Kusanagi for ConoHa で最低限しておきたいSSHのセキュリティ設定

昨日ぐらいにGCEのf1-micro(とロリポップ)からConoHaに乗り換えました。

 
このはちゃん可愛い...

普段はDebianを使っているのですがWordPressやらの環境を整えるのが面倒くさいので、手抜きでKUSANAGI for ConoHaを使うことにしました。
CentOSがベースなんですね...うぅ...

では、KUSANAGI for ConoHaに限らず本当に最低限しておきたいセキュリティ設定です。


# kusanagi init

が済んでいてkusanagiユーザーが作成された後からのお話です。

1.SSHの設定
SSHの初期設定では何とも言い難いのでせめて、
SSHでのルートのログインを禁止、ポート変更、ユーザー許可制
の3つはしておきたいところです。プレーンテキストの認証を禁止して公開鍵認証のみ許可がありますが今回は取り上げません。
まずsshd_configを開きましょう。

# vim /etc/ssh/sshd_config

そして

#ポート番号の変更。使用されていないポート番号以外でです。
Port 8888

#rootユーザーでのログインを不許可。
PermitRootLogin no

#特定のユーザーのみ許可。sshd_confに付け足す。
AllowUsers kusanagi

編集が終わったらsshdを再起動します。

# service sshd restart

2.SSHのポートを変更したので次にfirewalldの設定をします。iptablesみたいなものです。

# firewall-cmd --permanent --add-port=8888/tcp
# firewall-cmd --permanent --remove-service=ssh
# firewall-cmd --permanent --zone=public --add-service=http
# firewall-cmd --permanent --zone=public --add-service=https
# firewall-cmd --reload

その後は--list-allで正常に追加された確認を必ずして下さい。

# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources:
services: dhcpv6-client http https
ports: 8888/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

その後、sshd_confで指定したポートとユーザーのみでsshでのログインができることを確認して下さい。

コメントする