Contents
1. SSHサービスのセキュリティ設定
SSHサービスはデフォルトでrootユーザーのログインを許可しています。rootユーザーはユーザー名が既に判明しているためパスワードが判明すると、管理者権限でサーバーへログイン出来るため、これを拒否する設定を行います
1.1 一般ユーザーの作成
Debianのインストール時に一般ユーザーを作成している場合は、本手順は不要です。
サー バーに作成されているユーザーがrootのみの場合、SSHによるリモートログインが出来なくなりますので、OSのインストール時にユーザーを作成していない場合、事前にユーザーを作成する必要があります。OSのインストール時にユーザーを作成している場合は、本手順は不要です。
ユーザーの作成は"useradd"コマンドで行います。"-m"オプションでホームディレクトリの作成、"-p"オプションでパスワードを指定します。
例えばユーザーアカウント名として「debianuser」、パスワードとして「123456」を設定する場合は、以下のように実行します。
|
1 |
# useradd -m -p 123456 debianuser |
1.2 SSHサービスの設定ファイル変更
SSHサービスの設定を変更するために設定ファイルを変更します。SSHサービスの設定ファイル は"/etc/ssh/sshd_config"になります。
今回はデフォルトのSSHポート22から2244に変更して進めます。
|
1 |
# vi /etc/ssh/sshd_config |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 |
# $OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $ # This is the sshd server system-wide configuration file. See # sshd_config(5) for more information. # This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin # The strategy used for options in the default sshd_config shipped with # OpenSSH is to specify options with their default value where # possible, but leave them commented. Uncommented options override the # default value. Include /etc/ssh/sshd_config.d/*.conf #Port 22 Port 2244 #AddressFamily any ListenAddress 0.0.0.0 #ListenAddress :: #HostKey /etc/ssh/ssh_host_rsa_key #HostKey /etc/ssh/ssh_host_ecdsa_key #HostKey /etc/ssh/ssh_host_ed25519_key # Ciphers and keying #RekeyLimit default none # Logging #SyslogFacility AUTH #LogLevel INFO # Authentication: #LoginGraceTime 2m PermitRootLogin prohibit-password #StrictModes yes #MaxAuthTries 6 #MaxSessions 10 |
#14行目にssh接続ポート2244を追加
# port 22
Port 2244
#16行目
#ListenAddress 0.0.0.0 をコメント解除
#33行目付近に記載がある”PermitRootLogin prohibit-password”パラメータを変更します。パラメータ”prohibit-password”はrootについてはパスワード認証を無効にするという意味合いになります。
# Authentication:
#LoginGraceTime 2m
#PermitRootLogin prohibit-password
↓ コメント#を削除
PermitRootLogin prohibit-password
SSHサービスの再起動
|
1 |
# systemctl restart sshd |
2. ファイヤーウォールの設定
Debianでは「ufw」というソフトウェアを使ってファイアウォールを設定することが多いので、ufwを利用したファイアウォール設定を行います。
ufwはOSの導入時にはインストールされていませんので、設定を行う前にufwパッケージのインストールを行います。インストール後に最低限のフィルタ設定を行う手順を紹介します。
ufwで設定するフィルタルール
• サーバーに転送されるパケットは全て拒否
• サーバーから外部へ送信されるパケットは全て許可
• 最初に許可するポートはSSH用のポート
• サーバーに入ってくるパケットを制限
2.1 ufwパッケージのインストール
|
1 |
# apt install -y ufw |
ufwパッケージのインストール後の確認
インストールされたパッケージを、パッケージを表示するための"dpkg"コマンドで確認
|
1 2 |
# dpkg -l | grep ufw ii ufw 0.36-1 all program for managing a Netfilter firewall |
インストールした「ufwパッケージ」が表示されました
ufwの動作状況を確認するために"systemctl status"コマンドを実行
|
1 2 3 4 5 |
# systemctl status ufw ● ufw.service - Uncomplicated firewall Loaded: loaded (/lib/systemd/system/ufw.service; enabled; vendor preset: e> Active: inactive (dead) Docs: man:ufw(8) |
ufwサービスが停止していることが「Active: inactive (dead)」と表示されていることから確認できます。
ufwを有効にします。
|
1 2 3 |
# systemctl enable ufw Synchronizing state of ufw.service with SysV service script with /lib/systemd/systemd-sysv-install. Executing: /lib/systemd/systemd-sysv-install enable ufw |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
# ufw enable Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup # systemctl start ufw # systemctl status ufw ● ufw.service - Uncomplicated firewall Loaded: loaded (/lib/systemd/system/ufw.service; enabled; vendor preset: enab Active: active (exited) since Fri 2023-02-10 16:08:17 JST; 11s ago Docs: man:ufw(8) Process: 1857 ExecStart=/lib/ufw/ufw-init start quiet (code=exited, status=0/S Main PID: 1857 (code=exited, status=0/SUCCESS) Feb 10 16:08:17 Lepard systemd[1]: Starting Uncomplicated firewall... Feb 10 16:08:17 Lepard ufw-init[1857]: Firewall already started, use 'force-relo Feb 10 16:08:17 Lepard systemd[1]: Started Uncomplicated firewall. |
ufwが起動していることがわかります(active (exited))
