#あらすじ
ConoHa VPSに登録
SSH接続できたことを確認
ConoHaVPS過去記事
https://qiita.com/kkabosu386/items/94e560d9c68f3f4b35c8
##作業用ユーザ作成
rootでログインできてしまうとセキュリティ的に問題があります。
そのため、rootに変わる作業用ユーザを作成していきます。
まずは前回同様ssh接続していきます。
$ ssh root@ipアドレス
vpsにログインできたら、作業用ユーザを追加していきます。
「kabosu」という部分は、お好きな名前に変更してください。
なお今回もパスワード入力時に、画面上に入力した文字は表示されないので注意が必要です。
# useradd kabosu
# passwd kabosu
ユーザー kabosu のパスワードを変更。
新しいパスワード: #任意のパスワードを入力
新しいパスワードを再入力してください: #任意のパスワード入力
これで、ユーザkabosuというユーザが作成できました。
しかし、このままではkabosuでログインした際、sudo(管理者権限で実行)がつかえません。
そのため、以下のコマンドを実行します。
# usermod -G wheel kabosu
usermod:ユーザの情報を変更するコマンド
-G: ユーザが所属するセカンダリーグループを変更
wheel: グループの一つ。このグループに属すると管理者権限で実行できる。つまり、sudoが使えるようになる。
上記のコマンドにより、kabosuがsudoを実行できるようになりました。
ここで、作成したユーザでログインできるか確認してみましょう。
$ ssh kabosu@ipアドレス
設定したパスワードを入力し、下記のようにログインできていればOKです。
[kabosu@ipアドレス ~]$
これまではrootでログインしてきましたが、kabosuが管理者(root)権限でコマンドを実行するには、先頭にsudoをつける必要があります。基本的に、
$ 一般の権限で実行できるコマンド
# root権限で実行するコマンド
といった感じで記載しておりますので、以降の作業を作業ユーザ(私の場合kabosu)で行う場合は、
sudo [root権限(#)で実行したいコマンド]
という形で実行してください。
##rootユーザのログイン禁止
続いて、rootでのログインを禁止していきます。
大切なConfigファイルをいじるので、一度バックアップをとります。
# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.20201125
# cp コピー元パス コピー先パス
で、 コピーが可能です。
ファイル名の末尾に編集日の日付をつけておくと、いつのバックアップかわかりますね。
ここで、コピー元の /etc/ssh/sshd_configを編集していきます。
vimの使い方は下記URLをご参照ください。
https://qiita.com/JpnLavender/items/fabcc79b4ab0d52e1f6d
# vim /etc/ssh/sshd_config
下記を追加していきます。
PermitRootLogin no
場所はどこでもいいのですが、自分の場合47行目あたりに
#PermitRootLogin yes
があったので、その下に追加しました。
行数は、vimの:set numberで確認可能です。
vimを抜けたら、ちゃんと編集ができたか確認します。
# diff /etc/ssh/sshd_config /etc/ssh/sshd_config.20201125
< PermitRootLogin no
diff:二つのファイルを比較して、差分を出力してくれます。
この時点では、設定が反映されていないので、sshdを再起動します。
※root以外の作業ユーザ(私の場合kabosu)でログインできることを確認してからにしましょう!!誰もログインできなくなったらかなり厄介です…
(もしそうなった場合は、VPSの管理画面からログインして設定し直す必要がありますが、今回は割愛します。)
# systemctl restart sshd
改めて、別ウィンドウからTerminalを開き、rootでログインを試みましょう。
$ ssh root@ipアドレス
ログインできなくなっていたら、成功です。
##ポート番号の変更
デフォルトのsshdは22番ポートを使用する設定になっています。
しかし、デフォルトのままだと22番ポートからの侵入を目的とした攻撃を受けやすくなってしまいます。
他のセキュリティ対策を行っていれば、そこまで重要度が高いわけではありません。
しかし、攻撃への対処(認証)でCPUに負荷をかかるのを防ぐ点でもメリットがあります。
今回は、22番の代わりに22222番ポートを使用する設定にしていきます。
###firewall(ポート開放)
まず、ファイアウォールの状態を確認します。
# systemctl status firewalld
firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor p>
Active: active (running) since Sat 2020-10-31 21:39:44 JST; 3 weeks 3 days a>
Docs: man:firewalld(1)
Main PID: 15088 (firewalld)
Tasks: 3 (limit: 5048)
Memory: 20.7M
CGroup: /system.slice/firewalld.service
└─15088 /usr/libexec/platform-python -s /usr/sbin/firewalld --nofork>
