「エアコンの安全な修理・適切なフロン回収」はこちら

ArchLinux ; SSH , ファイアウォール

1. SSHサービスのセキュリティ設定

SSHサービスの設定を変更するために設定ファイルを変更します。SSHサービスの設定ファイル は"/etc/ssh/sshd_config"です。
今回はデフォルトのSSHポート22から2244に変更して進めます
/etc/ssh/sshd_configを下記のとおり変更する

■14行目にssh接続ポート2244を追加
#port 22
Port 2244
■16行目
#ListenAddress 0.0.0.0 をコメント解除
■33行目付近に記載がある”PermitRootLogin prohibit-password”パラメータを変更します。パラメータ”prohibit-password”はrootについてはパスワード認証を無効にするという意味合いになります。
#PermitRootLogin prohibit-password
↓ コメント#を削除
PermitRootLogin prohibit-password

SSHサービスの再起動

2. ファイアウォール(ufw)

2.1 インストール

ufwサービスが停止していることが「Active: inactive (dead)」と表示されていることから確認できます

2.2 ufwを有効にします

2.3 ファイアウォールルールの設定
ufwを有効にするとデフォルトのファイアウォールルールが適用されます。このまま有効にするとサーバーと通信ができなくなる可能性がありますので、ufwを有効にする前に基本的なルールを設定しておきます。

受信パケット デフォルトルールの設定
まず受信パケットに対するルールを設定します。受信パケットは特定の通信以外、全てを拒否する形が一般的なルールになります。全ての受信パケットを基本的に拒否するように"ufw default deny incoming"を実行します。

送信パケット デフォルトルールの設定
送信パケットは全てを許可する形が一般的なルールになります。送信パケットを基本的に許可するように"ufw default allow outgoing"を実行します。

2.4 SSHポートの許可
ufwの自動起動を有効にします。が、SSHリモート接続できなくなる可能性がありますので、先にSSH接続の許可を設定します。上記で変更したSSHポート2244を次のコマンドで許可設定

2.5 ufwの設定確認
有効後にファイアウォールに設定したルールの確認を行います。"ufw status verbose"を実行します。

2.6 ipv6を無効化する場合

2.7 ufwの再起動

3. 公開鍵暗号方式を用いた認証によるSSH接続

他のディストリビューションでの方式と同様ですので割愛します。
下記等を参考にしてください。

タイトルとURLをコピーしました