sshdのポート変更は簡単でありながら非常に効果の高いセキュリティ対策です。
基本的にブルートフォースアタック(総当り攻撃)はデフォルトポートの22番にしかやってきません。
「コレをやっておけばSSHは絶対安心。」というわけではありませんが、個人的な恨みを買っていたり、狙われやすい有名企業などの理由で、直接攻撃されない限りはポートを変更するだけでsshへの攻撃はfirewallの時点で遮断できます。
では実際に何をいじれば良いのかと言いますと・・・
|
1 |
vi /etc/ssh/sshd_config |
|
1 2 |
# 他のサービスで利用していない好きな番号にしてください。 Port 22222 |
これだけ。あとはポートを開いてsshdを再起動
|
1 2 3 4 |
firewall-cmd --zone=public --add-port=22222/tcp --permanent # ポート開放 firewall-cmd --zone=public --remove-service=ssh --permanent # 現在開いているsshポートは閉じておく firewall-cmd --reload systemctl restart sshd.service |
※次回以降、ssh接続する場合は「ssh -p ポート番号 ユーザ名@ホスト名」となります。
ねっ、簡単でしょう?
これだけでsshでの総当り攻撃はほぼゼロになります。
更に不安なら、
MaxAuthTries(最大認証試行回数)
LoginGraceTime(ログイン猶予時間)
等を設定しても良いと思います。
あとはfail2banなども設定が簡単で効果は高いです。
(ですが現環境では導入していないので、記事書くか不明です・・・ぐぐってください _| ̄|…○)
[…] SSHのポート変更まで行う場合はこちらを参照してください。 […]
いい記事で、大変助かりました。ありがとうございました。
ご丁寧にコメントありがとうございます。
今後共ご活用いただけたら嬉しいです。