2016年7月22日に開催された Mautic Meetup Tokyo #4 で発表したスライドです。Mauticの運用において、セキュリティを向上させるためのポイントをまとめています。

1. 少しでもセキュリティを向上させたい！
Mauticの運用方法
2016.07.22
株式会社イー・エージェンシー
コーポレートデザイン部 片山 淳
Mautic Meetup Tokyo #4

2. 自己紹介
氏名：片山 淳
勤務先：株式会社イー・エージェンシー
趣味：４ソケットサーバの蒐集

3. 注意事項
・個人研究です！
・より安全な方法を教えてください！

4. アジェンダ
・はじめに
・望ましいネットワーク構成
・管理に使うsshポートの変更
・ドキュメントルートの変更
・Mauticを使っていることがバレないように
・管理画面へのアクセス制限
・おわりに

5. はじめに
マーケティングオートメーションツールでは、
個人情報がどんどん蓄積されていく一方です。
Mauticも例外ではありません！
ですから・・・

6. はじめに
セキュリティを少しでも
向上させて運用しましょう！
※今回の想定環境：
オンプレ・CentOS7＋PHP5.6/7.0＋MySQL5.6＋Apache 2.4・仮想化なし
※時間の関係もあるので『何をするか』をポイントとして手順の説明は軽め

7. ネットワーク構成（オンプレミス）
DMZを構築できる機器を使った方が安全
インターネット
社内ネットワーク
Mautic
ネットワーク
DMZ
LAN
WAN
× ×
トラッキングデータ
※必要なポートのみ開ける
※機器例は
Fortinet Forigate 60D

8. ネットワーク構成（クラウド）
AWSやベアメタルがこれに該当
Mautic
ネットワーク
WAN
インターネット
LAN
ファイア
ウォール
ファイア
ウォール
LAN
トラッキングデータ
※必要なポートのみ開ける
sshや
コントロールパネルで
制御
社内
ネットワーク

9. DMZポートがある機器の例
かなり古いですが・・・
※筆者の自宅の機器です。PPPoE が使えて DMZ ポートもあります。
Fortinet Forigate 200 INTERNAL（LAN）・EXTERNAL（WAN）・
DMZの３ポート構成

10. 前準備
• /etc/hosts.denyで・・・
→全てのIPとサービスを拒否
• /etc/hosts.allowで・・・
→sshd を特定のIP（＝メンテ用IP）のみ許可
→httpd は全てのIPを許可（＝gifトラッキング用）
ALL: ALL
hosts.deny
sshd: aaa.bbb.ccc.ddd
httpd : ALL
hosts.allow

11. 管理用sshポートの変更
• root で ssh できないようにする
• デフォルトの22番ポートは使わない方向で
• ポート変更とファイアウォールの設定
→SELinux の設定（ポート）
→firewalld の設定（サービスとポート）

12. 管理用sshポートの変更
rootでsshにログインできないように設定を変更
← /etc/ssh/sshd_config 内に
PermitRootLogin no
を記入

13. 管理用sshポートの変更
← /etc/ssh/sshd_config 内に
port 任意のポート番号
を記入
sshdの設定ファイルに新しい任意のポート番号を追加（※ここでは2244番を追加）

14. 管理用sshポートの変更
# yum install –y policycoreutils-python
# semanage port -a -t ssh_port_t -p tcp 変更したポート番号
変更したssh用ポートを使えるように semanage のインストールと SELinux の設定変更
/usr/lib/firewalld/sevices/ssh.xml を同じディレクトリに ssh-x.xml などの別の名称でコ
ピーし、変更したポート番号に書き換える

15. 管理用sshポートの変更
# systemctl enable firewalld
# systemctl start firewalld
# firewall-cmd --permanent --add-service=ssh
# firewall-cmd --permanent --add-service=ssh-x
# firewall-cmd --permanent --add-service=http
# firewall-cmd --permanent --add-service=https
※安全性向上のため「データベース分離」を行うなら以下を追加
# firewall-cmd --permanent --add-service=mysql
変更したsshポートおよびその他のサービスをfirewalldに登録
# ss -t -l -n
# semanage port -l|grep ssh
必要なポート（22/80/443/任意のssh用ポート）が開いているかと待ち受け状態を確認
# firewall-cmd --reload
# systemctl restart sshd
この状態でfirewalldとsshdを再起動し、変更したポートを経由してsshできるかを確認する