2.2 基本的なファイアウォールルールの設定
ufwを有効にするとデフォルトのファイアウォールルールが適用されます。このまま有効にするとサーバーと通信ができなくなる可能性がありますので、ufwを有効にする前に基本的なルールを設定しておきます。
2.2.1 受信パケット デフォルトルールの設定
まず受信パケットに対するルールを設定します。受信パケットは特定の通信以外、全てを拒否する形が一般的なルールになります。全ての受信パケットを基本的に拒否するように"ufw default deny incoming"を実行します。
|
1 2 3 |
# ufw default deny incoming Default incoming policy changed to 'deny' (be sure to update your rules accordingly) |
2.2.2 送信パケット デフォルトルールの設定
送信パケットは全てを許可する形が一般的なルールになります。送信パケットを基本的に許可するように"ufw default allow outgoing"を実行します。
|
1 2 3 |
# ufw default allow outgoing Default outgoing policy changed to 'allow' (be sure to update your rules accordingly) |
2.3 SSHポートの許可
ufwの自動起動を有効にします。が、SSHリモート接続できなくなる可能性がありますので、先にSSH接続の許可を設定します。デフォルトのSSHポートは22です。次のコマンドで許可設定
|
1 2 |
# ufw allow ssh # ufw reload |
独自に2244ポート(例)に設定している場合は
|
1 2 |
# ufw allow 2244/tcp # ufw reload |
2.4 ufwの設定確認
有効後にファイアウォールに設定したルールの確認を行います。"ufw status verbose"を実行します。
|
1 2 3 4 5 6 7 8 9 10 11 |
# ufw status verbose Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), disabled (routed) New profiles: skip To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 2244/tcp ALLOW IN Anywhere 22/tcp (v6) ALLOW IN Anywhere (v6) 2244/tcp (v6) ALLOW IN Anywhere (v6) |
2.5 サーバーに入ってくるパケットを制限許可
ufwの設定で「ポート番号◯◯に来る通信を許可」としたい場合は以下のコマンド
# ufw allow [ポート番号]
逆に「ポート番号◯◯に来る通信を許可しない」としたい場合は以下のコマンド
# ufw deny [ポート番号]
2.5.1 連続してアクセスしてくるIPアドレスの接続を許可しない
先程設定したSSHポート2244を例にして説明
2244番ポートに対して適当なパスワードを打ち込み、偶然一致を試みてログイン出来るように連続でアクセスを試みてきます。これをブルートフォース攻撃とも言います。
これの対策として、「連続してアクセスしてくるIPアドレスの接続を許可しない」設定をします。以下のコマンドを打ちます。
|
1 |
# ufw limit 2244 |
これで「30秒間の間に6回以上接続を試みた IP アドレスを許可しない」ルールが設定されます。
設定を確認します。以下のように表示。
|
1 2 3 4 5 6 |
# ufw status Status: active To Action From -- ------ ---- 2244 LIMIT Anywhere 2244(v6) 1 LIMIT Anywhere (v6) |
2.5.2 特定のネットワークからのssh接続のみ許可
上記の設定を施したとしても外部のインターネットにsshのポートを解放しているので、接続の回数に制限を設けたとしても、何らかの方法でパスワードを推測されて接続をされてしまったり、脆弱性を付いた攻撃などから接続をされてしまうことも考えられます。
そのため、sshの接続を許可するのは内部からのネットワークのみにして、外部からのssh接続は全て許可しない設定にしてしまいましょう。
例としてローカルエリアネットワーク内には「192.168.11.10」のIPアドレスが振られたホストがあります。このホストからのみssh接続を許可する。又はこのネットワーク(192.168.11.0/24)からのみssh接続を許可するように設定するには以下のようなコマンドを打ちます。
|
1 2 |
192.168.11.0/24からのssh接続を許可 # ufw allow from 192.168.11.0/24 to any port 2244 |
|
1 2 |
192.168.11.10からのssh接続を許可 # ufw allow from 192.168.11.10 to any port 2244 |
設定を確認してみると
|
1 2 3 4 5 6 7 8 |
192.168.11.0/24からのssh接続を許可した場合の結果 # ufw status Status: active To Action From — —— —- 2244 LIMIT Anywhere 2244 ALLOW 192.168.11.0/24 2244 (v6) LIMIT Anywhere (v6) |
LIMITをつけているルールを削除します。ルール番号を表示して設定を確認します。
|
1 2 3 4 5 6 7 8 |
192.168.11.0/24からのssh接続を許可した場合の結果 # ufw status numbered Status: active To Action From — —— —- [ 1] 2244 LIMIT IN Anywhere [ 2] 2244 ALLOW IN 192.168.11.0/24 [ 3] 2244 (v6) LIMIT IN Anywhere (v6) |
1のルールを番号を指定して削除。
|
1 2 3 4 5 |
# ufw delete 1 Deleting: limit 2244 Proceed with operation (y|n)? y Rule deleted |
2.5.3 web等その他サービスの許可
ポート番号を指定して接続を許可する方法と、アプリケーションを指定しての設定も行えます。
以下のコマンドでアプリケーションの一覧が見れます。
|
1 |
# vi /etc/services |
たとえばWEBサービスのhttpとhttpsを有効にするには
|
1 2 3 4 5 6 7 |
# ufw allow http Rule added Rule added (v6) # ufw allow https Rule added Rule added (v6) # ufw reload |
2.5.4 ipv6のufwを無効
|
1 2 |
# vi /etc/default/ufw IPV6=yes → IPV6=no 書き換える |
すべての作業の後ファイアウオールを再起動
|
1 |
# systemctl restart ufw |