sshについて
従来、ファイル転送にはFTPを用いるのが一般的だった。
しかし、
・認証パスワードが平文
・転送する中身も平文
といった問題があり、昨今では使うことができる場面が限られてくる。
そこで、sshを使って道中の暗号化を図ることにする。
sFTPとscp、どっちが良いの?
sFTPのメリット
・転送の中断・再開ができる
・高機能
scpのメリット
・軽快、高速
・クライアントソフトを使えばフォルダ毎の転送ができる
ここではWinSCPを使ってSCPを使うことにする。
サーバ側の設定
/etc/ssh/sshd_configを編集する。
ポートの設定(デフォルト以外のポートを指定)
Port xxxx
デフォルトポートの22はブルートフォースアタックに使われるので、とりあえず回避する
rootでのログインの不許可
PermitRootLogin no
ブルートフォースアタックに使わ(略)
できればやっておきたい公開鍵認証
公開鍵認証を使用する
RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys
公開鍵認証のみログイン許可
PasswordAuthentication no
公開鍵認証でログインできることが確認できてから設定すること
sshd再起動
service sshd restart
某国からのアタック
テスト用に遊んでたサーバ、ふと思いついて/var/log/をみたら、secureファイルが異様に巨大になってた。中身を確認すると
Failed password for root from xxx.xxx.xxx.xxx port xxxxx ssh2
みたいなログが大量に。IPアドレスを調べてみると案の定中国。まあ、踏み台にされている可能性も高いけどね。
上記の設定は終わったけど、念のため.htaccessを使ってIPレベルでのアクセスを拒否しておく。