2009/08/19

CentOS5.X 設定 No.2 ssh

sshは狙われやすいサービスです。
そこで色々対策を施していく必要があります。

注) ファイルの中身を変更しますので、前もってファイルのバックアップは行っておいて下さい。
[root@centos~]# cp -p [ファイルのパス] [ファイルのパス.back]
などで。
[root@centos~]# はコマンドを表す。
# はコメントか、ファイルないでコメントアウトされているものを表す。

1)ポート番号を変更する。
一番簡単なのはポート番号を22番から違う番号に変更する事です。
ウェルノウンポート以外に変更する必要があります。
ウェルノウンポート:ttp://e-words.jp/w/E382A6E382A7E383ABE3838EE382A6E383B3E3839DE383BCE38388.html
ウェルノウンポート一覧:ttp://www.security.ocn.ne.jp/information/port/port.html

sshのポート番号を変更する為には /etc/ssh/sshd_config の記述を変更します。
#Port 22
とありますので#を削除し、好きなポート番号へ変更します。
また、 /etc/services のsshのポート番号も変更しておきます。

注)ポート番号を変更するとiptablesによってパケットが破棄されます。
前もってiptablesを修正しておきましょう。
/etc/sysconfig/iptables の記述を変更します。
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
とあるので、22という数字を変更後のsshのポート番号に置き換えて下さい。
これで、ポート番号を変更しても大丈夫です。
また、外出先(職場や学校等)でのファイヤーウォールなどで22番ポートしか空いていない場合があります。
その場合は、ポート番号を変更せずに使用して下さい。
その場合、執拗な攻撃が来ますので、iptablesやTCP Wrapper等の設定を厳しくしておきましょう。

2)rootでのsshログインを不可にする。
/etc/ssh/sshd_config の記述を変更します。
#PermitRootLogin yes
とあるので#を削除し、yesをnoに変更。

3)sshログインを許可するユーザを設定
/etc/ssh/sshd_config の記述を変更します。
AllowUsers users
# usersは自分が使用するユーザ名に置き換える。
という記述を追加する。
これによって、許可されたユーザ以外はsshログインが不可能になる。

最後に、
[root@centos~]# /etc/init.d/sshd restart

行い、設定を反映させる。

0 件のコメント:

コメントを投稿