SSHのセキュリティはずっと悩ましい問題です。
一応、セオリー的なものはあるものの、安全性と利便性は相反するものです。
自宅サーバを構築したら、外出先からアクセスできるようにしたいのが本音ですが、持ち主が外からアクセスできるということは、他からもアクセスができてしまいます。
実際に著者も攻撃を受け、何度かアカウントがロックされてしまったことがあります。
前回、VPNで自宅のネットワークに接続できるようになりましたので、自宅のIPアドレスからしかアクセスできないように制限をかける方法をご紹介します。
あわせて読みたい
CentOS 7でVPN(L2TP/IPsec)サーバを構築してiPadから接続する方法
我が家のSSH接続のセキュリティは、過剰ではないにしろ強化しているはずだが、外部からパスワード攻撃されている形跡があった。面倒だと思って鍵方式にしてないから自業…
目次
SSH接続するIPアドレスを制限
手順としては、hosts.denyで全て制限した上で、hosts.allowにSSH接続を許可するIPアドレスを追加していきます。
まずは、hosts.denyを編集モードで開き、
|
1 |
vi /etc/hosts.deny |
末尾に以下を追記して全てを制限します。
|
1 |
sshd: all |
制限は以上です。
SSH接続を許可するIPアドレスを指定
次に、hosts.allowを編集モードで開き、
|
1 |
vi /etc/hosts.allow |
末尾に以下を追加して許可するIPアドレスを設定します。
|
1 |
sshd: 192.168.XXX.XXX |
ちなみに同じセグメント内の全てのIPアドレスを許可したければ、以下のように設定します。
|
1 |
sshd: 192.168.XXX. |
注)最後は.(ドット)
上記の場合だと第3オクテットまで同じIPアドレスであればアクセスが可能になります。
また、IPアドレスを1つ1つ指定したい場合はカンマ区切りにするようです。
Qiita
SSH接続をIPアドレスで制限する – Qiita
SSH接続できるIPアドレスを制限する手順は簡単./etc/hosts.denyと/etc/hosts.allowに以下を追記すればよい….sshd : all…sshd : 1…
これで自宅のネットワーク以外からはアクセスできないようになりましたね!
また安心して眠れると思います。
ポチップ
コメント
コメント一覧 (2件)
[…] こちらのサイトではすごくわかりやすくSSHのセキュリティ対策について記載されています。 SSHのセキュリティ対策についてhttps://www.server-memo.net/server-setting/ssh/ssh-sec.html私が普段行っているSSHのセキュリティ対策についてまとめました。基本編まずは、比較的簡単にSSHのセキュリティを向上させることが出来る項目ついてまとめています。対策内容セキュリティアップデートの実施プロトコルのバージョン指定SSHのポート番 server-memo.net 12 pockets 今回は、「対策内容」の3番めにある「SSHのポート番号変更」を紹介します。 というのも、ポート番号も1度変更したことがありましたが、IP制限をかけたので外部からのアクセスは無いだろうと判断して元に戻した経緯があります。 SSH接続を指定したローカルIPアドレスのみに制限する方法https://minory.org/ssh-local-ip.htmlSSHのセキュリティはずっと悩ましい問題です。一応、セオリー的なものはあるものの、安全性と利便性は相反するものです。自宅サーバを構築したら、外出先からアクセスできるようにしたいのが本音ですが、持ち主が外からアクセスできるということは、他からもアクセス… Minory 1 share 1 user 1 pocket この対策も行えば、参考サイトの「鍵認証方式への変更」以外はすべて実施することになります。 […]
[…] 参考:https://minory.org/ssh-local-ip.html SSHはローカルからしか接続しない予定なので、hosts.deny […]