説明
免責事項: この記事には、サードパーティ製品に関する情報が含まれている場合があります。 そのような情報は参照だけのためです。 Alibaba Cloudは、明示または黙示を問わず、サードパーティ製品のパフォーマンスと信頼性、および製品に対する操作の潜在的な影響に関して、いかなる保証も行いません。
概要
ここでは、LinuxインスタンスのSSHサービスのセキュリティ設定を最適化する方法について説明します。
背景
説明
以下の点にご注意ください。
- インスタンス設定やデータの変更など、リスクを引き起こす可能性のある操作を実行する前に、データのセキュリティを確保するために、インスタンスのディザスタリカバリ機能とフォールトトレランス機能を確認することを推奨します。
- ECSおよびRDSインスタンスを含むがこれらに限定されないインスタンスの構成およびデータを変更する場合、スナップショットを作成するか、RDSログバックアップを有効にすることを推奨します。
- Alibaba Cloud管理コンソールでログオンアカウントやパスワードなどのセキュリティ情報を承認または送信した場合は、そのような情報をタイムリーに変更することを推奨します。
説明
注: ポートまたはその他の設定を変更すると、現在のログオン要求は無効になります。 ご注意ください。
- SSHサービス設定ファイルの接続ポートを変更します。 別の非標準ポートを使用することを推奨します。 ポートは1024〜65535の範囲で指定できます。
説明
注: SSHサービス設定ファイルのパスは
/etc/ssh/sshd_configです。ポート22022 - SSHサービス設定ファイルを変更して、ルートユーザーがSSH経由でシステムにログオンできないようにします。 システムにログオンしてrootアカウントに切り替えるには、共通ユーザーを使用することを推奨します。
PermitRootLogin no - 設定ファイルを変更した後、SSHサービスを再起動して設定を有効にします。
/etc/init.d/sshdの再起動 /etc/hosts.de ny設定ファイルを変更して、すべてのIPアドレスがSSH接続を使用できないようにします。sshd:all:deny/etc/hosts.allow設定ファイルを変更して、指定したIPアドレスを設定し、SSH接続を許可します。sshd:XXX.XXX.XXX: 許可- 設定が完了したら、共通ユーザーと指定された送信元IPアドレスとSSHポートのみを使用してシステムにログオンできることを確認します。 システムにログインした後、
suコマンドを実行してrootユーザーに切り替えることができます。
適用対象
- Elastic Compute Service