自分用めも。
まえおき
家の回線をIPv6化して以来、「ルーターがあるから家の中は192.168.xxx.xxでしかアクセスできないし安全だ」とはならない。
(ルータの設定次第ではそういうこともできるんだけど、今使っているルータの相性的に駄目だったので、あえてそうしていない)
ということで、Linuxをクリーンインストールするたびに、やっておくことをメモ。
前提
- Debianでの手順
- 家のプライベートIPは192.168.10.xxx を想定している
/etc/ssh/sshd_config
外からしれっとコンソールに入られるのが一番やばい。
/etc/ssh/sshd_config
PermitRootLogin no # ←コメントを外す
(中略)
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
PermitEmptyPasswords no
(中略)
# Example of overriding settings on a per-user basis
#Match User anoncvs
# ....
#
# ファイルの末尾に、以下を追記
Match Address 192.168.10.0/24
PasswordAuthentication yes
で、 sudo service ssh restart する。これで外からSSHでブルートフォースアタックされてもある程度は大丈夫。
.ssh/authorized_keys に公開鍵の追記を忘れずに。
/etc/hosts.allow,deny
外からポートスキャンされるのも嫌なので、SSH以外は受け付けないようにする。
/etc/hosts.allowの末尾に追記
ALL : 192.168.10.
ALL : [1111:2222:3333:4444::1] # 例外的に外部から侵入を許すIPv6アドレス
sshd: ALL
/etc/hosts.denyの末尾に追記
ALL : ALL