BLOGTIMES
2015/03/09

あなたの sshd の設定は大丈夫?

  ssh  reference 
このエントリーをはてなブックマークに追加

日本シーサート協議会が ssh の安全な設定についてまとめた「SSH サーバセキュリティ設定ガイド」という PDF を配布していたのでメモ。
うっかりデフォルト設定で使ってしまいがちな sshd をよりセキュアな設定にするためのマニュアルです。

活動内容|CSIRT - 日本シーサート協議会

SSH サービスは、サーバのリモート保守やファイル転送などで利用できます。その反面、サイバー攻撃活動の攻撃対象となり、踏み台として悪用され、第三者への不正アクセスに加担してしまう可能性があります。本ガイドでは、SSH サーバをサイバー攻撃から守るためのセキュリティ設定について解説します。

PermitRootLogin を no にしたり、ポート番号を変更するなど既に対策済の人も多いような一般的な対策もありますが、known_hosts のハッシュ化とか、特定のユーザーのみに適用される iptables のルールの書き方など知っていると役に立ちそうなものも意外と入っているので、一度目を通してみると良さそうです。ちなみに CentOS7 系を使っている場合は FirewallD が採用されている iptables とは設定方法が異なることには注意が必要です。

SSH サーバセキュリティ設定ガイド, p.13.

特定のユーザのみに許可したい通信に関するルール(jason:uid=5012は10.1.1.0/24に対してsshでアクセスできる) [root@sshsrv ~]#/sbin/iptables-A OUTPUT-d 10.1.1.0/24-m owner--uid-owner 5012-p tcp--dport 22-j ACCEPT

    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/7456
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン