SSHサーバーは、Telnet同様にクライアントからサーバーへリモート接続して、遠隔地からサーバーを操作することができるようにするためのサーバー。
ただし、Telnetが暗号化しないでそのままデータを送受信するのに対して、SSHでは通信内容を暗号化するため、通信内容を盗み見られても問題ない。
ここでは、内部からだけではなく外部からも安全にサーバーにリモート接続できるようにするため、鍵方式によるログインのみを許可することにより、クラッカーによるパスワードアタックで不正にSSHサーバーへログインされてしまわないようにする。
また、SSHサーバーへの接続方式にはSSH1とSSH2があるが、より安全なSSH2による接続のみ許可することとする。
さらに、SSHログインしたユーザーが自身のホームディレクトリ以外を参照できないようにする。

なお、SSHサーバーを外部に開放せず、内部ユーザーも信頼できる場合は、SSHサーバーの設定はデフォルトのままで、パスワード方式によるログイン方式でもよい。

(1)Telnetサーバーインストール

OpenSSHをインストールするのにSSHサーバーを削除する必要があるが、SSHサーバーを削除してしまうとWindowsからリモート接続できなくなってしまうので、代替手段として一時的にTelnetでWindowsからリモート接続できるようにする。

[root @ホスト名 ~]# yum -y install telnet-server ← Telnetサーバーインストール

[root @ホスト名 ~]# chkconfig telnet on ← Telnetサーバー有効化

[root @ホスト名 ~]# /etc/rc.d/init.d/xinetd restart ← Xinetd再起動(Telnetサーバー起動)

(2)Telnetサーバーへログイン

TeraTermでTelnetサーバーへログインする。
「ホスト」⇒サーバーIPアドレス
「サービス」⇒Telnet
「OK」ボタン押下

login: ← ユーザー名応答
Password: ← パスワード応答(表示はされない)

[一般ユーザー名 @ホスト名 ~]# ← Telnetでログインした

[一般ユーザー名 @ホスト名 ~]# su – ← rootにスイッチ
Password: ← rootパスワード応答(表示はされない)

[root @ホスト名 ~]# ← rootになった
※Telnetサーバーへはrootで直接ログインできないので、管理者用の一般ユーザーでログインしてrootにスイッチする

(3)SSHサーバーアンインストール

OpenSSHを新規にインストールするため、既にインストールされて起動しているSSHサーバーをアンインストールする。
[root @ホスト名 ~]# /etc/rc.d/init.d/sshd stop ← SSHサーバー停止

[root @ホスト名 ~]# yum -y remove openssh ← openssh関連パッケージアンインストール

(4)SSHサーバーインストール

CentOS標準のOpenSSHはバージョンが古くchroot機能が含まれていないため、本家からソースを入手してRPMパッケージを作成してインストールする。
[root @ホスト名 ~]# yum -y install pam-devel ← opensshのRPM作成に必要なパッケージをインストール

[root @ホスト名 ~]# wget http://ftp.jaist.ac.jp/pub/OpenBSD/OpenSSH/portable/openssh-5.3p1.tar.gz ← opensshダウンロード
※最新版のURLではありません。

[root @ホスト名 ~]# tar zxvf openssh-5.3p1.tar.gz ← openssh展開

[root @ホスト名 ~]# vi openssh-5.3p1/contrib/redhat/openssh.spec ← specファイル編集
%define no_x11_askpass 0
↓
%define no_x11_askpass 1 ← x11_askpassの無効化

%define no_gnome_askpass 0
↓
%define no_gnome_askpass 1 ← gnome_askpassの無効化

%configure ￥
　　　　Configure –without-zlib-version-check ￥ ← 追加(zlibのバージョンチェック無効化)
　　　　–sysconfdir=%{_sysconfdir}/ssh ￥

