申込→公開2.「SSH」「ファイアーウォール」設定

さくらVPSCentOS 6 公開

#08-#09 SSH設定

 状態:-  閲覧数:1,833  投稿日:2013-03-08  更新日:2018-01-06
さらにセキュリティを強固にするためにSSHの設定

5-1.ポート番号の変更22 → 1024 ~ 65535 … SSHで通信する際デフォルトで利用される22番ポート番号を、変更
5-2.パスワードログイン禁止
5-3.rootログイン禁止




root権限付与


$ sudo -s
$ sudo -s

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for ★★:

・予め設定してある「★★」ユーザのパスワードを入力
・「$」 … 一般ユーザ
・「#」 … root権限


設定ファイルバックアップ


# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.org

設定ファイル確認
# ls -a /etc/ssh/
.       ssh_config            ssh_host_key      ssh_host_rsa_key.pub
..      ssh_host_dsa_key      ssh_host_key.pub  sshd_config
moduli  ssh_host_dsa_key.pub  ssh_host_rsa_key


設定ファイルバックアップ
# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.org


設定ファイルバックアップ確認
# ls -a /etc/ssh/
.       ssh_config            ssh_host_key      ssh_host_rsa_key.pub
..      ssh_host_dsa_key      ssh_host_key.pub  sshd_config
moduli  ssh_host_dsa_key.pub  ssh_host_rsa_key  sshd_config.org



設定ファイル修正


# vim /etc/ssh/sshd_config
# vim /etc/ssh/sshd_config

--- (編集開始) ---
Port YOUR_PORT_NUMBER
PasswordAuthentication no
PermitRootLogin no
--- (編集終了) ---

・途中で間違えたら、「:q!」で一旦最初に戻る
・黄色い文字が読みにくい

「/Port」 … Portを探す。検索結果は「n」で次を表示
「小文字x」 … #Portの先頭x削除
「w」 … 次の単語へ移動
「cw」 … changeword。挿入できるようになる。22→任意番号
「Esc」 … 処理を抜ける

「/PasswordAuth」 … PasswordAuthを探す
「PasswordAuthentication yes」を、「PasswordAuthentication no」へ変更

「/PermitRoot」 … PermitRootを探す。検索結果は「n」で次を表示
「PermitRootLogin yes」を、「PermitRootLogin no」へ変更
「Esc」 … 処理を抜ける
「:wq」 … 保存

"/etc/ssh/sshd_config" 138L, 3871C 書込み       


反映確認


# service sshd restart    
service sshd restart
ssh -p YOUR_PORT_NUMBER ★★@IP.ADD.RE.SS 
・「service sshd restart」 … 変更を反映させる
# service sshd restart
sshd を停止中:                                             [  OK  ]
sshd を起動中:                                             [  OK  ]
#

・ssh -p 今回変更設定した任意番号 ★★@IP.ADD.RE.SS … ポート番号を指定してログイン

#10 ファイアーウォールの設定(失敗編)

 閲覧数:3,403 投稿日:2013-03-08 更新日:2017-12-15 
外部ネットワークとの通信を制御するためのファイアーウォールを設定

エラー発生


・5分ぐらいで終わると思いきや、2時間近くかかった
・途中わからなくて、泣きそうになった
・よく分からない処理をただコマンド打っているだけなので、いざエラー発生すると、途端にどうしたら良いか分からなくなる
・具体的には、「service iptables restart」コマンド打つと、
iptables: ファイアウォールルールを適用中: iptables-restore: line 1 failed
# service iptables restart
iptables: ファイアウォールルールを適用中: iptables-restore: line 1 failed
                                                          [失敗]



エラー原因


・「iptables」の中身をコピペする際、挿入モードにしていなかったのが原因


勘違いした理由


・処理が間違っていたら、エラー表示されると思い込んでいた
・今回の場合、エラー表示されるのではなく、一部だけコピペ成功してファイルが作成されたため、こういう処理なんだと勘違いした


