前回、何者かにSSHでアクセスされ、すべてのアカウントがロックしてしまったお話をしました。
以前からある程度セキュリティ対策をしているつもりなのですが、今回はもう少し強化するため、SSHのポート番号を変更します!
あわせて読みたい
![](https://minory.org/wp-content/uploads/2019/01/centos7-account-lock-300x210.jpg)
![](https://minory.org/wp-content/uploads/2019/01/centos7-account-lock-300x210.jpg)
CentOSですべてのアカウントがロックされた場合の対処法
またまたLinuxのセキュリティのお話です。自宅サーバー(CentOS)に何者かがアクセスしたのか、SSHでログインに失敗しまくってアカウントがロックされてしまいました。…
目次
今まで行った対策
こちらのサイトではすごくわかりやすくSSHのセキュリティ対策について記載されています。
server-memo.net
![](https://www.server-memo.net/wp-content/themes/cocoon-master/screenshot.jpg)
![](https://www.server-memo.net/wp-content/themes/cocoon-master/screenshot.jpg)
SSHのセキュリティ対策について
私が普段行っているSSHのセキュリティ対策についてまとめました。 基本編 まずは、比較的簡単にSSHのセキュリティを向上させることが出来る項目ついてまとめています。 対…
今回は、「対策内容」の3番めにある「SSHのポート番号変更」を紹介します。
というのも、ポート番号も1度変更したことがありましたが、IP制限をかけたので外部からのアクセスは無いだろうと判断して元に戻した経緯があります。
あわせて読みたい
![](https://minory.org/wp-content/uploads/2018/10/ssh-local-ip-e1651542326523-300x200.jpg)
![](https://minory.org/wp-content/uploads/2018/10/ssh-local-ip-e1651542326523-300x200.jpg)
SSH接続を指定したローカルIPアドレスのみに制限する方法
SSHのセキュリティはずっと悩ましい問題です。一応、セオリー的なものはあるものの、安全性と利便性は相反するものです。自宅サーバを構築したら、外出先からアクセスで…
この対策も行えば、参考サイトの「鍵認証方式への変更」以外はすべて実施することになります。
SSHのポート番号を変更
基本的には下記のサイトを参考にしましたが、ファイアウォールの部分だけサービスではなくポート番号指定にしましたので、順を追って解説していきます。
Qiita
![](https://qiita-user-contents.imgix.net/https%3A%2F%2Fcdn.qiita.com%2Fassets%2Fpublic%2Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png?ixlib=rb-4.0.0&w=1200&mark64=aHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9Q2VudE9TNyVFMyU4MSVBN1NTSCVFMyU4MSVBRSVFMyU4MyU5RCVFMyU4MyVCQyVFMyU4MyU4OCVFNyU5NSVBQSVFNSU4RiVCNyVFMyU4MiU5MiVFNSVBNCU4OSVFNiU5QiVCNCVFMyU4MSU5OSVFMyU4MiU4QiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTU2JnM9MzM3NWUxM2MyYTA1ZTllYzNjMjFiZDc0YjNiOWRjZTY&mark-x=142&mark-y=57&blend64=aHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBma18yMDAwJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz02ZTg2NTUxZjM2ZGQ0NWQzOWI4MjI2OWRkZjliYzk2MA&blend-x=142&blend-y=436&blend-mode=normal&txt64=aW4g44Kq44Oq44Kj56CU56m25omA&txt-width=770&txt-clip=end%2Cellipsis&txt-color=%23212121&txt-font=Hiragino%20Sans%20W6&txt-size=36&txt-x=156&txt-y=536&s=e46dd6d1be7c1c355f736e28a4a93faf)
![](https://qiita-user-contents.imgix.net/https%3A%2F%2Fcdn.qiita.com%2Fassets%2Fpublic%2Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png?ixlib=rb-4.0.0&w=1200&mark64=aHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9Q2VudE9TNyVFMyU4MSVBN1NTSCVFMyU4MSVBRSVFMyU4MyU5RCVFMyU4MyVCQyVFMyU4MyU4OCVFNyU5NSVBQSVFNSU4RiVCNyVFMyU4MiU5MiVFNSVBNCU4OSVFNiU5QiVCNCVFMyU4MSU5OSVFMyU4MiU4QiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTU2JnM9MzM3NWUxM2MyYTA1ZTllYzNjMjFiZDc0YjNiOWRjZTY&mark-x=142&mark-y=57&blend64=aHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBma18yMDAwJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz02ZTg2NTUxZjM2ZGQ0NWQzOWI4MjI2OWRkZjliYzk2MA&blend-x=142&blend-y=436&blend-mode=normal&txt64=aW4g44Kq44Oq44Kj56CU56m25omA&txt-width=770&txt-clip=end%2Cellipsis&txt-color=%23212121&txt-font=Hiragino%20Sans%20W6&txt-size=36&txt-x=156&txt-y=536&s=e46dd6d1be7c1c355f736e28a4a93faf)
