tag:crieit.net,2005:https://crieit.net/users/yuzu0203citron/feed
yuzu0203citronの投稿 - Crieit
Crieitでユーザーyuzu0203citronによる最近の投稿
2021-06-18T16:48:34+09:00
https://crieit.net/users/yuzu0203citron/feed
tag:crieit.net,2005:PublicArticle/17416
2021-06-18T16:48:34+09:00
2021-06-18T16:48:34+09:00
https://crieit.net/posts/43a3c893bbbef0821d92d9dba141e6e9
ポートセキュリティについて
<h1 id="ポートセキュリティ"><a href="#%E3%83%9D%E3%83%BC%E3%83%88%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3">ポートセキュリティ</a></h1>
<p>cisco機器でのポートセキュリティ設定についてまとめ。</p>
<p>そもそもポートセキュリティとはスイッチのポートに設定するもので、<strong>許可されたmacアドレスを持たない機器の通信を破棄することで管理外の端末の通信を防ぐ</strong>というもの。<br />
許可するmacアドレスはポートごとに設定する。</p>
<h2 id="設定方法"><a href="#%E8%A8%AD%E5%AE%9A%E6%96%B9%E6%B3%95">設定方法</a></h2>
<p>まずは設定したいインターフェースに入る。</p>
<pre><code>S1(config)# int f0/1
</code></pre>
<p>ciscoスイッチではデフォルトでDTPが有効になっていて、ポートが[dynamic desirable]または[dynamic auto]になっていてポートセキュリティの有効化ができないので、手動でアクセスポートに設定しておく。(トランクポートではポートセキュリティは使わん)</p>
<pre><code>S1(config-if)# switchport mode access
</code></pre>
<p>DTPを無効かしたい場合は</p>
<pre><code>S1(config-if)# switchport nonegotiate
</code></pre>
<p>で無効化できる。<br />
ポートセキュリティを有効化する。</p>
<pre><code>S1(config-if)# switchport port-security
</code></pre>
<p>違反時の動作モードの設定(管理外の機器が接続されたときの動作)</p>
<pre><code>S1(config-if)# switchport port-security violation 動作
</code></pre>
<p>動作には三種類ある。</p>
<div class="table-responsive"><table>
<thead>
<tr>
<th>モード</th>
<th>フレームの破棄</th>
<th>SNMPトラップ</th>
<th>syslogメッセージ</th>
<th>違反カウンタ</th>
<th>ポートのシャットダウン</th>
</tr>
</thead>
<tbody>
<tr>
<td>protect</td>
<td>する</td>
<td>送信しない</td>
<td>送信しない</td>
<td>増加しない</td>
<td>しない</td>
</tr>
<tr>
<td>restrict</td>
<td>する</td>
<td>送信する</td>
<td>送信する</td>
<td>増加する</td>
<td>しない</td>
</tr>
<tr>
<td>shutdown</td>
<td>する</td>
<td>送信する</td>
<td>送信する</td>
<td>増加する</td>
<td>する(エラーディセーブル)</td>
</tr>
</tbody>
</table></div>
<p>デフォルトの違反モードはシャットダウン</p>
<p>ポートセキュリティの動作でポートがシャットダウンするとエラーディセーブルとなり、復帰にひと手間必要。<br />
エラーディセーブルのポートは一度手動でshutdownコマンドを入力し、administaratively downの状態にしてからno shutdownでポートの起動をさせる必要がある。</p>
<p>許可するmacアドレスの登録</p>
<pre><code>S1(config-if)# switchport port-security mac-address xxxx.xxxx.xxxx
</code></pre>
<p>※macアドレスの書式に注意</p>
<p>登録されたmacアドレスの確認は</p>
<pre><code>S1# show port-security address
</code></pre>
<p>登録されたmacアドレスのエージング時間の設定 (通信しなくなった端末のMACアドレスが残っているために、新たな端末がアクセスできなくなることを防ぐ)</p>
<pre><code>S1(config-if)# switchport port-security aging time 1-1440(分)
</code></pre>
<p>デフォルトでは0、つまり無制限になっている</p>
<p>エージングの動作</p>
<pre><code>S1(config-if)# switchport port-security aging type < absolute / inactivity >