確認した作業事項


la -a /etc/sysconfig/iptables
・ファイル作成に失敗したのか、と思い「ファイル存在確認」を実施。ファイルは確かに存在している(作成されていた)
cat /etc/sysconfig/iptables
・作成したファイル内容がおかしいのかと思い、中身を確認(最後に余計な改行が含まれていないか、など)。先頭がコピペされていないことはすぐ気が付いたが、冒頭コメントマークもあったし、また初めてだったこともあり、こういう処理なのだ、と思い込んだ(まさか中途半端にコピペされるとは夢にも思わなかった)
掲載されている「iptables」内容がおかしい、もしくは古いのではないか?
・何遍試してもうまくいかないので、そう仮結論付けた
・ところが、ネットで検索してみるも、「iptables」設定はそれこそ千差万別。正直、どこを信じれば良いかさっぱり分からない(レンタルサーバではないので、さくらVPS公式サイトにはこの辺りの情報は掲載されていない)
・いつまでも考えていてもしょうがないので、ネットに掲載されていた、とある「iptables」設定をそのままコピペしてみた
・ところが、また同じエラーが表示されてしまう
・さすがにこの辺りで、おかしいのは「iptables」内容ではなく、コピペの仕方ではないか、と疑い始める
・救いだったのはさすが流行っているVPSだけあって、掲載情報が多いこと


学んだこと


コピー&ペースト
・ペーストする前に、必ず i キーを押してインサートモードに変更してから実施。それ以外のモードで実施すると、中途半端にコピーされる場合もあるので注意が必要!!
viエディタの使い方 … 全然分かってないわ
すべての行を削除するviのコマンド
:%d

ターミナルから訪ねられたときは、y
・「rm /etc/sysconfig/iptables」で「ホントに削除するの?」てターミナルから聞かれたときは、「Enter」ではなくて、y

#10 ファイアーウォールの設定

 閲覧数:509 投稿日:2013-03-08 更新日:2017-12-28 
外部ネットワークとの通信を制御するためのファイアーウォールを設定
vim /etc/sysconfig/iptables
service iptables restart
iptables -L

設定ファイルを作成し、書き込む


vim /etc/sysconfig/iptables
※必ず「i」で「INSERT」モードへ変更してからコピペ
:INPUT DROP [0:0] … 受信は全て拒否
:FORWARD DROP [0:0] … 通過は全て拒否
:OUTPUT ACCEPT [0:0] … 送信は全て許可
*filter
:INPUT    DROP    [0:0]
:FORWARD  DROP    [0:0]
:OUTPUT   ACCEPT  [0:0]
:SERVICES -       [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 4  -j ACCEPT
-A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -j SERVICES
-A INPUT -p udp --sport 53 -j ACCEPT
-A INPUT -p udp --sport 123 --dport 123 -j ACCEPT
-A SERVICES -p tcp --dport YOUR_PORT_NUMBER -j ACCEPT
-A SERVICES -p tcp --dport 80 -j ACCEPT
-A SERVICES -p tcp --dport 443 -j ACCEPT
COMMIT


設定反映


service iptables restart
# service iptables restart
iptables: ファイアウォールルールを消去中:                  [  OK  ]
iptables: チェインをポリシー ACCEPT へ設定中filter         [  OK  ]
iptables: モジュールを取り外し中:                          [  OK  ]
iptables: ファイアウォールルールを適用中:                  [  OK  ]
#


設定確認


iptables -L
# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 1/sec burst 4
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED
SERVICES   tcp  --  anywhere             anywhere            state NEW
ACCEPT     udp  --  anywhere             anywhere            udp spt:domain
ACCEPT     udp  --  anywhere             anywhere            udp spt:ntp dpt:ntp

