どこまでやればよい?OpenSSH サーバのセキュリティ設定


■どこまでやればよい?OpenSSH サーバのセキュリティ設定

ちょっと前から悩んでいることとして、

セキュリティの設定は、具体的に何をどこまでやればよい?

ということ。

色んなサイトで、こうしましょう、あぁしましょう、はある。

が、書いていることが微妙に違うと、どっち?となる。

また、大筋これに該当することはやりましょう、もある。

例えば IPA なら、以下のような情報を提供してくれている。

安全なウェブサイトの構築と運用管理に向けての16ヶ条
~セキュリティ対策のチェックポイント~
https://www.ipa.go.jp/security/vuln/websitecheck.html

これはこれで、非常に有難い話。

実際に構築する際には、十二分に参考になる。

しかしながら、『具体的にどうすればいいのか?』までは書いていない。

例えば、

・公開すべきでないファイルを公開していないか?

という項目。

公開しないようにするには、どうすればいいの?が書いてない。

なので、これだけを見ても、

・何をどう設定すればいいのか

が分からない。

また、

・意図しないファイルを公開していないことを確認する方法

も分からない。

加えて、Apatch なら? lighttpd なら? nginx なら?も分からない。

もちろん、技術者である以上それぐらい調べろや、という話。

なので、そもそも、IPA のように

・こういうことをやっておくべきですよ、

レベルのものを提供してくれるだけでも十分有難い。

ただ、加えて、

・代表的な(よく使われる)ソフトウェアの場合

の具体的な設定例まであると、もう神レベルになると思う。

そういうものないかなー、と思っていたら、

マイナビニュースでこんなのを見つけた。

OpenSSHサーバセキュリティベストプラクティス20選
https://news.mynavi.jp/article/20180122-573643/



いやぁ、こういうのを出してくれるのは本当に有難い。

記載内容は正直、?、という物もある。
*パスワードの話をしているが、そもそも公開鍵設定使おうよ、とか。

とはいえ、設定ファイルの記載等まで記載されているので、凄く有益。

あまり詳しくなくても、それにそってやっておけばある程度安心できる。

今回は OpenSSH に関してだが、他にもないのかな?

探せばきっとあるのだろうれど、探すのも結構大変。

OWASP とか探せばあるんだろうけど、まとめるのも大変。

こういった内容を技術毎に一覧化したもの、ないかなぁ。

自分で作ればいいのか、とも思うが、ちょっと労力がかかりすぎるなぁ。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ タグ: , パーマリンク

コメントを残す

メールアドレスが公開されることはありません。

This site uses Akismet to reduce spam. Learn how your comment data is processed.