はじめに
サーバーのセキュリティを強化するためには、不要なポートを閉じることが重要です。
特に、メールサーバーを運用している場合、POP3やIMAPといったポートを閉じることで、不正アクセスのリスクを低減させることができます。
今回は、firewall-cmdを使用して、POP3およびIMAPのポートを恒久的に閉じる方法について見ていきたいと思います。
因みに、他のサービスやポート番号を閉じたい場合も、今回の方法と同様ですので簡単です。
Firewalldの現状を確認
作業をする前に、現在のFirewallの状況を確認しましょう。
現在のゾーンと設定を一覧表示したい場合(# firewall-cmd –list-all)
firewalldの現在の設定や状態を確認するためには、次のコマンドを使用します。
# firewall-cmd --list-all
実際にコマンドを投入すると、次のようにpop3やimap等、設定内容が表示されます。
[root@xxxx]# firewall-cmd --list-all
public (active)
※一部省略
services: xxxx xxxx xxxx imap imaps xxxx pop3 pop3s xxxx ssh
ports: xxxx/tcp xxx/tcp xxx/tcp xxx/tcp
※一部省略
rich rules:
rule family="ipv4" source address="xxx.xxx.xxx.123" drop
rule family="ipv4" source address="xxx.xxx.xxx.151" drop
[root@xxxx]#
サービス名を一覧表示したい場合(# firewall-cmd –list-services)
サービス名を一覧表示させたい場合は、次のコマンドを投入します。
# firewall-cmd --list-services
実際にコマンドを投入すると、次のようにサービス名が一覧表示されます。
[root@xxxx]# firewall-cmd --list-services
imap imaps pop3 pop3s ssh ※一部省略
[root@xxxx]#
ポート番号を一覧表示したい場合(# firewall-cmd –list-ports)
ポート番号を一覧表示させたい場合は、次のコマンドを投入します。
# firewall-cmd --list-ports
実際にコマンドを投入すると、次のようにポート番号が表示されます。
[root@xxxx]# firewall-cmd --list-ports
25/tcp 465/tcp 587/tcp ※一部省略
[root@xxxx]#
サービス名を指定してポートを閉じる
POP3(ポート番号110)とIMAP(ポート番号143)のサービス名を指定してポートを閉じる場合は、次のコマンドを投入します。
# firewall-cmd --permanent --remove-service=pop3
# firewall-cmd --permanent --remove-service=imap
実際にpop3を削除するコマンドを投入した結果が、次の通りです。
[root@xxxx]# firewall-cmd --permanent --remove-service=pop3
success
[root@xxxx]#
「success」と表示されていますので、無事pop3が削除されました。
ポート番号を指定してポートを閉じる
POP3S(ポート番号995)とIMAPS(ポート番号993)も含めてポートを閉じる場合は、次のコマンドを投入します。
# firewall-cmd --permanent --remove-port=110/tcp
# firewall-cmd --permanent --remove-port=143/tcp
# firewall-cmd --permanent --remove-port=995/tcp
# firewall-cmd --permanent --remove-port=993/tcp
実際にコマンドを投入すると、こんな感じです(IMAPの143番ポートの場合)。
[root@xxxx]# firewall-cmd --permanent --remove-port=143/tcp
success
[root@xxxx]#
「success」と表示されていますので、大丈夫そうです。
設定を再読み込み
設定を反映させるために、firewalldを再読み込みします。
[root@xxxx]# firewall-cmd --reload
success
[root@xxxx]#
これで設定が反映され、最新の状態になりました。
あとは、念のため「# firewall-cmd –list-all」コマンドで、現状を確認しておきましょう。
まとめ
今回は、firewalldを使って不要なポートを閉じる方法を見てきました。
不要なポートを閉じることで、サーバーのセキュリティを大幅に向上させることができます。
今回の手順では、POP3とIMAPのポートを恒久的に閉じる方法を紹介しましたが、同様の手順で他の不要なポートも閉じることが可能です。
定期的にサーバーのポート設定を見直し、不正アクセスのリスクを最小限に抑えることを心がけることが大事だと思います(普段は忙しくて、なかなか見直す時間がないのが現実だと思います。。)。
セキュアなサーバー運用を目指して、これからも適切なセキュリティ対策を続けたいですね。
ご参考になれば幸いです。
コメント