インターネットに外部公開するCentOSサーバは、SSH接続のパスワードを強固なものにするだけでは不十分で、SSH/SFTP接続のポート番号変更とIP制限を設定するセキュリティ対策が必須なので、その設定を簡潔に纏めました。
自分の管理下にあるマシンからのみ、任意のポート番号でSSH/SFTP接続できるようにすることで、セキュリティを強固に出来ます。
[今回の設定値]
管理下のマシン:192.168.11.30
任意ポート番号:50001
[手順]
1. sshdに新しいポート番号を設定。
1-1. 新しいポートを追加して保存。
# vi /etc/ssh/sshd_config
#Port 22
Port 50001 <=追加
2-2. sshd を再起動して設定を読み込み。
# systemctl restart sshd
2. SELinuxに新しいポート番号を設定。
2-1. semanage コマンドをインストール
# yum install policycoreutils-python
2-2. SELinux のポリシーにポート番号を追加。
# semanage port –add –type ssh_port_t –proto tcp 50001
3. ファイアウォール (firewalld) の設定を変更する
3-1. デフォルトポート番号(22)のSSH接続許可設定を削除。
# firewall-cmd –permanent –remove-service=ssh
3-2. 接続元IP制限有り&新ポート番号でSSH接続許可を設定。
※この設定により、192.168.11.30マシンから、50001ポートで接続した場合のみ、SSHに接続可能になる。
# firewall-cmd –zone=public –add-rich-rule=’rule family=ipv4 source address=192.168.11.30 port protocol=tcp port=50001 accept’ –permanent
3-3. ファイアウォール設定読込。
# firewall-cmd –reload
4. PuTTYを 50001 ポートで接続してSSH動作確認。
5. WinSCPを 50001 ポートで接続してSFTP動作確認。
確認コマンドなどは省いてます。確認コマンドを知りたい場合は参考サイトなどを参照下さい。
ポート (コンピュータネットワーク)
CentOS7のファイアーウォール「Firewalld」の設定方法
CentOS 7 firewalld よく使うコマンド
コメント