[root @ホスト名 ~]# rm -rf openssh-5.3p1/contrib/aix/ ← RedHat以外のディレクトリを削除

[root @ホスト名 ~]# rm -rf openssh-5.3p1/contrib/hpux/ ← RedHat以外のディレクトリを削除

[root @ホスト名 ~]# rm -rf openssh-5.3p1/contrib/caldera/ ← RedHat以外のディレクトリを削除

[root @ホスト名 ~]# rm -rf openssh-5.3p1/contrib/suse/ ← RedHat以外のディレクトリを削除

[root @ホスト名 ~]# rm -rf openssh-5.3p1/contrib/cygwin/ ← RedHat以外のディレクトリを削除

[root @ホスト名 ~]# rm -rf openssh-5.3p1/contrib/solaris/ ← RedHat以外のディレクトリを削除

[root @ホスト名 ~]# tar czvf openssh-5.3p1.tar.gz openssh-5.3p1/ ← openssh展開先ディレクトリ再圧縮

[root @ホスト名 ~]# rm -rf openssh-5.3p1 ← openssh展開先ディレクトリ削除

[root @ホスト名 ~]# rpmbuild -tb –clean openssh-5.3p1.tar.gz ← RPMパッケージ作成

※rpmbuildが「ビルド依存性の失敗」で異常終了した場合

[root @ホスト名 ~]# rpmbuild -tb –clean courier-authlib-0.60.2.tar.bz2
エラー: ビルド依存性の失敗:
openldap-devel は courier-authlib-0.60.2-1.fc8.i386 に必要とされています

rpmbuildで上記のようなエラーメッセージが出力された場合は、該当RPMを作成するのに必要なパッケージがインストールされていないことが原因なので、不足しているパッケージをyumでインストールしてからrpmbuildを再実行する。

上記例の場合はcourier-authlibのRPM作成に必要なopenldap-develがインストールされていないことを示しているので、yum -y install openldap-develでopenldap-develをインストールしてから
rpmbuildを再実行すればよい

[root @ホスト名 ~]# rpm -Uvh /usr/src/redhat/RPMS/i386/openssh-5.3p1-1.i386.rpm ← 作成したopensshのRPMパッケージをインストール

[root @ホスト名 ~]# rmp -Uvh /usr/src/redhat/RPMS/i386/openssh-server-5.3p1-1.i386.rpm ← 作成したopenssh-serverのRPMパッケージをインストール

[root @ホスト名 ~]# rpm -Uvh /usr/src/redhat/RPMS/i386/openssh-clients-5.3p1-1.i386.rpm ← 作成したopenssh-clientsのRPMパッケージをインストール

[root @ホスト名 ~]# rm -f /usr/src/redhat/RPMS/i386/openssh-* ← 作成したRPMを削除

[root @ホスト名 ~]# rm -f openssh-5.3p1.tar.gz ← ダウンロードしたファイルを削除

NTPサーバーを構築して、サーバーのシステム時刻を日本標準時間に合わせる。

(1)NTPサーバーインストール

[root @ホスト名 ~]# yum -y install ntp ← NTPサーバーインストール

(2)NTPサーバー設定

[root @ホスト名 ~]# vi /etc/ntp.conf ← ntp設定ファイル編集

上の画像の行の下に「restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap」と記述する。記述されていれば改めて記述する必要はない。(内部からの時刻同期を許可)

上の画像の下3行を以下のように書き換えましょう。

↓ 時刻同期先NTPサーバーを変更
server ntp.nict.jp # 日本標準時を提供しているNTPサーバー(stratum 1)
server ntp.jst.mfeed.ad.jp # 上記サーバーと直接同期しているNTPサーバー(stratum 2)
server プロバイダのNTPサーバー名 # プロバイダのNTPサーバー※

※自分が契約しているプロバイダがNTPサーバーを提供している場合はプロバイダのNTPサーバーを指定する。

(3)NTPサーバー起動

NTPサーバー起動時に大幅に時刻がずれているとNTPサーバーが起動できないので、いったん、手動で時刻を合わせる
[root @ホスト名 ~]# ntpdate ntp.nict.jp ← 手動で時刻を合わせる

[root @ホスト名 ~]# /etc/rc.d/init.d/ntpd start ← NTPサーバー起動※CentOS6,5の場合

[root @ホスト名 ~]# chkconfig ntpd on ← NTPサーバー自動起動設定※CentOS6,5の場合

(4)NTPサーバー確認

[root @ホスト名 ~]# ntpq -p ← NTPサーバーへの時刻同期状態確認

※NTPサーバー名の前が空白の場合は時刻同期中の状態

[root @ホスト名 ~]# ntpq -p ← 約10分後、再度NTPサーバーへの時刻同期状態確認

※NTPサーバー名の前に*または+が表示されれば時刻同期完了の状態

Linuxサーバー上にファイアウォールを構築する。
ここでは、Linuxのパケットフィルタリング機能であるiptablesを使用して、Web等外部に公開するサービス以外のポートへのアクセスをブロックするようにする。

