BLOGTIMES
« :: »
2015/03/09

あなたの sshd の設定は大丈夫?

  ssh  reference 
このエントリーをはてなブックマークに追加

日本シーサート協議会が ssh の安全な設定についてまとめた「SSH サーバセキュリティ設定ガイド」という PDF を配布していたのでメモ。
うっかりデフォルト設定で使ってしまいがちな sshd をよりセキュアな設定にするためのマニュアルです。

活動内容|CSIRT - 日本シーサート協議会

SSH サービスは、サーバのリモート保守やファイル転送などで利用できます。その反面、サイバー攻撃活動の攻撃対象となり、踏み台として悪用され、第三者への不正アクセスに加担してしまう可能性があります。本ガイドでは、SSH サーバをサイバー攻撃から守るためのセキュリティ設定について解説します。

PermitRootLogin を no にしたり、ポート番号を変更するなど既に対策済の人も多いような一般的な対策もありますが、known_hosts のハッシュ化とか、特定のユーザーのみに適用される iptables のルールの書き方など知っていると役に立ちそうなものも意外と入っているので、一度目を通してみると良さそうです。ちなみに CentOS7 系を使っている場合は FirewallD が採用されている iptables とは設定方法が異なることには注意が必要です。

SSH サーバセキュリティ設定ガイド, p.13.

特定のユーザのみに許可したい通信に関するルール(jason:uid=5012は10.1.1.0/24に対してsshでアクセスできる) [root@sshsrv ~]#/sbin/iptables-A OUTPUT-d 10.1.1.0/24-m owner--uid-owner 5012-p tcp--dport 22-j ACCEPT

    by hsur at 20:31 [4年前][3年前][2年前][1年前][1年後][2年後][3年後][4年後][5年後] |
    こんな記事もあります 「サーバ ガイド シーサート
    2024 年の人気エントリ Top 100
    国分生協病院のランサムウェア被害は認証がない RDP が原因?
    世界サーバ投げ選手権 (WSTC) が開催されるらしい
    ローマ字表記のルールが変わる?
    Windows Update の日 ( 2024 年 2 月 )
    中国企業が対日工作として偽サイトを作成している
    メールけいしちょうは当分の間 Gmail への配信が不可能に
    さくらの DKIM/DMARC 対応は 1/31 11:00 ~ 順次リリース
    能動的サイバー防御についての法案は提出見送りに
    docker-compose を使って Neo4J を立てる
    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/7456
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン

    « :: »
    Copyright © 2004-2023 by CLES All Rights Reserved.