このブログを自分のサーバーに移行しようと目論んでおり、設定等についてもう一度確認・勉強したかったからだ。
SSHの設定について、入門書やネット上の解説等をいくつか参考にして、『これだけやっとけば概ね大丈夫だろう』という設定に辿り着いた(つもり)なのでまとめておく。
『/etc/ssh/sshd_config』を編集
① SSH用のポート番号を変更する。
不正なアクセスを防止するため。
デフォルト: #Port 22
変更後 : Port 任意のポート番号
変更後のポート番号は、プライベート ポート番号(49152~65535)の中から選ぶのが良さげそう。
なお、変更後のポートを開くのを忘れると、アクセスできなくなってしまうので注意。
『/etc/sysconfig/iptables 』を編集して、ポートを開く。
iptablesは、ssh用としてデフォルトで22番ポートが開かれているので、この番号を変更する。
デフォルト:-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
変更後 :-A INPUT -m state --state NEW -m tcp -p tcp --dport 任意のポート番号 -j ACCEPT
② rootのログインを禁止する。
rootでの操作を必要最小限にするため。
デフォルト: #PermitRootLogin yes
変更後 : PermitRootLogin no
③ パスワード認証を禁止する。
よりセキュアな公開鍵認証での接続を強制するため。
あらかじめ、公開鍵認証での接続の設定をしておかないと、SSHでログインできなくなるので注意。
デフォルト: #PasswordAuthentication yes
変更後 : PasswordAuthentication no
④ SSH接続を許可するユーザを制限する。
不正なアクセスを防止するため。
追記 : AllowUsers ユーザ名
⑤ SSHのバージョンを2に限定(デフォルト)
脆弱性が確認されているSSHバージョン1の使用を避けるため。
デフォルト: Protocol 2
以上
0 件のコメント:
コメントを投稿