※通常はルーター側にもファイアウォール機能があるため、Linuxサーバー上でファイアウォールを構築後にポートを開放する場合は、ルーター側とLinuxサーバー側の2箇所でポート開放を行う必要があることに注意

(1)iptables設定

[root @ホスト名 ~]# vi iptables.sh ← ファイアウォール設定スクリプト作成

上の4枚の画像は上から順につながっていてこの4枚でviでの1つの記述です。もし記述がされていなければ記述しましょう。

(2)IPアドレスリスト更新チェック

IPアドレスリストは頻繁に更新されるので、毎日自動でIPアドレスリストの更新有無をチェックし、更新がある場合はファイアウォール設定スクリプトを再起動するようにする。

[root @ホスト名 ~]# vi /etc/cron.daily/iplist_check.sh
↑ IPアドレスリストチェックスクリプト作成

上の画像のような記述が書かれていなければ書きましょう。

[root @ホスト名 ~]# chmod +x /etc/cron.daily/iplist_check.sh
↑ IPアドレスチェックスクリプトに実行権限付加

※CRONより/root/iptables.sh not executed.という内容のメールが届いた場合の対処
なんらかの理由で、http://nami.jp/ipv4bycc/から取得した最新のIPアドレスリストと、前回取得したIPアドレスリストとの差分が100件を超えたため、iptables設定スクリプトを実行しなかったことを示す。
サーバーを長時間停止していた等、前回取得したIPアドレスリストとの差分が100件を超える理由が明確な場合には、「/etc/cron.daily/iplist_check.sh 0」と実行することにより強制的にiptables設定スクリプトを実行する。

(3)iptables起動

[root @ホスト名 ~]# sh iptables.sh ← ファイアウォール設定スクリプト実行

[root @ホスト名 ~]# chkconfig iptables on ← iptables自動起動設定※CentOS6,5の場合

Linux用のフリーのアンチウイルスソフトであるClam AntiVirusを導入する。

(1)Clam AntiVirusインストール

※もし、EPELリポジトリ導入(EPEL)がすんでいなければ先に導入を行いましょう。

[root @ホスト名 ~]# yum -y install clamd ← Clam AntiVirusインストール

(2)ウイルス定義ファイル最新化

[root @ホスト名 ~]# vi /etc/freshclam.conf ← ウイルス定義ファイル更新設定ファイル編集

「# Comment or remove the line below.」という行の下に「#Example」と記述する。もし記述があれば、行頭に#を追加してコメントアウトすること。(ウイルス定義ファイル更新機能の有効化)

上の画像の行の下に「NotifyClamd /etc/clamd.conf」と記述する。記述されていれば改めて記述する必要はない。(ウイルス定義ファイル更新をclamdに通知する)また、画像の行では行頭に#がついているが追加する行にはつける必要はない。

[root @ホスト名 ~]# freshclam ← ウイルス定義ファイル最新化

※以後のウイルス定義ファイルのアップデートは、/etc/cron.daily/freshclamにより毎日自動で行われる

(3)Clam AntiVirus設定

[root @ホスト名 ~]# vi /etc/clamd.conf ← clamd設定ファイル編集

上の画像の行の下に「#User clamav」と記述する。もし記述されていれば、行頭に#を追加(root権限で動作するようにする)

(4)Clam AntiVirus起動

[root @ホスト名 ~]# /etc/rc.d/init.d/clamd start ← clamd起動

[root @ホスト名 ~]# chkconfig clamd on ← clamd自動起動設定

(5)ウイルススキャンテスト

[root @ホスト名 ~]# clamscan –infected –remove –recursive
↑ ウイルススキャンテスト(ウイルスなしの場合)

Infected files: 0 ← ウイルスは検知されなかった

[root @ホスト名 ~]# wget http://www.eicar.org/download/eicar.com
↑ テスト用ウイルスをダウンロード

[root @ホスト名 ~]# wget http://www.eicar.org/download/eicar.com.txt
↑ テスト用ウイルスをダウンロード

