2006年02月11日
Tweet
さて、諸事情により SSH の接続を許可しておく必要があり、そのためにセキュリティをどのように確保するべきか考えていました。
そして、いくつか試したのですが、下記にその方法について記述しておきます。
■ iptables によるフィルタ。
範囲が広すぎて有効性に疑問はありますが、SSH の接続は日本からのみ許可するように設定しました。IP アドレスによるフィルタリングなので、それ以上小さな地域(県とか)を特定するのが非常に難しい為、日本という比較的大きな区切りになっています。
やはり、韓国や中国、アメリカ、カナダからの不正アクセスが多かったので、それを拒否してもよかったのですが、日本からのみの接続を許可しました。
もう少し特定できればいいのですが、自分に関連するプロバイダからのみの接続を許可でもいいかもしれません。
上記 iptables の設定で、不正アクセスはだいぶ減りました。しかし、まだ国内からのアタックが多くあります。
■ SSH の設定を変更。
SSHピンポンダッシュを防ぎたい を参考に、
・sshd_config の値を変更しました。
>> MaxStartups 2:80:5
用途が用途なので、実際には、もうちょっとゆるくしています。
この設定で、アタックがきている最中に接続を試すと、自分もはじかれたりはしないのかちょっと心配です。今のところそういったことはありませんが。
>> AllowUsers my_login_user
ログインできるユーザを指定しました。
ごく少人数のユーザがログインするだけなので、そんなに手間じゃありませんでした。
上記3つの設定によってログに出力されるアタックは相当減りました。よかった。
今後は以下のことを考えています。
・接続元IPを絞る。
・証明書を使う。
・ポート番号を変える。
そして、いくつか試したのですが、下記にその方法について記述しておきます。
■ iptables によるフィルタ。
範囲が広すぎて有効性に疑問はありますが、SSH の接続は日本からのみ許可するように設定しました。IP アドレスによるフィルタリングなので、それ以上小さな地域(県とか)を特定するのが非常に難しい為、日本という比較的大きな区切りになっています。
やはり、韓国や中国、アメリカ、カナダからの不正アクセスが多かったので、それを拒否してもよかったのですが、日本からのみの接続を許可しました。
もう少し特定できればいいのですが、自分に関連するプロバイダからのみの接続を許可でもいいかもしれません。
上記 iptables の設定で、不正アクセスはだいぶ減りました。しかし、まだ国内からのアタックが多くあります。
■ SSH の設定を変更。
SSHピンポンダッシュを防ぎたい を参考に、
・sshd_config の値を変更しました。
>> MaxStartups 2:80:5
用途が用途なので、実際には、もうちょっとゆるくしています。
この設定で、アタックがきている最中に接続を試すと、自分もはじかれたりはしないのかちょっと心配です。今のところそういったことはありませんが。
>> AllowUsers my_login_user
ログインできるユーザを指定しました。
ごく少人数のユーザがログインするだけなので、そんなに手間じゃありませんでした。
上記3つの設定によってログに出力されるアタックは相当減りました。よかった。
今後は以下のことを考えています。
・接続元IPを絞る。
・証明書を使う。
・ポート番号を変える。
