きたい設定

WebARENAのVPSは、root権限をお渡しする為、お客さまが自由にサーバーを構築頂くことができます。
しかし、同時に、お客さまのサーバーのセキュリティ管理がしっかりとなされていない場合、攻撃者によるサーバーの乗っ取りなど、セキュリティ上のリスクが非常に高くなります。

WebARENAのVPSをお使い頂くにあたり、セキュリティ対策が必要な項目は以下の通りとなります。
これらの項目について、使い始める際に必ず実施頂くようお願いいたします。

rootアカウントログインの制限
パスワードの変更
ユーザーアカウントのSSHのログイン制限
WebARENAのVPSにインストールされているRPMパッケージのアップデート
使用しないサービスの停止

rootアカウントログインの制限

[ 管理者アカウントでの直接ログインを禁止する設定 ]

管理者アカウントでSSHでログインできる状態になっていると辞書攻撃（よく使われそうなパスワードを使って不正侵入を試みる方法）や総当たり攻撃（手当たり次第にさまざまなパスワードを使って不正侵入を試みる方法）によって第三者によって管理者権限を不正に取得される危険があります。

この危険性に対処するため、管理者アカウント（root）を使ってSSHでログインすることを禁止する設定を行うことが出来ます。設定の手順は以下の通りです。

設定を行う前にユーザーアカウントの管理の項目に書かれている方法でユーザーアカウントを作っておいて下さい。設定を行う前にユーザーアカウントを作っておかないとSSHでログインすることが出来なくなってしまいます。

もしユーザーアカウントを作っていない状態でこの設定を行い、ログインすることが出来なくなってしまった場合はコントロールパネルの「再インストール」メニューにある「sshdの再インストール/起動」から設定ファイルの初期化を実施し、さらに「sshdの起動」ボタンを押しsshdを再起動して下さい。

サーバーにSSHで接続し、rootアカウントを使用してログインします。
viなどのテキストエディタで /etc/ssh/sshd_config ファイルを開いて下さい。 viで /etc/ssh/sshd_configファイルを開くコマンドは以下の通りです。
```
[root@localhost ~]# vi /etc/ssh/sshd_config
```
「#PermitRootLogin yes」と書いてある行がありますので、この行の行頭にある「#」を削除し「yes」を「no」に書き換えて下さい。
```
PermitRootLogin no  （←行頭にある # を削除）
```
書き換えが終了したらファイルを保存してテキストエディタを終了して下さい。
以下のコマンドを実行し、設定した内容を有効にして下さい。
```
[root@localhost ~]# service sshd reload
```

[ ユーザーアカウントの管理 ]

初期状態ではユーザーアカウントは1つも作成されていません。メールアカウントを追加したい場合など、root以外のアカウントを使用したい場合は rootで仮想専用サーバーにログインして以下のコマンドを実行して下さい。

[root@localhost ~]# useradd （ユーザー名）

たとえば、「nttpc」というユーザーアカウントを作成したい場合は以下のコマンドを入力します。

[root@localhost ~]# useradd nttpc

ユーザーを追加したら、そのユーザーのパスワードも設定して下さい。パスワードが設定されていない場合、そのユーザーはログインすることが出来ません。パスワードの設定は以下のコマンドで行うことが出来ます。

[root@localhost ~]# passwd （ユーザー名）

たとえば、「nttpc」というアカウントのパスワードを設定したい場合は以下のコマンドを入力します。コマンドを入力すると設定するパスワードを入力するプロンプトが表示されますので、設定したいパスワードを入力してEnterを押す操作を2回繰り返して下さい。

[root@localhost ~]# passwd nttpc

Changing password for user nttpc.

New UNIX password:（設定するパスワードを入力）

Retype new UNIX password:（同じパスワードをもう一度入力）

passwd: all authentication tokens updated successfully.

作成したユーザーアカウントを削除したい場合は以下のコマンドを入力します。

[root@localhost ~]# userdel （ユーザー名）

たとえば、「nttpc」というアカウントを削除したい場合は以下のコマンドを入力します。

[root@localhost ~]# userdel nttpc

初期状態でシステムで使われるアカウントが多数登録されています。これらのアカウントを削除するとサーバーが正常に動作しなくなる場合がありますので、アカウントの削除を行う場合はお客さまご自身が作成されたユーザアカウントであることをご確認の上、慎重に行って下さい。
通常、上記手順で作成したアカウントは500から501、502、・・・のように順番にUIDが割り当てられます。

パスワードの変更

WebARENAのVPSの[契約内容変更サービス]、[コントロールパネル]および[root]のパスワードはサービスご利用開始時点では、全てお客さまが指定された同一のパスワードが設定されています。セキュリティ確保のため、各パスワードを定期的に変更頂くようお勧めします。
各パスワードは、それぞれ異なるパスワードを設定することができます。

パスワード変更にあたっては、８文字以上の英数字と記号を組み合わせた、推測されにくいパスワードを設定頂きますようお願い申し上げます。

具体的な設定の方法は以下のとおりです。

[契約内容変更サービス]パスワードはこちらで変更できます。
[コントロールパネル]パスワードは、コントロールパネル上で変更できます。
[root]パスワードはこちらをご参照下さい。

ユーザーアカウントのSSHのログイン制限

作成したユーザーアカウントで、サーバーにSSHでログインする必要が無いユーザーアカウントについては、ログインシェルの変更を行われることをお勧めします。この制限を設定すると、そのユーザーはSSHでログインすることが出来ません。

たとえば、「nttpc」というアカウントのSSHのログイン制限を設定したい場合は以下のコマンドを入力します。

[root@localhost ~]# chsh nttpc

Changing shell for nttpc.

New shell [/bin/bash]: /sbin/nologin

Shell changed.

RPMパッケージのアップデート

ソフトウェアにはセキュリティ上の問題が発見される場合がありますので、RPMパッケージは常に最新のバージョンに保っておくことをお勧めします。
アップデートはコントロールパネルから行うことが出来ますので、ご利用開始時やOSの再インストールを行った時は RPMパッケージのアップデートを行って下さい。

WebARENAのVPSでは初期状態で「yum」サービスが起動する設定になっており、このサービスが動作していれば毎日自動的にRPMパッケージのアップデートが実行されます。
yumサービスは停止せず、そのままご利用頂くことをお勧めします。

使用しないサービスの停止

仮想専用サーバーの再起動時に自動起動するサービスを設定することが出来ますが、適切な設定を行わないまま必要のないサービスをonにしておくと不正アクセスを受ける危険がありますので、使用しないサービスはoffに設定しておくことをお勧めします。