16. 管理用sshポートの変更
# semanage port -d -t ssh_port_t -p tcp 22
# firewall-cmd --remove-service=ssh
新しいポートで問題なく接続できることを確認したら、デフォルトの22番ポートを閉める＆
サービスを削除する
# firewall-cmd --reload
改めてfirewalldを再起動する
これ以降は変更したポートのみでsshが可能になるので、新しいポートで接続で
きることを確認するまでは、デフォルトの22番ポートの設定を削除するのは危険

17. ドキュメントルートの変更
• 専用ユーザを作ってそのディレクトリの下に
Mauticをインストールする
• ドキュメントルート階層のさらに１つ下のディレ
クトリを作って入れる
• httpd.conf をインストール階層の変更に合わ
せて書き換える
• SELinuxとセキュリティコンテキストの設定

18. ドキュメントルートの変更
→
変更前 変更後

19. ドキュメントルートの変更
<Directory />
AllowOverride none
Require all denied
</Directory>
<Directory "/home/eamautic/public_html">
AllowOverride All
Require all denied
</Directory>
<Directory "/home/eamautic/public_html/easfma">
Options FollowSymLinks
AllowOverride All
Require all granted
</Directory>
/etc/httpd/conf/httpd.confの設定を行う
※CentOS 7なので本来は上記の設定だが、なぜかドキュメントルートが見えてしまった
のでファイルサイズがゼロのindex.htmlを入れておく

20. ドキュメントルートの変更
<Directory />
AllowOverride none
Deny from all
</Directory>
<Directory "/home/eamautic/public_html">
order deny,allow
Deny from all
AllowOverride None
</Directory>
<Directory "/home/eamautic/public_html/easfma">
order allow,deny
allow from all
Options FollowSymLinks
AllowOverride All
</Directory>
/etc/httpd/conf/httpd.confの設定を行う（mod_access_compat が使える場合）

21. ドキュメントルートの変更
# chown apache:apache /home/eamautic/public_html -R
変更したドキュメントルートの所有権変更
# semanage fcontext -a -t httpd_sys_rw_content_t
"/home/eamautic/public_html(/.*)? "
#restorecon -R /home/eamautic/public_html
# chcon -R -t httpd_sys_rw_content_t /home/eamautic/public_html/
ドキュメントルートのセキュリティコンテキスト設定を行って、Mautic側からログファイルなど
を書き込めるように設定する
※semanageとrestoreconでコンテキストの再定義を行っているが、ls –lZa で確認する
と、属性がhttpd_user_content_t で変わっていなかったのでchconを実行している

22. Mauticを使っていることを隠匿
• エラーメッセージの書き換え
→ 403/404/500用のファイルを書き換え
※ .htaccess と同様に、VerUP時には上書きされていないかを念のため
チェックした方がよい
• Apache 2.2系の場合はサーバ情報も隠す
→ httpd.conf に ServerTokens Prod を設定する

23. 通常のMauticのエラー表示画面の例
Mauticを使っていることを隠匿

24. Mauticを使っていることを隠匿
エラーメッセージ用ファイルの場所

25. Mauticを使っていることを隠匿
403.html.php
<?php
/**
* @copyright 2014 Mautic Contributors.
All rights reserved.
*/
$view['slots']->set('message',
'mautic.core.error.403');
$view-
>extend('MauticCoreBundle:Error:base.
html.php');
?>
変更前
<?php
/**
* @copyright 2014 Mautic Contributors.
All rights reserved.
*/
$redirectUrl = "http://192.168.1.222/";
header("HTTP/1.1 403 Forbidden");
print(file_get_contents($redirectUrl));
exit;
?>
変更後

