最近サーバのセキュリティ強化をどんどんやってて、ブログ更新まで追いついていません。しかし、このブログがないと困ったときに振り返れないので、ちょっと面倒ではありますが書いていこうと思います。
では。
今まで、apacheのconfで、アクセス拒否IPリストを作成したものをインクルードして、アクセス拒否・・・・とやっていたんですが、よく考えると、アクセス拒否リストのIPの接続自体を拒否っておこうと思いました。なぜなら、攻撃する側は様々な方法でサーバへの侵入を試みているからです。
そして、恥ずかしながら、一度不正スクリプトを埋め込まれてしまった経験から、巷に蔓延る攻撃には可能な限り対応したいと思ったからです。で、今までほったらかしのiptablesの設定を見直そうと思いました。そこで、困ったことに。
# vi /etc/sysconfig/iptables
で直接編集したファイルについては、
# iptables-save
# service iptables save
をやると、デフォルトのほったらかしのままのiptablesに書き換わってしまうことがわかった。ほんとに初歩的ですが、これは忘れてしまう。正しくは、
# vi /etc/sysconfig/iptables
で編集後、
# service iptables restart
を行えば、直接編集したiptablesファイルを反映させることができる。
このページを共有する