スポンサーリンク
スポンサーリンク

外部公開するCentOSサーバのSSH接続設定

CentOS

インターネットに外部公開するCentOSサーバは、SSH接続のパスワードを強固なものにするだけでは不十分で、SSH/SFTP接続のポート番号変更とIP制限を設定するセキュリティ対策が必須なので、その設定を簡潔に纏めました。
自分の管理下にあるマシンからのみ、任意のポート番号でSSH/SFTP接続できるようにすることで、セキュリティを強固に出来ます。

[今回の設定値]

管理下のマシン:192.168.11.30
任意ポート番号:50001

OSバージョンCentOS Linux release 7.6.1810 (Core)

[手順]

1. sshdに新しいポート番号を設定。

1-1. 新しいポートを追加して保存。

# vi /etc/ssh/sshd_config

#Port 22
Port 50001 <=追加

2-2. sshd を再起動して設定を読み込み。

# systemctl restart sshd

2. SELinuxに新しいポート番号を設定。

2-1. semanage コマンドをインストール

# yum install policycoreutils-python

2-2. SELinux のポリシーにポート番号を追加。

# semanage port –add –type ssh_port_t –proto tcp 50001

3. ファイアウォール (firewalld) の設定を変更する

3-1. デフォルトポート番号(22)のSSH接続許可設定を削除。

# firewall-cmd –permanent –remove-service=ssh

3-2. 接続元IP制限有り&新ポート番号でSSH接続許可を設定。
※この設定により、192.168.11.30マシンから、50001ポートで接続した場合のみ、SSHに接続可能になる。

# firewall-cmd –zone=public –add-rich-rule=’rule family=ipv4 source address=192.168.11.30 port protocol=tcp port=50001 accept’ –permanent

3-3. ファイアウォール設定読込。

# firewall-cmd –reload

4. PuTTYを 50001 ポートで接続してSSH動作確認。

1.png

5. WinSCPを 50001 ポートで接続してSFTP動作確認。

2.png

確認コマンドなどは省いてます。確認コマンドを知りたい場合は参考サイトなどを参照下さい。
ポート (コンピュータネットワーク) 
CentOS7のファイアーウォール「Firewalld」の設定方法 
CentOS 7 firewalld よく使うコマンド 

コメント

タイトルとURLをコピーしました