26. Mauticを使っていることを隠匿
404.html.php
<?php
/**
* @copyright 2014 Mautic Contributors.
All rights reserved.
*/
$view['slots']->set('mautibot',
'openMouth');
$view['slots']->set('message',
'mautic.core.error.404');
$view-
>extend('MauticCoreBundle:Error:base.
html.php');
?>
変更前
<?php
/**
* @copyright 2014 Mautic Contributors.
All rights reserved.
*/
header('HTTP/1.1 404 Not Found');
?>
<!DOCTYPE HTML PUBLIC "-
//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL was not found
on this server.</p>
</body></html>
変更後

27. Mauticを使っていることを隠匿
<?php
/**
* @copyright 2014 Mautic Contributors. All rights reserved.
*/
$view['slots']->set('mautibot', 'openMouth');
$view['slots']->set('message', 'mautic.core.error.500');
$view->extend('MauticCoreBundle:Error:base.html.php');
?>
変更前
500.html.php

28. Mauticを使っていることを隠匿
500.html.php
<?php
/**
* @copyright 2014 Mautic Contributors. All rights reserved.
*/
header('HTTP/1.1 500 Internal Server Error');
?>
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>500 Internal Server Error</title>
</head><body>
<h1>Internal Server Error</h1>
<p>The server encountered an internal error or misconfiguration and was unable
to complete your request. Please contact the server administrator, and inform
them of the time the error occurred, and anything you might have done that may
have caused the error. More information about this error may be available in the
server error log.<br>
<br>
Additionally, a 500 Internal Server Error error was encountered while trying to use
an ErrorDocument to handle the request.</p></body></html>
変更後

29. 書き換え後のエラー表示画面の例（存在しないディレクトリを指定した場合）
Mauticを使っていることを隠匿

30. 管理画面へのアクセス制限
• 特定のIPのみ管理画面にアクセス可能に
→ドキュメントルートの .htaccess を書き換える
• .htaccess を書き換えた後の注意
→ VerUP時に上書きされてしまうので、控えを用意
しておく
• 上書きされた状態から、控えを使って復旧し
たらパーミッション設定を忘れずに

31. 管理画面へのアクセス制限
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REMOTE_ADDR} !^192¥.168¥.1¥.100$
RewriteCond %{REQUEST_URI} /easfma/s/login
RewriteRule (.*) - [F,L]
RewriteCond %{REMOTE_ADDR} !^192¥.168¥.1¥.100$
RewriteCond %{REQUEST_URI} /easfma/s/dashboard
RewriteRule (.*) - [F,L]
RewriteCond %{REMOTE_ADDR} !^192¥.168¥.1¥.100$
RewriteRule (index.htm|index.html) - [F,L]
ドキュメントルートの.htaccessに以下の囲み内の記述を追加し、不特定多数のIPから管理
画面へのアクセスを制限する（※下線部はアクセスを許可するIPを指定する）
※.htaccessのパーミッションは600に設定する
※バージョンアップ時に上書きされるので、控えを用意しておいた方がよい

32. 書き換え後のエラー表示画面の例（許可されていないIPから管理画面にアクセス）
管理画面へのアクセス制限

33. おわりに
• これで多少はセキュリティ面が向上する…はず
• よりセキュリティを強化するならMautic本体と
データベースは別の機械にした方がよい
（＋データベース機をグローバルに公開しないように）
• さらに安定した運用を実現するためにデータ
ベースのレプリケーションをした方がよい
• それでもまだ飽き足らない場合には、
keepalivedなどを使った冗長化の検討を

34. 今回はセキュリティ部分のみでしたが・・・
CentOS 7をインストールした直後からの
Mauticの詳細なインストール手順は、
どこかで公開できるように努力いたします！

35. 御清聴ありがとうございました

36. CentOS 7をインストールした直後からの
Mauticの詳細なインストール手順は、
以下のURLにて公開しております
http://www.fides.dti.ne.jp/~kataama/svs/
mautic210/mautic210_install.htm
2016.08.24
追記