ConoHa VPS で Debian 9 をセットアップした ~その2~からの続きです。
ここでは下記のようなセキュリティの設定を行います。
- ファイアーウォール(ufw)のインストールと設定
- SSHポートの変更
ファイアーウォール(ufw)のインストールと設定
その前に(1)
ConoHaのダッシュボードから「接続許可ポート」を
- 全て許可
に変更します。
設定する場所は、[サーバー]→[ネームタグ]→[ネットワーク情報]→[接続許可ポート]です。
ufwのインストール
iptablesの設定を楽するた便利にするためのツール ufw を使います。
$ sudo aptitude install ufw
初期状態を確認します。
$ sudo systemctl status ufw
● ufw.service - Uncomplicated firewall
Loaded: loaded (/lib/systemd/system/ufw.service; enabled; vendor preset: enabled
Active: inactive (dead)
Docs: man:ufw(8)
ufwのデフォルトのルールーはすべて遮断(deny)です。
$ sudo ufw status
Status: inactive
現在のssh接続は切らないでください。
ufwを有効にします。
$ sudo uwf enable
ufwの設定
このままでは以後ssh接続できなくなるのでsshのポートを許可します。
$ sudo ufw allow 22/tcp
$ sudo ufw reload
ufwについて下記の記事を参考にしました。
SSHポートの変更
sshのポートが22番のままでは、そこに集中攻撃を食らうリスクがあります。ポートを変更することで多少なりでもリスクをヘッジします。
例として新しいsshのポート番号を 54321 に変更します。実際に設定するポート番号は50000番台の適当な数値が無難でしょう。
その前に(2)
お使いのターミナルソフトに新しいポート番号の設定を追加しておきましょう。
RLoginなら「接続先を複写する」を行ってポート番号を変更するのが簡単だと思います。
再びファイヤーウォール設定
ファイヤーウォール設定で 54321/tcp のポートを許可します。
$ sudo ufw allow 54321/tcp
$ sudo ufw reload
sshポート番号を変更する
新しいsshのポート番号を 54321 に変更します。
/etc/ssh/sshd_configを設定します。
$ sudo nano /etc/ssh/sshd_config
キーワードPortを設定します。
Port 54321
編集が終わったら、sshdを再起動します。
$ sudo /etc/init.d/ssh restart
現在の22番ポートでの接続はまだ切らないでください。
ターミナルソフトの新しいポート設定で接続を試みます。
うまく接続できましたか?
接続できなたら、以後の作業はそれで行います。
みたびファイヤーウォール設定
22番ポートを閉じます(arrow 22/tcp 設定を削除します)。
例えば、
$ sudo ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 22/tcp ALLOW IN Anywhere
[ 2] 54321/tcp ALLOW IN Anywhere
$ sudo ufw delete 1
$ sudo ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 54321/tcp ALLOW IN Anywhere
ufwの設定方法の説明は前述の参考記事(1. 2.)に譲ります。
もし途中で切断してしまい、接続できなくなったら?
次記事
独自ドメインを取ったり、SSL接続の仕込みなどを行いましょうか。