</code></pre>
<p>absoluteにすると、設定した時間が過ぎたら、通信中であっても削除する。<br />
inactivityにすると、通信しなくなってから、設定した時間経過後に削除する。</p>
<p>以上でポートセキュリティの設定はおしまい。</p>
<h2 id="ポートセキュリティ関係の他のコマンド"><a href="#%E3%83%9D%E3%83%BC%E3%83%88%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E9%96%A2%E4%BF%82%E3%81%AE%E4%BB%96%E3%81%AE%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89">ポートセキュリティ関係の他のコマンド</a></h2>
<p>上記で使ったコマンド以外にもポートセキュリティのコマンドはあるのでまとめる。</p>
<p>セキュアmacアドレスの登録上限数の設定</p>
<pre><code>S1(config-if)# switchport port-security maximum 最大数
</code></pre>
<p>最大数に設定できる数の上限は機器によって異なる</p>
<p>エラーディセーブル自動復旧設定</p>
<pre><code>S1(config-if)# #errdisable recovery cause psecure-violation
</code></pre>
<p>自動復旧までの時間設定</p>
<pre><code>S1(config-if)# errdisable recovery interval 30-86400(秒)
</code></pre>
<p>セキュアmacアドレスのスティッキーラーニング設定</p>
<pre><code>S1(config-if)# switchport port-security mac-address sticky
</code></pre>
<p>以上でおしまい。</p>
yuzu0203citron
tag:crieit.net,2005:PublicArticle/17225
2021-05-21T14:49:12+09:00
2021-05-21T15:30:38+09:00
https://crieit.net/posts/SSH-60a749d8223ec
SSHのセキュリティ強化
<h1 id="SSHのセキュリティを強化しよう"><a href="#SSH%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%92%E5%BC%B7%E5%8C%96%E3%81%97%E3%82%88%E3%81%86">SSHのセキュリティを強化しよう</a></h1>
<p>今回はsshでのrootログインの拒否と公開鍵暗号設定をしてみる。</p>
<h2 id="rootログインの拒否"><a href="#root%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%AE%E6%8B%92%E5%90%A6">rootログインの拒否</a></h2>
<p>rootでのログインの拒否は簡単。</p>
<p>/etc/ssh/sshd_configの中の38行目「PermitRootLogin」をnoにするだけ。</p>
<h2 id="公開鍵暗号設定(RSA)"><a href="#%E5%85%AC%E9%96%8B%E9%8D%B5%E6%9A%97%E5%8F%B7%E8%A8%AD%E5%AE%9A%28RSA%29">公開鍵暗号設定(RSA)</a></h2>
<p>ちょっと大変。まず自分のホームディレクトリに「.ssh」ディレクトリがあるかを確認する。ない場合は自分にssh接続すれば作成される。</p>
<pre><code>$ssh localhost
</code></pre>
<p>クライアント側で「ssh-keygen -t rsa」で鍵ペアを作成する。</p>
<pre><code>$ssh-keygen -t rsa
</code></pre>
<p>今回はパスフレーズはすべて「Abcdef」を使用<br />
<a href="https://crieit.now.sh/upload_images/6da8d084d5d582b07613fb859419751a60a7476fbe31a.png" target="_blank" rel="nofollow noopener"><img src="https://crieit.now.sh/upload_images/6da8d084d5d582b07613fb859419751a60a7476fbe31a.png?mw=700" alt="image.png" /></a><br />
これで鍵ペアの作成は完了<br />
次にサーバーの.sshディレクトリのパーミッションを変更</p>
<pre><code>$chmod 755 ~/.ssh
</code></pre>
<p>あとはscpなりftpなりで作成されたid_rsa.pubファイルをサーバー側の「~/.ssh/authorized_keys」に追加、追加したらauthorized_keyのパーミッションを644に変更。</p>
<p>以上で設定はできてるはず。</p>
<p>他にもサーバー側の「sshd_config」内のAuthorizedKeyFileの指定とかいろいろあるだろうが<br />
<strong>細かい設定は知らん。</strong></p>
yuzu0203citron