SSH 설정에서 WAN을 통한 통신에서 정리까지 정리.

개요 SSH의 설정 방법은 상당히 많이 기사로 되어 있습니다만, 「LAN으로 사용할 수 있게 되어 끝」라든가, 「SSH의 설정은 다른 사람을 보고 DDNS의 설정 방법을 가르칩니다」같은 세세한 했던 것뿐이므로, 그 URL을 정리해, Ubuntu로 SSH를 설정해 WAN를 통해서 통신할 수 있을 때까지의 일련의 흐름을, 하나로 해 보았습니다. 거의 URL을 붙인 것만의 자신용의 메모입니다.   수행에 대해 먼저 우분투의 SSHD를 시작하여 SSH 서버를 시작하고 LAN 내에서 Windows에서 SSH 서버로 연결합니다.   그 후, 공개키 인증의 설정이나 보안의 확인을 실시한 후에, WAN을 개입시키기 위한 DDNS나 포트의 설정을 실시합니다. WAN을 통해 연결할 때는 스마트 폰에 넣었습니다. JuiceSSH 을 사용하여 외부에서 SSH 서버에 연결할 수 있는지 확인합니다.
마지막으로 시작한 SSH 서버를 닫습니다.

IP 주소 설정 서버의 IP가 변하지 않도록 IP를 고정합니다.   IP를 고정하기 전에 DHCP 서버에 자신의 IP 주소를 임대하도록 설정합니다. 이렇게 하지 않으면 고정한 IP 주소가 다른 단말기에 마음대로 사용되어 버립니다. IP 어드레스의 리스의 설정은 라우터마다 다르기 때문에, 형번등으로 조사하는 것.   방금 임대한 IP 주소를 서버측으로 설정합니다. SSH 설정 이하의 URL에서는 ECDSA-521의 공개키 인증을 사용해, SSH 서버의 구축으로부터 Windows를 이용해의 접속을 실시하고 있습니다. Windows 10에서 Linux로 SSH에 안전한 SSH 공개 키 인증 설정

설정하면 좋은 보안 설정



ssh 설정 의 단계에서 충분한 보안이 확보되고 있습니다만, 한층 더 견고하게 하는 방법을 몇개인가 소개합니다.

포트 번호 변경



공격자는 22번 포트를 집중적으로 공격하므로 포트 번호를 바꾸어 공격자의 수를 줄임으로써 사실상 안전성을 올릴 수 있습니다.
그러나 다른 설정으로 구멍이 있으면 안전성은 0과 같기 때문에 본질적으로 안전성은 변하지 않습니다.

로그인 실패 횟수 제한



로그인에 실패한 횟수가 일정 이상을 넘었을 경우에 일단 모든 접속을 차단하는 설정도 있습니다.

보안 홀이 없습니까?



이 후에 포트를 여는 것입니다만, 매우 위험한 행위이므로, 보안의 설정을 제대로 실시하고 있는지를 재차 확인해 주기 위해, 일부러, 장으로 나누지 않아도 좋은 부분을 나누었습니다.
다음 중 하나라도 달성할 수 없는 것이 있으면 다시 ssh 설정 으로 돌아가 설정을 잘 확인해 주십시오.

  • 이 목록 에 있는 것 같은 안직한 것을 설정하고 있지 않다.
  • Lan의 클라이언트에서 암호를 입력하지 않고 로그인할 수 없습니다.
  • 개인 키를 설정하지 않고 로그인할 수 없습니다.
  • SSH의 포트 번호를 다른 소프트웨어가 사용하고 있지 않습니다. (명령으로 조사한 후에는 wikipedia 의 목록에도 없으면 문제 없을 것입니다.)

  • WAN을 통해 연결할 수 있도록 허용



    우선은, 가정내의 라우터의 설정을 실시해 포트 개방을 실시합니다.
    라우터에 따라 설정 방법이 바뀌므로 「형번 포트 개방」등에서 조사해 주세요.

    "NO-IP"를 이용하여 DDNS를 설정합니다.

    JuiceSSH를 설정하여 SSH 서버에 연결해보십시오.
    이 때, 접속을 할 수 없는 경우는 스마트폰의 Wi-Fi를 끊어 둡니다.

    잘못된 로그인이 없는지 확인



    로그를 확인하는 방법.
    예상치 못한 사람이 액세스해 오는 것은 드물지만, 일주일에 1회는 확인해 두는 것을 추천합니다.

     

    정리



    혹시, 이제 SSH는 필요 없게 되었다고 하는 때를 위해, 정리를 실시하는 방법도 써 둡니다.
    여기까지 제대로 설정하면 부정한 로그인은 되지 않는다고 생각합니다만, 「SSH에 취약성이 있었다」 뭐라고 하는 것은 언제나 사용해 의식하고 있지 않으면 깨닫지 않는 것이므로, 사용하지 않게 되면, 정리는 잊어 하지 말자.
      최초로, 가정내의 라우터에서 포트 개방하기 위해서 행한 설정을 삭제합니다.
    다음에 SSHD를 기동하지 않게 「/etc/init/ssh.conf」에 기입해지고 있는 「start on filesystem」을 코멘트 아웃 해, 재기동을 실시하면 SSHD가 기동하고 있지 않을 것입니다.

    다시 시작하고 싶은 경우는 "#start on filesystem"을 언코멘트하고 SSHD를 기동한 후에, 가정내의 라우터의 포트 개방을 할 뿐입니다.

     

    좋은 웹페이지 즐겨찾기