業務用エアコン関連の技術情報、エラーコード、環境問題対策に関する別サイト「エアコンの安全な修理・適切なフロン回収」

openSUSE Tumbleweed : SSHリモート接続 , Firewall , NTP

1.SSHによるリモート接続の設定

SSHはサーバーへリモートで接続するためのサービスで、今回はOSインストール時にインストールしております。
しかしデフォルトの設定ではややセキュリティに難がありますのでデフォルトの設定を変更してssh接続のセキュリティを高める設定を行います。

1.1 SSHサービスの設定ファイル変更

SSHサービスの設定を変更するために設定ファイルを変更します。
SSHサービスの設定ファイルは"/usr/etc/ssh/sshd_config"になります。設定ファイルをviエディターで開きます。(viエディタの使い方はネットに情報がたくさんありますので調べて下さい)
viエディタで開くと次のような画面が出ます。

# vi /usr/etc/ssh/sshd_config

20行目 : コメント解除しウェルノンポート以外の任意のポート番号に変えます
Port 2244

22行目 : コメント解除
ListenAddress 0.0.0.0

39行目 : コメント解除し変更する(rootユーザーでのログインを禁止する)
PermitRootLogin prohibit-password

SSH の再起動

# systemctl restart sshd.service

このままでは次に再起動したときSSHによるリモート接続ができなくなるので、次のファイアウォールの設定でSSHポート2244番を解放してください。

2.ファイアウォール(firewalld)の設定方法

openSUSEではファイアウォールはfirewalldがデフォルトに設定されており、OSインストール時に有効になっています。

①firewalld稼働状況確認

# firewall-cmd --state

「firewalld」が動作している場合は「running」、停止している場合は「not running」と表示されます

➁defaultゾーン設定を表示

# firewall-cmd --list-all

public (default, active)
  target: default
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: ens33
  sources:
  services: dhcpv6-client ssh
  ports:
  protocols: 
  forward: yes
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

上記の例ではpublic」ゾーンが「default」設定となっていて、「ens33」のNICに割り当てられており、サービス「dhcpv6-client」「ssh」が許可されていること等がわかります

➂「--permanent」オプションについて
サーバの再起動や「firewalld」サービスの再起動で設定が消えてしまわないようにするためには、
「--permanent」オプションを使用して設定を行う必要があります。その際、「--permanent」オプションを指定して設定を行った場合は、そのままでは「firewalld」に設定が反映されないため「fiewall-cmd  --reload」で設定を反映させる必要があります

例としてHTTPサービスをシステムを再起動しても初期化されず恒久的に利用するためには

# firewall-cmd --add-service=http --permanent
# firewall-cmd --reload

④起動・停止方法

「firewalld」は「systemd」で制御されているので、起動と停止には「systemctl」コマンドを使用

firewalldの起動
# systemctl start firewalld
firewalldの停止
# systemctl stop firewalld

2.2  変更したSSHポート2244番を解放する

# firewall-cmd --add-port=2244/tcp --permanent
# firewall-cmd --reload

3.Windowsからリモート接続

Windowsでの設定

Windowsからリモート接続するための設定を始めます、ターミナルエミュレーターは「Tera Term」を使用します。
Tera Termを起動し、起動画面のキャンセルをした後、Tera Termメニューの「File」から「New Connection」を選択する

次の画面になりますので次の通り入力します。
Host : サーバーのIPアドレス
TCP port : 上記で変更したSSHポート番号

「OK」をクリックすると、セキュリティの確認の画面になるので「Continue」をクリック

次の画面になる
User name : 一般ログインユーザー名
Passphrase : 上記ユーザーのパスワード

情報が正しければ正常にログインできるはずです。

4. NTP サーバーの設定

Chrony をインストールして、時刻同期のための NTP サーバーを構築します。なお、NTP は 123/UDP を使用します。

4.1 Chronyインストール

# zypper -n install chrony

4.2 Chrony の設定

# vi /etc/chrony.conf

# 8行目 : コメントにして、その下に追記
#! pool pool.ntp.org iburst
pool ntp.nict.jp iburst

# 30行目あたり: 時刻同期を許可する範囲を追記
allow 192.168.11.0/24

Chronyを有効にして起動

# systemctl start chronyd
# systemctl enable chronyd

4.3 NTPポートの開放

Firewalld を有効にしている場合は NTP サービスの許可が必要です。なお、NTP は 123/UDP を使用します。

# firewall-cmd --add-service=ntp --permanent
success
# firewall-cmd --reload
success

4.4 動作確認

# chronyc sources

MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^- ntp-b2.nict.go.jp             1   6    17    45   -982us[ -982us] +/- 6579us
^* ntp-b3.nict.go.jp             1   6    17    45    -63us[ +672us] +/- 5651us
^- ntp-a3.nict.go.jp             1   6    17    45   -866us[ -866us] +/- 6513us
^- ntp-k1.nict.jp                1   6    17    45   -913us[ -913us] +/- 3812us
^+ 172-105-192-74.ip.linode>     2   6    17    46   +426us[+1161us] +/- 5830us