サーバーのセキュリティを高めるSSHの設定

一気にSSHの記事を書きましたが、そもそも SSHの設定 を見直すことも大事だったりします。ちょうど今年の夏くらいに、設置しているサーバーに不正アクセスがあって、historyコマンドを眺めていたら、韓国から僕のサーバーをファイルサーバーとして利用されそうだったのがわかったことがありました。まじ危険です。

この記事では SSHで最低限設定すべき項目 を挙げておきます。Ubuntuだと/etc/ssh/sshd_configが設定ファイルです。

Port 1193

デフォルトポートの22は危険。ブルートフォースアタックされる格好の的です。値は0 ～ 65535の間で決められます。

ポート番号を変えておくことで、アタックの危険を回避しつつ、ログの肥やしを減らすことができます。

Protocol 2

SSHプロトコル2でのみ接続をさせます。Protocol 2,1とかなってたら2だけにします。

RSAAuthentication yes

PubkeyAuthentication yes

AuthorizedKeyFile .ssh/authorized_keys 公開鍵と秘密鍵、パスフレーズ認証を許可します。

PermitRootLogin no

rootによるログインを許可しない。

PasswordAuthentication no

公開鍵認証設定が済んでいるなら、パスワード認証を無効にします。

MaxStartups 5:50:10

MaxStartupsは不正なアクセスがたくさん来る場合に有効です。上の例では「5」つまでの接続要求を受け付け、6つを超えるそれ以降の要求を「50」％の割合で拒否し、さらに要求が増え続けて「10」つを超えると以降すべてを拒否します。

AllowUsers hogehoge

AllowUsersは記述されたユーザー名のみ接続を許可します。ITmedia エンタープライズ : Linux Tips「SSHピンポンダッシュを防ぎたい」 SSHのセキュリティを高めるためのハウツー – SourceForge.JP Magazine : オープンソースの話題満載

Images