「エアコンの安全な修理・適切なフロン回収」はこちら

Ubuntu Server 22.04 : SSH , Firewall設定

1. SSHサービスのセキュリティ設定

SSHサービスはデフォルトでrootユーザーのログインを許可しています。rootユーザーはユーザー名が既に判明しているためパスワードが判明すると、管理者権限でサーバーへログイン出来るため、これを拒否する設定を行います

1.1 一般ユーザーの作成

Ubuntu 22のインストール時に一般ユーザーを作成している場合は、本手順は不要です。
サー バーに作成されているユーザーがrootのみの場合、SSHによるリモートログインが出来なくなりますので、OSのインストール時にユーザーを作成していない場合、事前にユーザーを作成する必要があります。OSのインストール時にユーザーを作成している場合は、本手順は不要です。
ユーザーの作成は"useradd"コマンドで行います。"-m"オプションでホームディレクトリの作成、"-p"オプションでパスワードを指定します。
例えばユーザーアカウント名として「ubuntuuser」、パスワードとして「123456」を設定する場合は、以下のように実行します。

1.2 SSHサービスの設定ファイル変更

SSHサービスの設定を変更するために設定ファイルを変更します。SSHサービスの設定ファイル は"/etc/ssh/sshd_config"になります。
今回はデフォルトのSSHポート22から2244に変更して進めます。

#15行目にssh接続ポート2244を追加
# port 22
Port 2244

#17行目 #ListenAddress 0.0.0.0 をコメント解除

#34行目付近に記載がある"PermitRootLogin prohibit-password"パラメータを変更します。パラメータ"prohibit-password"はrootについてはパスワード認証を無効にするという意味合いになります。
# Authentication:
#LoginGraceTime 2m
#PermitRootLogin prohibit-password
↓ コメントアウト#を削除
PermitRootLogin prohibit-password

SSHサービスの再起動

2. ファイヤーウォールの設定

Ubuntuでは「ufw」というソフトウェアを使ってファイアウォールを設定することが多いので、ufwを利用したファイアウォール設定を行います。
ufwはOSの導入時にインストールされています。インストール後に最低限のフィルタ設定を行う手順を紹介します。
ufwで設定するフィルタルール
• サーバーに転送されるパケットは全て拒否
• サーバーから外部へ送信されるパケットは全て許可
• 最初に許可するポートはSSH用のポート(2244)
• サーバーに入ってくるパケットを制限

2.1 ufwパッケージの確認

インストールされているパッケージを、パッケージを表示するための"dpkg"コマンドで確認

インストールされている「ufwパッケージ」が表示されました
ufwの動作状況を確認するために"systemctl status"コマンドを実行

ufwサービスが起動していることが「Active: inactive (exited)」と表示されていることから確認できます。

ufwを有効にします。

2.2 基本的なファイアウォールルールの設定

ufwを有効にするとデフォルトのファイアウォールルールが適用されます。このまま有効にするとサーバーと通信ができなくなる可能性がありますので、ufwを有効にする前に基本的なルールを設定しておきます。

2.2.1 受信パケット デフォルトルールの設定

まず受信パケットに対するルールを設定します。受信パケットは特定の通信以外、全てを拒否する形が一般的なルールになります。全ての受信パケットを基本的に拒否するように"ufw default deny incoming"を実行します。

2.2.2 送信パケット デフォルトルールの設定

送信パケットは全てを許可する形が一般的なルールになります。送信パケットを基本的に許可するように"ufw default allow outgoing"を実行します。

2.3 SSHポートの許可

SSH接続の許可を設定します。デフォルトのSSHポートは22です。次のコマンドで許可設定

独自に2244ポート(例)に設定している場合は

2.4 ufwの設定確認

有効後にファイアウォールに設定したルールの確認を行います。"ufw status verbose"を実行します。

2.5 サーバーに入ってくるパケットを制限許可

ufwの設定で「ポート番号◯◯に来る通信を許可」としたい場合は以下のコマンド
# ufw allow [ポート番号]/tcp
逆に「ポート番号◯◯に来る通信を許可しない」としたい場合は以下のコマンド
# ufw deny [ポート番号]/tcp

2.5.1 連続してアクセスしてくるIPアドレスの接続を許可しない

先程設定したSSHポート2244を例にして説明
ssh接続は2244番ポートに変更のため、2244番への通信を許可します。
2244番ポートに対して適当なパスワードを打ち込み、偶然一致を試みてログイン出来るように連続でアクセスを試みてきます。これをブルートフォース攻撃とも言います。
これの対策として、「連続してアクセスしてくるIPアドレスの接続を許可しない」設定をします。以下のコマンドを打ちます。

これで「30秒間の間に6回以上接続を試みた IP アドレスを許可しない」ルールが設定されます。
設定を確認します。以下のように表示。

2.5.2 特定のネットワークからのssh接続のみ許可

上記の設定を施したとしても外部のインターネットにsshのポートを解放しているので、接続の回数に制限を設けたとしても、何らかの方法でパスワードを推測されて接続をされてしまったり、脆弱性を付いた攻撃などから接続をされてしまうことも考えられます。
そのため、sshの接続を許可するのは内部からのネットワークのみにして、外部からのssh接続は全て許可しない設定にしてしまいましょう。
例としてローカルエリアネットワーク内には「192.168.11.10」のIPアドレスが振られたホストがあります。このホストからのみssh接続を許可する。又はこのネットワーク(192.168.11.0/24)からのみssh接続を許可するように設定するには以下のようなコマンドを打ちます。

設定を確認してみると

LIMITをつけているルールを削除します。ルール番号を表示して設定を確認します。

1のルールを番号を指定して削除。

2.5.3 web等その他サービスの許可

ポート番号を指定して接続を許可する方法と、アプリケーションを指定しての設定も行えます。
以下のコマンドでアプリケーションの一覧が見れます。

たとえばWEBサービスのhttpとhttpsを有効にするには

2.5.4 ipv6のufwを無効

すべての作業の後ファイアウオールを再起動

 

タイトルとURLをコピーしました