「Linux」でSSHのセキュリティを強化するヒント

今回は「「Linux」でSSHのセキュリティを強化するヒント」についてご紹介します。

関連ワード (Linuxノウハウ、特集・解説等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 筆者は何十年も前からセキュアシェル(SSH)を使用している。このリモートログインツールを使用すると、リモートマシンがログインを安全かつ効率的に受け入れるようになるので、安心できる。その一方で、ネットワークに接続されたデバイスにおいて、完璧なセキュリティなどあり得ないことも理解している。筆者が使用するすべてのコンピューターで、必ずSSHのセキュリティを強化するようにしているのは、そのためだ。

 セキュリティの「層」をいくつか追加することがいかに簡単であるかを知って、驚く人もいるかもしれない。以下で説明するように、「Linux」デスクトップおよびサーバーマシンのセキュリティを簡単に強化できるヒントがいくつかある。これらのヒントを実践すれば、不要なログインをより効果的に阻止することが可能だ。

 それでは、具体的なヒントを解説していこう。

 (特にサーバー上で)最初に実行すべきことの1つは、fail2banのインストールだ。fail2banは、悪意あるブルートフォースログイン攻撃を防止できるほか、SSH以外のネットワークプロトコル(HTTP、SSH、FTPなど)の監視に使用することも可能だ。

 fail2banでは、jailを作成する。jailはシステムに対して、特定の出来事(SSHログイン試行の失敗など)の発生時に何をすべきかを指示する設定だ。jailファイル(通常、jail.localという名前が付けられている)は/etc/fail2ban/に格納されており、以下のような内容が記述されている。

 fail2banを「Debian」ベースのシステムにインストールする場合は、以下のコマンドを使用する。

 「Fedora」ベースのシステムでは、コマンドは以下のようになる。

 デフォルトでは、SSHは受信接続にポート22を使用する。このことはよく知られており、トラブルにつながる可能性がある。筆者は、重要なシステムでは、必ず別のポート(2124など)に変更するようにしている。その際は、別のシステムで使用されていないポート番号に変更する必要がある。

 ポートは、/etc/ssh/sshd_configファイルの#Port 22の行で設定される。

 #記号を削除して、ポート番号を22から、使用したい番号に変更する。変更を完了したら、必ず以下のコマンドでSSHを再起動してほしい。

 Fedoraベースのシステムの場合、そのコマンドは以下のようになる。

 読者の皆さんのシステム上に、空のパスワードを使用するユーザーはいないと思うが、このヒントは「用心するに越したことはない」カテゴリーに該当する。空のパスワードを使用するユーザーがいて、そのことを悪意ある攻撃者に知られたら、簡単にマシンにアクセスされてしまうおそれがある。そうした状況を防ぐには、/etc/ssh/sshd_configファイルを開いて、以下の行を探す必要がある。

 その行を以下のように変更する。

 ファイルを保存して閉じた後、SSHを再起動する。

 もう1つの非常に便利な小技は、SSHアクセスを特定のIPアドレスに制限することだ。例えば、マシンにアクセスする必要があるユーザーが1人だけで、そのユーザーのIPアドレスが192.168.1.11である場合、/etc/hosts.allowファイルから、SSHアクセスを制限することが可能だ。お気に入りのテキストエディター(「nano」など)でそのファイルを開いて、以下の行を最後に追加する。

 許可したいIPアドレスが複数ある場合は、以下のように、各アドレスをカンマで区切って、必要なだけ追加できる。

 ファイルを保存して閉じる。

 SSH鍵認証の重要性は、いくら強調してもしすぎることはない。この機能の設定方法については、すでに別の記事で説明済みなので、必ずその記事に目を通して、SSH鍵認証を使用してほしい。fail2banとSSH鍵認証を組み合わせるのは、不要なSSHログインを防ぐ非常に効果的な方法だ。

 LinuxデスクトップおよびサーバーでSSHのセキュリティを強化する5つの簡単なヒントの紹介は、以上である。SSHに「セキュア」という言葉が含まれているからといって、セキュリティを確保する手段としてみなすべきではない。いくつかの追加の設定を施せば、システムへのアクセスを求めてインターネットを徘徊する悪意ある攻撃者から、SSHログインをより効果的に保護できるようになる。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
オフィス・自宅に続く“第三の拠点”を確保 コワーキングスペース利用中の企業が「テレキューブ」も活用するワケ
PR
2021-03-02 23:40
注目集まるデジタルサイネージ–マーケティングへの新施策
IT関連
2023-11-21 09:01
積水ハウス、SaaSのセキュリティ評価体制を構築–IT部門の生産性を向上
IT関連
2023-11-07 03:41
NEC、金融取引の不正対策サービスでAIスコアリングと売買審査機能を融合
IT関連
2023-01-25 15:49
HashiCorp、「HCP Waypoint」でテンプレートとアドオンを発表–新たなビジョンを明らかに
IT関連
2023-10-13 02:58
「Gemini Advanced」に3つの新機能が追加–LLMも「Gemini 1.5 Pro」へ
IT関連
2024-05-16 20:46
ソフトバンクが「ショートタイムワーク」を展開–障がい者らの就労を後押し
IT関連
2022-08-26 04:59
年間ユニークユーザー数1580万人の後払い決済サービス「NP後払い」をテレビ通販「ショップチャンネル」が導入
フィンテック
2021-08-05 08:46
NTT Com、セキュリティ運用支援ソリューション開発–「tsuzumi」など活用
IT関連
2024-11-20 21:34
マイクロソフト、行動が特徴的なランサムウェア「Prestige」について警告
IT関連
2022-10-19 16:32
インテルのAI責任者が語る、「AIを大衆化」する取り組み(後編)
IT関連
2022-09-14 05:25
オンラインにリアル体験を ツアーや趣味講座に「体験型」続々
IT関連
2021-02-11 02:54
「サイバーセキュリティ月間」がスタート、基本対策の徹底で職場も家族も守るべし
IT関連
2023-02-03 07:04
ottaが和歌山市・和歌山電力が推進する見守り事業に技術協力、和歌山市立小学校全50校の全児童対象
セキュリティ
2021-05-29 22:16