Contents
1.SSHによるリモート接続の設定
SSHはサーバーへリモートで接続するためのサービスで、今回はOSインストール時にインストールしております。
しかしデフォルトの設定ではややセキュリティに難がありますのでデフォルトの設定を変更してssh接続のセキュリティを高める設定を行います。
1.1 SSHサービスの設定ファイル変更
SSHサービスの設定を変更するために設定ファイルを変更します。
SSHサービスの設定ファイルは"/usr/etc/ssh/sshd_config"になります。設定ファイルをviエディターで開きます。(viエディタの使い方はネットに情報がたくさんありますので調べて下さい)
viエディタで開くと次のような画面が出ます。
|
1 |
# vi /usr/etc/ssh/sshd_config |
|
1 2 3 4 5 6 7 8 |
20行目 : コメント解除しウェルノンポート以外の任意のポート番号に変えます Port 2244 22行目 : コメント解除 ListenAddress 0.0.0.0 39行目 : コメント解除し変更する(rootユーザーでのログインを禁止する) PermitRootLogin prohibit-password |
SSH の再起動
|
1 |
# systemctl restart sshd.service |
このままでは次に再起動したときSSHによるリモート接続ができなくなるので、次のファイアウォールの設定でSSHポート2244番を解放してください。
2.ファイアウォール(firewalld)の設定方法
openSUSEではファイアウォールはfirewalldがデフォルトに設定されており、OSインストール時に有効になっています。
①firewalld稼働状況確認
|
1 |
# firewall-cmd --state |
「firewalld」が動作している場合は「running」、停止している場合は「not running」と表示されます
または
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
# systemctl status firewalld ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; preset: disabled) Active: active (running) since Wed 2025-08-27 11:22:58 JST; 7min ago Invocation: 3d94e5632b6e4e83b47e172e89974e9b Docs: man:firewalld(1) Main PID: 867 (firewalld) Tasks: 2 (limit: 2224) CPU: 453ms CGroup: /system.slice/firewalld.service mq867 /usr/bin/python3.13 /usr/sbin/firewalld --nofork --nopid Aug 27 11:22:58 Lepard systemd[1]: Starting firewalld - dynamic firewall daemon... Aug 27 11:22:58 Lepard systemd[1]: Started firewalld - dynamic firewall daemon. |
※停止している場合
Active: inactive (dead)と表示され、firewalldが停止していることが分かります
➁defaultゾーン設定を表示
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
# firewall-cmd --list-all public (default, active) target: default ingress-priority: 0 egress-priority: 0 icmp-block-inversion: no interfaces: ens33 sources: services: dhcpv6-client ssh ports: protocols: forward: yes masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: |
上記の例ではpublic」ゾーンが「default」設定となっていて、「ens33」のNICに割り当てられており、サービス「dhcpv6-client」「ssh」が許可されていること等がわかります
➂「--permanent」オプションについて
サーバの再起動や「firewalld」サービスの再起動で設定が消えてしまわないようにするためには、
「--permanent」オプションを使用して設定を行う必要があります。その際、「--permanent」オプションを指定して設定を行った場合は、そのままでは「firewalld」に設定が反映されないため「fiewall-cmd --reload」で設定を反映させる必要があります
例としてHTTPサービスをシステムを再起動しても初期化されず恒久的に利用するためには
|
1 2 |
# firewall-cmd --add-service=http --permanent # firewall-cmd --reload |
④起動・停止方法
「firewalld」は「systemd」で制御されているので、起動と停止には「systemctl」コマンドを使用
|
1 2 3 4 |
firewalldの起動 # systemctl start firewalld firewalldの停止 # systemctl stop firewalld |
2.2 変更したSSHポート2244番を解放する
|
1 2 |
# firewall-cmd --add-port=2244/tcp --permanent # firewall-cmd --reload |
3.Windowsからリモート接続
Windowsでの設定
Windowsからリモート接続するための設定を始めます、ターミナルエミュレーターは「Tera Term」を使用します。
Tera Termを起動し、起動画面のキャンセルをした後、Tera Termメニューの「File」から「New Connection」を選択する
次の画面になりますので次の通り入力します。
Host : サーバーのIPアドレス
TCP port : 上記で変更したSSHポート番号
「OK」をクリックすると、セキュリティの確認の画面になるので「Continue」をクリック
次の画面になる
User name : 一般ログインユーザー名
Passphrase : 上記ユーザーのパスワード
情報が正しければ正常にログインできるはずです。
4. NTP サーバーの設定
Chrony をインストールして、時刻同期のための NTP サーバーを構築します。なお、NTP は 123/UDP を使用します。
4.1 Chronyインストール
|
1 |
# zypper -n install chrony |
4.2 Chrony の設定
|
1 2 3 4 5 6 7 8 9 |
# vi /etc/chrony.conf # 8行目 : コメント #! pool pool.ntp.org iburst # 9行目:追記 server ntp.nict.jp iburst server ntp1.jst.mfeed.ad.jp iburst # 30行目あたり: 時刻同期を許可する範囲を追記 allow 192.168.11.0/24 |
|
1 2 |
# systemctl start chronyd # systemctl enable chronyd |
4.3 NTPポートの開放
Firewalld を有効にしている場合は NTP サービスの許可が必要です。なお、NTP は 123/UDP を使用します。
|
1 2 3 4 |
# firewall-cmd --add-service=ntp --permanent success # firewall-cmd --reload success |
4.4 動作確認
|
1 2 3 4 5 6 7 |
# chronyc sources MS Name/IP address Stratum Poll Reach LastRx Last sample =============================================================================== ^* ntp-a3.nict.go.jp 1 6 17 42 +465us[-1231us] +/- 7110us ^- ntp1.jst.mfeed.ad.jp 2 6 17 42 +2011us[ +315us] +/- 32ms ^- 103.131.151.20 3 6 17 42 +3936us[+2241us] +/- 45ms |