セキュアなVM環境を作る
フィルタルールを保存する(iptables-saveを使う)
フィルタルールを保存する(iptables-saveを使う)
すでにiptables-saveで保存したルールを持ってくる場合には必要ありませんが、iptablesコマンドを実行してルールを作成した場合には、そのルールを保存する必要があります。
このためには、iptables-saveコマンドを用います。保存結果は標準出力に書き出されるため、例えば/etc/fwrulesというような名前のファイルにこのルールを保存するには以下のように実行します。
# iptables-save > /etc/fwrules/etc/fwrulesの規則を起動時に適用する
/etc/network/interfacesに対し、リスト13のような形でpre-upで始まる行を追加します(注5)。
リスト13:/etc/fwrulesを起動時に適用する/etc/network/interfaces
# The primary network interface
auto eth0
iface eth0 inet static
pre-up /sbin/iptables-restore /etc/fwrules
address 192.168.149.240
netmask 255.255.255.0
network 192.168.149.0
broadcast 192.168.149.255
gateway 192.168.149.2
※注5:
詳細は、/usr/share/doc/iptables/README.Debian.gzに記述されています。
詳細は、/usr/share/doc/iptables/README.Debian.gzに記述されています。
このようにすることで、eth0が有効になる前に、/etc/fwrulesファイルの内容を適用することが可能になります。また、post-downで始まる行を追加すれば、シャットダウン時にルールを/etc/fwrulesに書き出すこともできます。
これまでにsargeに対して行ったことは、主に以下の3点です。
- 外部ポートに対する待ち受けをしなくするために、不要なサービスを起動しないようにした
- SSHサーバーの設定を行った
- パケットフィルタリングの設定を行い、余計な通信を行わせないようにした
表11:sargeに対して行ったこと
ここまででsargeに行ったコト
あとは、Xenハイパーバイザーおよびカーネルをインストールすればおわりです。ただ、sargeの標準パッケージにはXenは含まれません。自身 でカーネルコンパイルをすることになりますが、この際にiptables関連のモジュールもコンパイルするように設定しておきましょう。
バックナンバー
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