[root @ホスト名 ~]# wget http://www.eicar.org/download/eicar.com.zip
↑ テスト用ウイルスをダウンロード

[root @ホスト名 ~]# wget http://www.eicar.org/download/eicarcom2.zip
↑ テスト用ウイルスをダウンロード

[root @ホスト名 ~]# clamscan –infected –remove –recursive
↑ ウイルススキャンテスト(ウイルスありの場合)

/root/eicarcom2.zip: Eicar-Test-Signature FOUND ← ウイルス検知
/root/eicarcom2.zip: Removed ← ウイルス削除
/root/eicar.com.txt: Eicar-Test-Signature FOUND ← ウイルス検知
/root/eicar.com.txt: Removed ← ウイルス削除
/root/eicar_com.zip: Eicar-Test-Signature FOUND ← ウイルス検知
/root/eicar_com.zip: Removed ← ウイルス削除
/root/eicar.com: Eicar-Test-Signature FOUND ← ウイルス検知
/root/eicar.com: Removed ← ウイルス削除

Infected files: 4 ← 4つのウイルスを検知した

(5)ウイルススキャン定期自動実行設定

[root @ホスト名 ~]# vi virusscan ← ウイルススキャン実行スクリプト作成

上の画像のような記述が書かれていなければ書きましょう。

[root @ホスト名 ~]# chmod +x virusscan
↑ ウイルススキャン実行スクリプトへ実行権限付加

[root @ホスト名 ~]# echo “/backup/backup.tar.bz2” >> clamscan.exclude
↑ 例として/backup/backup.tar.bz2をスキャン対象外にする

[root @ホスト名 ~]# echo “/proc/” >> clamscan.exclude
↑ 例として/procディレクトリをスキャン対象外にする

[root @ホスト名 ~]# echo “/sys/” >> clamscan.exclude
↑ 例として/sysディレクトリをスキャン対象外にする
※ディレクトリを除外する場合は末尾に「/」を付加すること

[root @ホスト名 ~]# mv virusscan /etc/cron.daily/
↑ ウイルススキャン実行スクリプトを毎日自動実行されるディレクトリへ移動

これで、毎日定期的に全ファイルのウイルススキャンが行われ、ウイルスを検知した場合のみroot宛にメールが送られてくるようになる。
※Clam AntiVirusインストールディレクトリにテスト用ウイルスがあるので、インストール後の全体スキャンでは必ずウイルス検知メールがくる

(6)ウイルス検知後の対応

ウイルス検知メールが送られてきた場合、内容を確認し、ウイルスであると確認できた場合、当該ファイルを退避先（ウイルス検知メール件名に記載）から削除する。
ウイルスでない（ClamAVによる誤検知）と確認できた場合、当該ファイルを退避先から復元し、次回以降、誤検知しないように当該ファイルをスキャン対象外リスト（clamscan.exclude）に追加する。

(1)chkrootkitインストール

※なぜchkrootkitをインストールするのかというと、chkrootkitというrootkit検知ツールを
　導入して、rootkitがLinuxサーバーにインストールされてしまっていないかチェックする
　ためです。

※なお、chkrootkitが検知できるのは既知のrootkitのみであり、新たなrootkitの検知はでき
　ない。また、rootkitが設置されていないにもかかわらず、chkrootkitが誤ってrootkitを検
　知したとアラームをあげる場合もあるので、chkrootkitによるrootkitの検知結果は参考程
　度としておく。

【CentOS6,5の場合、EPELリポジトリ導入(EPEL)をまずはすませましょう。】

[root @ホスト名 ~]# yum -y install chkrootkit ← chkrootkitインストール

(2)chkrootkit確認

[root @ホスト名 ~]# chkrootkit | grep INFECTED ← chkrootkit実行
上記chkrootkit実行結果として”INFECTED”という行が表示されなければ問題なし

(3)chkrootkit定期自動実行設定

[root @ホスト名 ~]# vi /etc/cron.daily/chkrootkit
↑ chkrootkit実行スクリプトを毎日自動実行されるディレクトリへ作成

