文字(文章)多めのブログです。喫煙関係、うまいもん、パソコンのこと等をマイペースで記します。高知市に住んでいるので地元の情報も投稿します。
さくらVPSにdebian8をインストールして、TCPWrapperで制限を掛けましたが、まだ簡単にできるセキュリティ対策は有るので設定しておきます。
SSHサーバの認証は、一般的なパスワード認証に加えて、SSL証明書による電子鍵による接続認証を使うことが出来ます。
この電子鍵にはパスフレーズと呼ばれる一種のパスワードも組み合わせており、電子鍵のペアを組み合わせる事とパスフレーズを正しく入力できる事の二段階のセキュリティを実現出来ますので、セキュリティ目的には使わないと損だと言える位の効果があると思います。
私は今まで使っていた鍵のペアを持っている(バックアップしていた)のでそれを使いますが、LinuxのSSHにはたいてい鍵を生成する機能が付いているのでそれで生成しても良いでしょう。
Linuxには大抵、TCPWrapperという仕組みがあって、アクセスしてくる接続を拒否したり、許可したりという事が比較的簡単にできる様になっています。
TCPWrapperは、タイトルの通り2つのファイルで制御されています。
この2つのファイルは、allow(許可)、deny(拒否)という意味なので、設定のポリシーにもよりますが、denyにALL記述(全拒否)した状態で、allowに特定のIPアドレスやドメイン(プロバイダ)を記述して一部だけ許可するのが一般的かなと思います。
ウチのサーバーの場合は、Webサーバーとしても稼働させたいので、ネット接続全拒否は現実的では無くその方法は取りませんが、一番安全な方法としては全拒否して一部だけ許可とする事でしょう。
なお、全拒否と表現しましたが、「SSH接続だけ全拒否」ということも出来ますので、ウチの場合はSSHは全拒否、一部のSSHだけ許可という感じで細かく制御する方法を取らざるを得ません。それでもTCPWrapperによる接続制限は手軽なので是非使いたい方法です。
“さくらVPSでdebianを使っていく(3)~hosts.allowとhosts.denyで不正アクセスを拒否る” の続きを読む
ちょっとした悪あがきなのですが、SSHのポート番号(22)を任意に変更しておくと、世界中からアタックされる確率が少し減るだろうと期待して、以前のdebian環境では施していました。今回もそれをやっておきます。手っ取り早くできるので応急処置としても使える手法です。
$ sudo vi /etc/ssh/sshd_config
コンフィグファイルを開いて、Port番号のところw探します。多分最初の方ですが、viなら検索機能が使えるので、「/Port」と入力すると検索出来ます。「/」は検索するワードを指定するコマンドです。
/Port
コンフィグの中身を編集します。#を行頭につけるとコメントアウトなので残して置けます。22を止めて12345に変更しました。接続する場合には標準的なsshのポート22から12345に変更している事に注意が必要です。自分だけが知っていれば良い秘密の入り口です。
# What ports, IPs and protocols we listen for
#Port 22
Port 12345
そしてsshdを再起動して変更を反映させます。debianではsshというサービス名になっている様ですので下記の様にしました。
$ sudo /etc/init.d/ssh restart
これでsshは12345ポートじゃないとアクセス出来ません。もう一つセキュリティ対策の為に鍵認証の設定もして置きたいのですがそれはまた別途。