SkillSet

「Debian」の版間の差分

← 古い編集新しい編集 →
55行目: 55行目:
* とりあえず上記の [[Linuxコマンド|全てを把握]] すればDebian11がデフォルトでできる事のイメージがつく
* とりあえず上記の [[Linuxコマンド|全てを把握]] すればDebian11がデフォルトでできる事のイメージがつく
* ただしiPhoneアプリ等と同じで、深く理解すべき「よく利用されるコマンド」は<strong>全体の2割</strong> (100個程)なので取捨選択が大切
* ただしiPhoneアプリ等と同じで、深く理解すべき「よく利用されるコマンド」は<strong>全体の2割</strong> (100個程)なので取捨選択が大切
===港内サービス===
# systemctl -t service | grep running
# systemctl stop [service]
# systemctl disable [service]
* 稼働サービスの採用/不採用を決定
* 稼働サービスの確認と停止。セキュリティを考慮して使わないサービスは停止、自動稼働も無効にする
* 「running」は常に戦闘モードな状態。一方「exited」は休んでいる状態
* Debian11では、デフォルトで以下「27個」のサービスが稼働している
====running====
{| class="wikitable" summary="Debian11デフォルト稼働サービス"
|-
!cron
|Regular background program processing daemon
|-
!avahi-daemon
|(running) Avahi mDNS/DNS-SD Stack
|-
!bluetooth
|(running) Bluetooth service
|-
!console-setup
|(exited) Set console font and keymap
|-
!cron
|(running) Regular background program
|-
!dbus
|(running) D-Bus System Message Bus
|-
!dhcpcd
|(running*) dhcpcd on all interfaces
|-
!dphys-swapfile
|(exited) LSB: Autogenerate and use
|-
!fake-hwclock
|(exited) Restore / save the curren
|-
!getty@tty1
|(running) Getty on tty1
|-
!hciuart
|(running) Configure Bluetooth Modem
|}
* デフォルトで [[稼働しているサービス(Debian系)]]
* デフォルトで [[稼働しているサービス(RH系)]]
* 不要なサービスは脆弱性の元なので全て停止する。ランレベル3(CUIモード)で自動起動するサービスを確認して停止、自動起動をオフにする
# chkconfig --list | grep 3:on
# service auditd stop
# service netfs stop
auditd(コマンド監視), ip6tables(IP6利用), netfs(NFSクライアント), postfix(SMTPサーバ利用)
* メールサーバなど、ユーザアカウントは必要だけどシェルログインは不要なユーザは、ログインシェルを「/sbin/nologin」か「/bin/false」にする
#useradd -s /sbin/nologin march
#usermod -s /sbin/nologin march


==港内パッケージ管理==
==港内パッケージ管理==

2022年11月29日 (火) 23:04時点における版

Debian11

Debian の「全て」を理解してまとめておく。

港セットアップ

  • セキュアなDebianサーバを構築する
  • Debian はインストール時に root と一般ユーザが登録される
  • sudoコマンドがないので「su -」で root になって操作する。root が馴染み深くなる

環境設定

$ cat /etc/debian_version 
$ vi .bash_aliases
 alias ls='ls -lh --color=auto'
 alias less='less -N'
$ . ~/.bash_aliases

SSH接続

[港]
$ systemctl status sshd
$ ss -tan
# vi /etc/ssh/sshd_config
 Port 55555
# systemctl sshd restart
$ ss -tan
$ lsof -i:55555
# ls /etc/ssh
$ ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub
# vi /etc/ssh/sshd_config
 PasswordAuthentication no
$ cat ~/.ssh/authorized_keys

[領内]
$ ssh-keygen -t ed25519
$ vi ~/.ssh/config
 HOST hoge
 HostName moge.vs.sakura.ne.jp
 Port 55555
$ ssh-copy-id hoge
$ ssh-add
$ ssh-add -l
$ ssh hoge
  • SSHの鍵認証で最も広く使われているのはRSA暗号。でも最近のSSHはRSAよりも「Ed25519」という暗号化アルゴリズムが強固でパフォーマンスも良く安全面と性能面で最強

港ざっくり把握

港内コマンド/港内アプリ

$ ¥ls /usr/bin/
$ ls /usr/bin/ | wc -l
  • Debian11ではデフォルトで「593個」のユーザコマンド/アプリが利用できる
  • とりあえず上記の 全てを把握 すればDebian11がデフォルトでできる事のイメージがつく
  • ただしiPhoneアプリ等と同じで、深く理解すべき「よく利用されるコマンド」は全体の2割 (100個程)なので取捨選択が大切

港内パッケージ管理

  • 全てのパッケージを最新のものにアップデートしてシステムを最新の状態にする
$ apt list --installed
# apt update
# apt upgrade
# apt full-upgrade
  • ソフトウェアパッケージのアップデートを自動化する。そのためにも、ソフトは基本的にapt等パッケージ管理システムからインストールする
# apt install cron-apt    ← vi /etc/cron-apt/config(アプデ自動化)
# timedatectl status
# timedatectl set-timezone Asia/Tokyo
# date
  • ユーザがディスクの空き容量を使い切ってしまわないように、ユーザが利用するファイルシステムには独立したパーティションを割り当てる
  • 変更されないデータを格納するファイルシステムは、リードオンリーでマウントすることによりファイルの改竄や破壊行為を抑えられる
  • アドレススキャン(港探索)回避のためにブロードキャスト宛リクエストを無視する。下記の設定ファイルに追記
/etc/sysctl.conf
net.ipv4.icmp_echo_ignore_broadcast=1
https://skillset.wiki/index.php?title=Debian&oldid=6945」から取得