[root @ホスト名 ~]# chmod 700 /etc/cron.daily/chkrootkit
↑ chkrootkit実行スクリプトへ実行権限付加

これで毎日定期的にrootkitがインストールされていないかチェックされ、インストールされていた場合はroot宛にメールが届くようになる。また、chkrootkitの実行結果は/var/log/messagesに保存される。

(4)chkrootkitで使用する安全なコマンドの確保

chkrootkitが使用するコマンド群が既に改竄されていた場合、rootkitを正常に検出できなくなるので、chkrootkitが使用するコマンド群をコピーしておき、必要な場合はそのコマンド群を使用してchkrootkitを実行する。

[root @ホスト名 ~]# mkdir chkrootkitcmd
↑ chkrootkit使用コマンド退避先ディレクトリ作成

↑ chkrootkit使用コマンドを退避先ディレクトリへコピー

[root @ホスト名 ~]# chkrootkit -p /root/chkrootkitcmd|grep INFECTED
↑退避したchkrootkit使用コマンドを使用してchkrootkit実行

[root @ホスト名 ~]# zip -r chkrootkitcmd.zip chkrootkitcmd/
↑ chkrootkit使用コマンド退避先ディレクトリ圧縮

[root @ホスト名 ~]# rm -rf chkrootkitcmd
↑ chkrootkit使用コマンド退避先ディレクトリ削除

[root @ホスト名 ~]# yum -y install sharutils
↑ mailコマンドでzipファイル添付メールを送信するのに必要なuuencodeコマンドインス
　トール

[root @ホスト名 ~]# uuencode chkrootkitcmd.zip chkrootkitcmd.zip|mail root
↑ chkrootkit使用コマンド(圧縮版)をroot宛にメール送信

[root @ホスト名 ~]# rm -f chkrootkitcmd.zip ← chkrootkit使用コマンド(圧縮版)削除

クラッカーによるLinuxサーバーのファイルの改竄を検知するシステムTripwireを導入する。

Tripwireインストールの前にEPELリポジトリ導入(EPEL)

※なぜEPELリポジトリを導入するのかというと、CentOS標準のリポジトリでは提供されていないパッケージを、yumコマンドでインストールすることを可能にするためです。

[root @ホスト名 ~]# rpm -ivh https://dl.fedoraproject.org/pub/epel/epel-release-latest6.noarch.rpm
↑ EPELリポジトリインストール※CentOS6の場合

[root @ホスト名 ~]# yum -y install yum-plugin-versionlock
↑ バージョンロックプラグインインストール※CentOS7,6の場合

[root @ホスト名 ~]# rpm -q openvpn >> /etc/yum/pluginconf.d/versionlock.list
↑ (例) openvpnパッケージをバージョンロックする

EPELリポジトリ導入はここまで

ここからTripwireインストール

[root @ホスト名 ~]# yum -y install tripwire ← tripwireインストール

[root @ホスト名 ~]# tripwire-setup-keyfiles ← tripwire初期設定

Enter the site keyfile passphrase:
↑ 任意のサイトパスフレーズ応答(ただのパスワードの設定です)

Verify the site keyfile passphrase:
↑ 任意のサイトパスフレーズ応答(確認)(上で決めたパスワードを改めて入力する場所)

※パスワードは入力しても*など何も表示されないので注意。ちゃんと入力できています。

Enter the local keyfile passphrase: ← 任意のローカルパスフレーズ応答(ただのパスワード設定ですが、こちらはローカルパスフレーズで上で設定したものとはまた別の設定)

Verify the site keyfile passphrase: ← 任意のローカルパスフレーズ応答(確認)

Please enter your site passphrase: ← サイトパスフレーズ応答(上で設定したであろうサイトパスフレーズを入力。ローカルパスフレーズではないので注意)

Please enter your site passphrase: ← サイトパスフレーズ応答

(1)Tripwire設定

[root @ホスト名 ~]# vi /etc/tripwire/twcfg.txt ← Tripwire設定ファイル(テキスト版)作成

viエディタに遷移

LOOSEDIRECTORYCHECKING =true
↑ ファイル変更時に所属ディレクトリの変更を通知しないようにする

REPORTLEVEL =4 ← リポートレベルを変更する

※:wqでエディタを閉じないと保存されないので注意

[root @ホスト名 ~]# twadmin -m F -c /etc/tirpwire/tw.cfg -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt
↑ Tripwire設定ファイル(暗号署名版)作成

