【2009年10月の記事】
最終更新日時 : 2010-02-01 11:47:24
ネットワーク経由でサーバーへログインし、シェル操作を行うことができれば便利です。
ただし、ネットワーク上をパケットが流れますので、サーバーとクライアント間の伝送経路は暗号化しておきたいものです。
それを実現するため、OpenSSH による Secure SHell 接続を行うことにします。
SSH 接続用のポートへは、サーバーへログインできることから、かなりの頻度で侵入を試みるアタックが行われてきます。
その対策として、認証方式は公開鍵方式のみとし、パスワード認証を禁止するとともに、root ユーザーでのログインも禁止するように設定します。
また、公開鍵方式を採っているため、パスワードの総当たり攻撃に対しては防御できるのですが、アタックを受けたログが大量に残ってしまいます。
そうなるとログから必要な情報を探すことが困難になってしまいますので、iptables を使用して、パスワード攻撃を仕掛けてきた IP アドレスからの接続を一定時間拒否するようにします。
詳細は、
なお、OpenSSH は CentOS をインストールする際に組み込んでいることを前提としています。
2010/02/01 鍵セットの作成と公開鍵の保存について加筆修正しました。
2009/12/06 不正接続ログ対策をログ監視ツール swatch による方法に変更しました。
ただし、ネットワーク上をパケットが流れますので、サーバーとクライアント間の伝送経路は暗号化しておきたいものです。
それを実現するため、OpenSSH による Secure SHell 接続を行うことにします。
SSH 接続用のポートへは、サーバーへログインできることから、かなりの頻度で侵入を試みるアタックが行われてきます。
その対策として、認証方式は公開鍵方式のみとし、パスワード認証を禁止するとともに、root ユーザーでのログインも禁止するように設定します。
また、公開鍵方式を採っているため、パスワードの総当たり攻撃に対しては防御できるのですが、アタックを受けたログが大量に残ってしまいます。
そうなるとログから必要な情報を探すことが困難になってしまいますので、iptables を使用して、パスワード攻撃を仕掛けてきた IP アドレスからの接続を一定時間拒否するようにします。
詳細は、
http://www.system-act.com/server/openssh.html
を参照してください。なお、OpenSSH は CentOS をインストールする際に組み込んでいることを前提としています。
2010/02/01 鍵セットの作成と公開鍵の保存について加筆修正しました。
2009/12/06 不正接続ログ対策をログ監視ツール swatch による方法に変更しました。
Copyright © 2004-2012 System House ACT. All Rights Reserved.
(Comments and Trackbacks each author is also exist Copyright.)
(Comments and Trackbacks each author is also exist Copyright.)
