チームA発表

2022/05/01 DevSecOpsThon at GMO kitaQ

チームA 山川陽亮, 宮城 直季

田中 湧大, 吉本 一星

2

アジェンダ

• Phase1-3の説明
• SELinuxを使おう
• とてもセキュアなSecure Shell

Team - A

Phase1

• サーバー組み立て
• RAID 6の構築
• CentOS 7のインストール
• トラブル用ヘルプユーザーの作成
• セキュアなSSH設定

Team - A

Phase2

• Apache + Nginx (webサーバー)をインストール
• BIND(named)(DNSサーバー)をインストール
• BINDの設定
• PHPのインストール
• MySQL(DBサーバー)のインストール
• WordPressのインストール
• DuplicatorでWordPressのコンテンツ設置

Team - A

Phase3

• Wordpressのマルチサイト機能有効化(サブドメインの追加)
• SSHのセキュリティー設定
• DoS攻撃をNginxのrate limitで緩和
• セキュリティチェック対策

Team - A

6

Special focus

• CentOS7には標準で入っている
• rootも縛ることができる(!)
• 不正アクセス"されてしまった時"を考えるべき
• SELINUX=disabledはやめよう

SELinuxを使おう

Team - A

7

Special focus

• 課題1-4で以下内容を対策済み
• ルートユーザーのSSH無効化
• パスワード認証無効化
• sshdのポート番号を52156に変更
• ファイアウォールで22番を塞いで52156に変更
• 公開鍵認証有効化
• 公開鍵認証の暗号化方式をRSAではなくed25519で生成
• 公開鍵認証の秘密鍵にパスワード設定
• SSHを許可するIPを192.168.1.0/255.255.255.0に限定
• GMO-CheckUserにSSH公開鍵を設定

とてもセキュアなSecure Shell

Team - A

チームA発表

2022/05/01 DevSecOpsThon at GMO kitaQ

チームA 山川陽亮, 宮城 直季

田中 湧大, 吉本 一星