Please enter your site passphrase: ← サイトパスフレーズ応答

[root @ホスト名 ~]# rm -f /etc/tripwire/twcfg.txt ← Tripwire設定ファイル(テキスト版)削除

※Tripwire設定ファイル(テキスト版)を復元する場合
[root @ホスト名 ~]# twadmin -m f -c /etc/tripwire/tw.cfg > /etc/tripwire/twcfg.txt

(2)ポリシーファイル設定

Tripwireは、ポリシーファイルを元に作成したデータベースと、現在のファイル状態を比較することにより、ファイルが変更されたかどうかを検知するが、デフォルトのポリシーファイルでは存在しないファイルのチェックが有効になっていたり、逆に存在するファイルのチェックが無効になっていたりするため、存在しないファイルのチェックを無効に、存在するファイルのチェックを有効にするPerlスクリプトを作成して、ポリシーファイルを最適化する。

[root @ホスト名 ~]# vi /etc/tripwire/twpolmake.pl
↑ ポリシーファイル最適化スクリプト作成

※viエディタに遷移すると記述が何もされていないと思うので、上記の記述を追加する
※:wqでエディタを閉じないと保存されないので注意

[root @ホスト名 ~]# perl /etc/tripwire/twpolmake.pl /etc/tripwire/twpol.txt > /etc/tripwire/twpol.txt.new
↑ ポリシーファイル最適化

↑ Tripwireデータベース自体をチェック対象外にする

[root @ホスト名 ~]# echo ! “/tmp/tripwire.log ;” >> /etc/tripwire/twpol.txt.new
↑ Tripwireログをチェック対象外にする※後述のTripwire定期自動実行スクリプトで使用

[root @ホスト名 ~]# twadmin -m P -c /etc/tripwire/tw.cfg -p /etc/tripwire/tw.pol -S /etc/tripwire/site.key /etc/tripwire/twpol.txt.new
↑ 最適化済ポリシーファイルを元にポリシーファイル(暗号署名版)作成

Please enter your site passphrase: ← サイトパスフレーズ応答

[root @ホスト名 ~]# rm -f /etc/tripwire/twpol.txt* ← ポリシーファイル(テキスト版)削除

※ポリシーファイル(テキスト版)を復元する場合
[root @ホスト名 ~]# twadmin -m p -c /etc/tripwire/tw.cfg -p /etc/tripwire/tw.pol -S /etc/tripwire/site.key > /etc/tripwire/twpol.txt

(3)データベース作成

[root @ホスト名 ~]# tripwire -m i -s -c /etc/tripwire/tw.cfg ← Tripwireデータベース作成
Please enter your local passphrase: ← ローカルパスフレーズ応答

(4)Tripwire確認

[root @ホスト名 ~]# tripwire -m c -s -c /etc/tripwire/tw.cfg ← Tripwireチェック実行
Total violations found: 0 ← 変更がないと0、変更があると変更の数だけ+1されていく。

[root @ホスト名 ~]# echo test > test.txt ← 試しにテストファイルを作成する

[root @ホスト名 ~]# tripwire -m c -s -c /etc/tripwire/tw.cfg ← Tripwireチェック再実行
Total violations found: 1 ← 1件の変更を検知した 上で述べたのはこのこと

[root @ホスト名 ~]# twprint -m r –report-level 1 -c /etc/tripwire/tw.cfg -r /var/lib/tripwire/report/ホスト名-20170123-184023.twr
↑ チェック結果サマリ参照

Added: “/root/test.txt” ← /root/test.txtの追加を検知した

[root @ホスト名 ~]# rm -f test.txt ← テストファイル削除(後始末)

(5)Tripwire定期自動実行設定

[root @ホスト名 ~]# vi tripwire.sh ← Tripwire定期自動実行スクリプト作成

[root @ホスト名 ~]# chmod 700 tripwire.sh
↑ Tripwire定期自動実行スクリプトへ実行権限付加

[root @ホスト名 ~]# echo “0 3 * * * root /root/tripwire.sh” > /etc/cron.d/tripwire
↑ Tripwire定期自動実行設定追加※毎日3:00にTripwire定期実行スクリプトを実行する

