
あなたのLinuxマシンをセキュアにするために知っておくべきiptablesのルール10選
iptablesをマスターするには時間がかかるものの、セキュリティに関する基本的なニーズを満たすことのできるいくつかのルールを知っておくだけで、あなたのLinuxシステムのセキュリティを向上させることができる。本記事では、その手始めとなる重要なルールを解説する。
iptablesは、Linuxマシンをセキュアにするための強力なツールだ。とは言うものの、その機能の多さには圧倒されてしまいがちである。そして、コマンドの構造をしっかりと理解し、マシンのどの部分をどのようにセキュアにすべきかを把握した後であっても、ややこしいことに変わりはない。しかし、iptablesの良いところは、極めて広いその適用範囲にある。このため、iptablesのルールのいくつかをスクリプトにまとめておくことで、管理作業をずっと容易にすることができるのだ。
こういったことを念頭に置き、コマンドを10個見ていくことにしよう。これらのルールのいくつかはサーバマシン向けのものとなっており、その他のものはデスクトップマシン向けのものとなっている。本記事では、iptablesで使用できるすべてのコマンドやパラメータを網羅的に解説するのではなく、いくつかのルールに的を絞り、それが行うことを解説しようとしている。このため、特定のルールについての詳細や、コマンドやパラメータの全体像を知るには、iptablesのmanページを参照してほしい。
#1:iptables -A INPUT -p tcp --syn -j DROP
これはデスクトップマシン向けのルールであり、次の2つのことを行うものである。まず、この指定によってデスクトップマシンとしての運用が可能になる。あなたのマシンから出ていくネットワークトラフィックには一切影響が及ばないものの、あなたのマシンに入ってくるすべてのTCP/IPトラフィックはそのままドロップされるのだ。この指定によって、トラフィックを受け付ける必要のないLinuxデスクトップのセキュリティは強固なものになるわけだ。では、リモート管理を行うためにssh(セキュアシェル)を使用したいというニーズがあり、特定のネットワークトラフィックを受け付ける必要がある場合にはどうすればよいのだろうか?こういった設定を行う場合、iptablesに該当サービスのルールを追加し、入ってくるトラフィックすべてをドロップするルールの前に、それが実行されるようにしておく必要がある。
#2:iptables -A INPUT -p tcp --syn --destination-port 22 -j ACCEPT
では最初のコマンドをベースにしてルールを追加していくことにしよう。ポート22(セキュアシェル)へのトラフィックを許可するには、この行を追加することになる。この行を指定することによって、ポート22に入ってくるトラフィックがすべて許可されるようになるわけだ。ただし、こういった指定だけでは完璧なセキュリティ設定とは言えない。よりセキュアな設定にするには、このマシンのポート22に実際に接続できるマシンを指定しておくのがよいだろう。幸いなことに、こういったこともiptablesを使って実現することができる。接続元マシンのIPアドレスが判っているのであれば、「-s SOURCE_ADDRESS」指定(ただしSOURCE_ADDRESSは接続元マシンの実IPアドレス)を「--destination-port」指定の直前に追加することができる。
- 新着記事
- 特集
- ブログ
- 企画特集
-
データの散在と非常率運用がネック
-
ビッグデータ最前線!
-
エンジニアのためのREHL8まとめ
-
その先へ
-
IDaaSって何?
-
明日からではもう遅い?!
-
未来のセキュリティイノベーターへ
-
ハイブリッドクラウドとAI
-
次期自治体ネットワーク強靭化へ
-
セキュリティの今を知る
-
漫画で解説:IoTはじめの一歩
-
デジタルを当たり前と言えるか?
-
ネットワークもサービスとして使う
-
SoRとSoEをつなぐDX推進の要
-
特集:IT最適化への道
-
いまあるデータで身近な業務をDX
-
いまさら聞けない「PPAP」
-
M365 活用のセキュリティ対策
-
第4回CNBFミートアップレポート
-
連載!プロが語るストレージ戦略
-
SECCON2020レポート第二弾!
-
リモート、オフィス、オンサイト
-
部分最適だけではダメ
-
連載!プロが語るストレージ戦略
-
DX時代のアプリケーションセキュリティ
-
コスト・運用の壁を崩す!
-
企業のリスクマネージメント対策に
-
クラウド時代に理想のセキュリティ
-
ゼロトラストに向けた道のりを支援
-
連載!プロが語るストレージ戦略
-
次の一手はこれだ!
-
厳しい目が向けられる内部不正
-
時代が求める生体認証への期待
-
性能の大幅向上を実現!