CentOS7でSSHのポート番号を変更する – Qiita
いつも忘れちゃうので備忘録centos7構築する際の手順としてSSHをつぶしてそのほかのポート番号を空けたいときにみるやーつ。ここでは22から2222に変更しています。適宜読み…
sshd_configの修正
まずは、SSHを停止します。
1 |
systemctl stop sshd |
次に、設定ファイルを開き、
1 |
vi /etc/ssh/sshd_config |
以下の部分を修正します。
1 2 |
# Port 22 Port 2222 |
ポート番号の追加
続いて、ファイアウォールにポート番号を追加します。
まずは、現在の状態を確認しましょう。
1 |
firewall-cmd --list-all |
sshd_config
で設定したポート(TCP)を追加します。
1 |
firewall-cmd --add-port=2222/tcp --zone=public --permanent |
そして、不要になったSSHを削除します。
1 |
firewall-cmd --remove-service=ssh --zone=public --permanent |
最後に、ファイアウォールをリロードしたら完了です。
1 |
firewall-cmd --reload |
Qiita
![](https://qiita-user-contents.imgix.net/https%3A%2F%2Fcdn.qiita.com%2Fassets%2Fpublic%2Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png?ixlib=rb-4.0.0&w=1200&mark64=aHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9Q2VudE9TJTIwNyUyMGZpcmV3YWxsZCUyMCVFMyU4MiU4OCVFMyU4MSU4RiVFNCVCRCVCRiVFMyU4MSU4NiVFMyU4MiVCMyVFMyU4MyU5RSVFMyU4MyVCMyVFMyU4MyU4OSZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTU2JnM9M2M0NzgzYzhmZDY4MzhiMmQ3ZDE5Njc3ZTNkYTZlMWU&mark-x=142&mark-y=57&blend64=aHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBqb25hZXJ1JnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz0yMDIwZGJmYmRiN2NmMWVmNTAxY2U3OWRmOWUxZmMzNw&blend-x=142&blend-y=486&blend-mode=normal&s=e4e80a346c4fc55f0ed70ecf4c9a3e58)
![](https://qiita-user-contents.imgix.net/https%3A%2F%2Fcdn.qiita.com%2Fassets%2Fpublic%2Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png?ixlib=rb-4.0.0&w=1200&mark64=aHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9Q2VudE9TJTIwNyUyMGZpcmV3YWxsZCUyMCVFMyU4MiU4OCVFMyU4MSU4RiVFNCVCRCVCRiVFMyU4MSU4NiVFMyU4MiVCMyVFMyU4MyU5RSVFMyU4MyVCMyVFMyU4MyU4OSZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTU2JnM9M2M0NzgzYzhmZDY4MzhiMmQ3ZDE5Njc3ZTNkYTZlMWU&mark-x=142&mark-y=57&blend64=aHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBqb25hZXJ1JnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz0yMDIwZGJmYmRiN2NmMWVmNTAxY2U3OWRmOWUxZmMzNw&blend-x=142&blend-y=486&blend-mode=normal&s=e4e80a346c4fc55f0ed70ecf4c9a3e58)
CentOS 7 firewalld よく使うコマンド – Qiita
CentOS 7ではファイアウォール(以下、FW)のサービスが iptables から firewalld に変わりました。FWの設定は firewall-cmd コマンドを利用して行います。よく…
最後に(確認)
念の為、ファイアウォールの状態を確認します。
1 |
firewall-cmd --list-all |
SSHを起動したら完了です。
1 |
systemctl start sshd |
※ルーター側の設定もお忘れなく。これで大丈夫だろうけど、それでもヤラれたらどうしよう…。
VPNが突破されたのかな?
最終的には面倒だけど鍵認証方式にするしかないか。
![](https://minory.org/wp-content/plugins/pochipp/assets/img/pochipp-logo-t1.png)
コメント