(6)ポリシーファイルメンテナンス

日々のチェック結果より、あらかじめ変更がわかっているディレクトリやファイルについては検知されないようにする。

[root @ホスト名 ~]# twadmin -m p -c /etc/tripwire/tw.cfg -p /etc/tripwire/tw.pol -S /etc/tripwire/site.key > /etc/tripwire/twpol.txt
↑ ポリシーファイル(テキスト版)作成

[root @ホスト名 ~]# echo ‘!/var/log/sa ;’ >> /etc/tripwire/twpol.txt
↑ 例としてディレクトリ/var/log/saをチェック対象外にする

[root @ホスト名 ~]# echo ‘!/etc/sysconfig/iptables ;’ >> /etc/tripwire/twpol.txt
↑ 例としてファイル/etc/sysconfig/iptablesをチェック対象外にする

[root @ホスト名 ~]# twadmin -m P -c /etc/tripwire/tw.cfg -p /etc/tripwire/tw.pol -S /etc/tripwire/site.key /etc/tripwire/twpol.txt
↑ 最適化済ポリシーファイルを元にポリシーファイル(暗号署名版)作成

Please enter your site passphrase: ← サイトパスフレーズ応答

[root @ホスト名 ~]# rm -f /etc/tripwire/twpol.txt /etc/tripwire/tw.pol.bak
↑ ポリシーファイル(テキスト版&バックアップ)削除

[root @ホスト名 ~]# rm -f /var/lib/tripwire/.twd ; tripwire -m i -s -c /etc/tripwire/tw.cfg
↑ Tripwireデータベース更新

Please enter your local passphrase: ← ローカルパスフレーズ応答

(1)rootでのログイン&ログアウト

ホスト名 login: root ← ログインユーザー名としてrootと入力
Password: ← rootのパスワード応答(表示はされない)

[root @ホスト名 ~]# ← rootでログインした状態

[root @ホスト名 ~]# exit ← ログアウト

ホスト名 login: ← ログアウトした状態

(2)一般ユーザーの作成&削除(例として一般ユーザー名をcentosとする)

[root @ホスト名 ~]# useradd centos ← 一般ユーザーcentosの作成

[root @ホスト名 ~]# passwd centos ← centosのパスワード設定

新しいパスワード: ← centosのパスワード応答
新しいパスワードを再入力してください: ← centosのパスワード応答(確認)

[root @ホスト名 ~]# userdel -r centos ← 一般ユーザーのcentosの削除

(3)一般ユーザーからrootになる

[centos @ホスト名 ~]$ ← centosという名前の一般ユーザーでログインしている状態

[centos @ホスト名 ~]$ su – ← suコマンドでrootになる(-を忘れずに)
パスワード: ← rootのパスワード応答

[root @ホスト名 ~]# ← rootになった

[root @ホスト名 ~]# exit ← rootから一般ユーザーに戻る

[centos @ホスト名 ~]$ ← centosに戻った

※rootは制限なくなんでも出来てしまい、誤操作により重要なファイルを
　削除してしまったりすることがあるため、基本は一般ユーザーでログインし、
　root権限が必要な操作を行う場合のみ、suコマンドでrootになるようにする。

[ユーザー名 @ホスト名 ~] su -ログインしたいユーザー名
上のようにするとログインしたいユーザーを選択してログインできる

(4)rootになれるユーザーを管理者のみにする

例として、管理者用の一般ユーザー名をcentosとする

[root @ホスト名 ~]# usermod -G wheel centos ← 管理者ユーザーをwheelグループに追加

[root @ホスト名 ~]# vi /etc/pam.d/su

viエディタに遷移

#auth required pam_wheel.so use_uid
↓
auth required pam_wheel.so use_uid ← コメント解除(文頭の#を削除しただけ)

※:wqでviエディタを閉じないと保存されないので注意

管理者用一般ユーザーからはrootになれて、管理者以外の一般ユーザーからはrootになれないことを確認

(5)パッケージ管理システム設定

RPMパッケージのインストール・アンインストールを行うyumの初期設定を行う

[root @ホスト名 ~]# yum -y update ← インストール済パッケージの一括アップデート

[root @ホスト名 ~]# yum -y install yum-cron ← yum-cronインストール

[root @ホスト名 ~]# /etc/rc.d/init.d/yum-cron start ←パッケージ自動更新起動

[root @ホスト名 ~]# chkconfig yum-cron on ← パッケージ自動更新自動起動設定

[root @ホスト名 ~]# yum -y groupinstall “Base” “Development tools”
↑ ベースパッケージ群、開発ツールパッケージ群インストール