Chain FORWARD (policy DROP)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        

Chain SERVICES (1 references)
target     prot opt source               destination        
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:設定変更したポート番号
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
#



iptablesでサーバを守るときに知っておくと良いこと✕3つ

 閲覧数:501 投稿日:2013-05-02 更新日:2017-12-28 

参考


1. 接続回数を制限(IPアドレスごと)
・hash_limit利用

2. 接続回数を制限する(サービスごと)
・limitを利用して制限

3. 接続IPアドレスを限定
・IPアドレスの国別割り当てをAPNIC等から取得してコマンド作成

iptablesで鉄壁?の守りを実現する3つのTips


申込→公開3.「Webサーバー」「Webページ」設定(さくらVPS3) / Apache httpd 2.2.15-15 新規インストール



申込→公開1.「作業用ユーザ」 「鍵認証」設定

申込→公開3.「Webサーバー」「Webページ」設定(さくらVPS3) / Apache httpd 2.2.15-15 新規インストール



類似度ページランキング
順位 ページタイトル抜粋
1 9回目-5.ファイアーウォールの設定 51
2 6回目-5.ファイアーウォールの設定 51
3 4回目-5.ファイアーウォールの設定 51
4 8回目-5.ファイアーウォールの設定 51
5 7回目-5.ファイアーウォールの設定 51
6 5回目-5.ファイアーウォールの設定 51
7 申込→公開6.PHP5.3.3 インストール&設定 48
8 申込→公開7.MySQL5.1.67インストール&設定 46
9 申込→公開1.「作業用ユーザ」 「鍵認証」設定 46
10 申込→公開11.MongoDBインストール&設定 45
11 申込→公開5.VirtualHost設定 40
12 申込→公開4.VirtualHost設定のため、無料独自ドメインを探す 33
13 申込→公開3.「Webサーバー」「Webページ」設定(さくらVPS3) / Apache httpd 2.2.15-15 新規インストール 32
14 申込→公開10.Python 2.7.3 インストール / make install 30
15 9回目-17.ファイル移行 / PHPアプリケーション移行 30
16 PHPファイルでchmodエラー 29
17 申込→公開8.「Ruby on Rails」実行環境を構築する 29
18 CentOSで、指定ディレクトリ以下の「ファイル内容」を全文置換 28
19 6回目-1.「2週間無料のお試し期間」を申し込み / さくらVPSを起動 / OSインストール 28
20 7回目-1.「2週間無料のお試し期間」を申し込み / さくらVPSを起動 / OSインストール 28
2021/9/21 10:41 更新
週間人気ページランキング / 9-14 → 9-20
順位 ページタイトル抜粋 アクセス数
1 PHPのmb_send_mail関数でメール送信できない | メール処理システム 29
2 Nginx設定。エラーログレベル | Nginx(Webサーバ) 21
3 Python 3.5 アンインストール / yum remove | Python(プログラミング言語) 11
4 FFmpeg 2.8.15 を yum インストール | ソフトウェアスイート 10
5 PHP実行ユーザ設定 / CentOS6 / Apache | PHP(プログラミング言語) 9
6 PHP Version 7.1.2 php-mecabエクステンション対応 / PHP 7.0.14 からのアップグレード  | MeCab(形態素解析) 8
6 ソースからビルドしたPython 2.7.3 アンインストール失敗 | Python(プログラミング言語) 8
7 touch コマンド / viコマンド。新規ファイル作成時の違い | Linuxコマンド 7
7 さくらVPS0 7
8 9回目-13.MySQL5.7.21設定 | CentOS 7 2週間無料のお試し期間 9回目(さくらVPS) 6
8 「設定ファイルに、暗号化 (blowfish_secret) 用の非公開パスフレーズの設定を必要とするようになりました。」対応 6
9 PHPファイルでchmodエラー | PHP(プログラミング言語) 5
9 設定 2019/1/22 / 一般ユーザがmailコマンドでメール送信 / 管理者がmailコマンドでメール送信 5
10 Postfix | メール処理システム 4
10 CentOSでcpコマンド動作確認するためには、Control + T ではなく、 -v オプションを使用 | cp(Linuxコマンド) 4
10 499 (Request has been forbidden by antivirus) | HTTP(通信プロトコル) 4
10 tar | Linuxコマンド 4
10 Python 3.6 インストール / make altinstall | Python(プログラミング言語) 4
10 「CentOS6」から「CentOS7」への移行 | CentOS 7 (CentOS) 4
10 echo と cat の違い 4
2021/9/21 1:01 更新