# firewall-cmd --list-port
22/tcp
1つ目のコマンドでは、緑の字でActive: active (running)みたいに書いてあれば起動してい流ことが確認できます。起動していない場合は下記コマンドを実行しましょう。
# systemctl start firewalld
2つ目のコマンドで、ports: 22/tcpと書いてありますが、firewall上で22番ポートが開放されているという意味です。
つまり、22番ポート以外を使って通信しようとすると、ブロックされてしまいます。
まずは、下記コマンドで、22222番ポートを開放します。さらにfirewallの設定を反映させます。最後に、開放されたか確認します。
# firewall-cmd --add-port=22222/tcp --zone=public --permanent
# firewall-cmd --reload
# firewall-cmd --list-port
ports: 22/tcp 22222/tcpのように表示されていればOKです。
22222番ポートでも通信が可能になったので、ssh接続を22番から、22222番ポートに変更する設定をしていきます。
ファイル編集時は、バックアップを忘れずに。
# cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.20201125
# vim /etc/ssh/sshd_config
#Port22 #ポート22をコメントアウトしつつ
Port22222 #ポート22222で接続するよう設定します。
もう一つ、ssh.xmlファイルを編集するのですが、今回は代わりに、
ssh-22222.xmlを作って、そちらを読み込ませるようにします。
# cp -p /usr/lib/firewalld/services/ssh.xml /usr/lib/firewalld/services/ssh-22222.xml
# vim /usr/lib/firewalld/services/ssh-22222.xml
<port protocol="tcp" port="22"/>部分を以下に書き換えます。
<port protocol="tcp" port="22222"/>
firewallにssh-22222.xmlを読み込ませます。
# firewall-cmd --add-service=ssh-22222 --zone=public --permanent
# firewall-cmd --reload
# firewall-cmd --list-services
ssh ssh-22222
###SELinux(ポート開放)
最後に、SELinuxの設定をします。
SELinuxも、セキュリティとして機能しているので、firewall同様ポート開放してあげる必要があります。
# dnf install -y policycoreutils-python-utils
# semanage port -a -t ssh_port_t -p tcp 22222
# semanage port --list | grep ssh
ssh_port_t tcp 22222, 22
最後に、sshdを再起動します。
# systemctl restart sshd
###接続テスト
22222番ポートから接続できるかテストしたいのですが、これまで作業してきたターミナルは閉じず、新しいものを開いて、そちらから接続確認をしてください。
$ ssh -p 22222 kabosu@ipアドレス
これで通常通り接続ができれば、問題ありません。
最後に、firewallの22番ポートを閉じていきます。
###後片付け(ポート22を閉じる)
無事ポートの変更ができたので、使用しない22番ポートは閉じておきます。
# firewall-cmd --permanent --remove-service=ssh
なお、SELinuxはデフォルトの22番ポートを閉じることはできないようです。
とりあえず、ここまででセキュリティ対策は完了です。
##まとめ
アプリを公開と謳っておきながら、全然辿り着けてませんね。
しかし、グローバルに公開する以上、これだけでもまだ足りないぐらいなのではないでしょうか。
##次回:Dockerインストール
CentOS8にDockerをインストールしていきます。
実は、CentOS8へのインストールは推奨されていないようです。
そのため、まだOSが選べる段階の方は、CentOS7系を選択することをお勧めします。
私は愚かなことに、よくみないで8系を選んでしまいました。そのため、説明はCentOS8で引き続き行います。
次回:準備中
前回:https://qiita.com/kkabosu386/items/94e560d9c68f3f4b35c8
#参考・引用
http://blog.azumakuniyuki.org/2011/05/sshd-port-number-should-be-changed-to.html
https://qiita.com/picor/items/8823ecef51bf2aff327c
https://www.atmarkit.co.jp/ait/articles/1612/14/news022.html
https://qiita.com/picor/items/8823ecef51bf2aff327c
https://chibashi.me/development/centos8-ssh-2004/
https://blog.potproject.net/2020/03/25/centos8-docker-ce