(6)root宛メールを転送する

システムからroot宛に重要なメールが送られてくるので、root宛メールを普段使用しているメールアドレス宛に転送するようにする

[root @ホスト名 ~]# sed -i ‘/^root:/d’ /etc/aliases ← 旧root宛メール転送設定解除

[root @ホスト名 ~]# echo “root: hoge@nifty.com” >> /etc/aliases
↑ root宛メールを普段使用しているメールアドレス(例:hoge@nifty.com)宛に転送する

[root @ホスト名 ~]# newaliases ← 転送設定反映

[root @ホスト名 ~]# echo test|mail root ← テストメールをroot宛に送信する

テストメールが転送先メールアドレス宛に届いていることを確認する

※社内メールだとうまく設定できなかったため、Gmailなどで設定を行った方がよい

(7)SELinuxの無効化

※なぜ無効化するのかというと、慣れていないとSELinuxによる強力なアクセス制限によってインストール作業や運用業務でつまづくことがあるからです。

[root @ホスト名 ~]# getenforce ← SELinux状態確認
Enforcing ← SELinux有効

[root @ホスト名 ~]# setenforce 0 ← SELinux無効化(最後は数字のぜろ)
Permissive ← SELinux無効

[root @ホスト名 ~]# vi /etc/sysconfig/selinux ← SELinux設定ファイル編集

viエディタに遷移

SELINUX=enfocing
↓
SELINUX=disabled ← システム起動時にSELinuxを無効化

※:wqでエディタを閉じないと保存されないので注意

(8)ファイアウォール停止※必要な場合のみ

ルーターでブロックするためファイアウォールが不要な場合はファイアウォールを停止する

[root @ホスト名 ~]# /etc/rc.d/init.d/iptables stop ← ファイアウォール停止

[root @ホスト名 ~]# chkconfig iptables off ← ファイアウォール自動起動解除

(9)nkfコマンドインストール

日本語処理に必要なnkfコマンドをインストールする

[root @ホスト名 ~]# yum -y install nkf ← nkfインストール

(10)システムの停止または再起動

[root @ホスト名 ~]# halt ← システム停止する場合

[root @ホスト名 ~]# reboot ← システム再起動する場合

CentOSインストール時に設定したホスト名 login: ← ログインユーザー名を入力(例:root)
Password: ← パスワード応答(表示はされない)

[ログインユーザー名 @ホスト名 ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth0
↑ eth0ネットワークファイル編集

※上の記述後にEnterキーを押すとviエディタに遷移する。
　上の記述のようにviが最初に来ている場合、viエディタに遷移する。
　記述を間違えていても記述の時点ではEclipseの様なエラー等が出てこないので記述ミス
　に気を付けること。

viエディタでは操作キーが違う

Aキー ← INSERT(書き換えたり書き加えたり記述を削除したりするときに使う)

Escキー ← Aキーでの操作を終えるときに押すとモードが変わる(Aキーを押す前の
　　　　 　書き換えたり書き加えたり記述を削除したりできない状態)

Escキーを押したような状態(書き換えたり書き加えたり記述を削除したりできない状態)に下のコマンドが使える

:q ← viエディタを閉じる

:wq ← viエディタを保存して閉じる(書き換えたり書き加えたり記述を削除したりして
　　　　反映させたい場合はこちらを使う)

以下、遷移後のviエディタ

ONBOOT=”yes” ← ネットワーク自動起動設定
BOOTPROTO=static ← IPアドレス固定設定
IPADDR=192.168.1.30 ← サーバーのIPアドレス(例:192.168.1.30)を入力
NETMASK=255.255.255.0 ← ネットマスク(例:255.255.255.0)を入力
GATEWAY=192.168.1.1 ← ルーターのIPアドレス(例:192.168.1.1)を入力
DNS1=192.168.1.1 ← ルーターのIPアドレス(例:192.168.1.1)を入力

[ユーザー名 @ホスト名 ~]# /etc/rc.d/init.d/network restart ← ネットワーク再起動