インフラ構築 ポートの変更
今回からインフラ構築の記事を書いていきます。 まずはいじくれるサーバーを用意します
最初にポートの変更を行っていきます。
現在22番でログインしているのですがどうやらSSHサービスを22番ポートで公開しているとかなり攻撃されてしまうようです。。 特にパスワード認証の場合は不正ログインされてしまう可能性もあるとのことです。
ポート番号を22から10022に変更します。
まずは変更前に10022でログインできるように設定します。 これを忘れると設定後にログイン出来なくなるので注意です。
chkconfig iptables --list
下記のように表示されます。
iptables 0:off 1:off 2:on 3:on 4:on 5:on 6:off
3:onになっていることを確認します。
もし、3:off になっていた場合は、以下のコマンドを実行して 3:on にします。
chkconfig iptables on
つづいて 「/etc/sysconfig/iptables」を記載していきます。
*filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 10022 -j ACCEPT COMMIT
上記を設定するとサーバー側でSSHポートを10022に設定されます。
続いて下記で設定変更を行います。
vi etc/ssh/sshd_config
ポートの設定があるので下記のように設定します。
Port 22 #もともとのポート番号 Port 10022 #追加したポート番号
設定を有効にするために下記を実行します
service iptables restart service sshd restart
ポートの設定を確認するためにNmapを使って確認します。
nmap -p 1-10022 hostname
下記のように表示されるはずです。
PORT STATE SERVICE 22/tcp closed ssh 10022/tcp open unknown
Nmapなんてしらないよーと言われたら下記コマンドでインストールしてください。
yum -y install nmap
10022 のポート設定を確認しましたら22の設定を削除します。
vi etc/sysconfig/iptables
設定から22番を取り除きます
*filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 10022 -j ACCEPT COMMIT
続いて下記も設定変更を行います。
vi etc/ssh/sshd_config
ポートの設定から22を削除します。
Port 10022 #追加したポート番号
編集後は忘れずに下記を実行します。
service iptables restart service sshd restart
最後にnmapを実行してポートを確認します。
nmap -p 1-10022 hostname
先程は22もあったのですが10022だけになっていることを確認します。
PORT STATE SERVICE 10022/tcp open unknown
以上が済みましたら実際に22では入れないことも確認します。 ですが10022でもうまく入れないのでまだ引き続きになります。
下記サイトを参考にいたしました。