Linux SysOps における SSH アクセス制御ポリシーの適用

Linux SysOps における SSH アクセス制御ポリシーの適用、具体的なコード例は次のとおりです。

Linux システムの運用と保守では、SSH (Secure Shell) が使用されます。暗号化の一種 リモート ログイン プロトコルは、リモート サーバー管理で広く使用されています。ただし、SSH のデフォルト設定が緩いため、セキュリティ上のリスクが発生する可能性があります。システムのセキュリティを強化するには、SSH のアクセス制御ポリシーを構成および管理する必要があります。この記事では、SSH アクセス制御ポリシーのアプリケーションを紹介し、具体的なコード例を示します。

1. SSH root ユーザー ログインを無効にする:

デフォルトでは、SSH は root ユーザーにパスワードを使用したログインを許可しますが、これはシステムのセキュリティにリスクをもたらします。システムのセキュリティを向上させるには、SSH を介した root ユーザーのログインを無効にする必要があります。 SSH 構成ファイル /etc/ssh/sshd_config を変更して、ファイル内で PermitRootLogin オプションを見つけ、その値を no に変更します。

サンプル コード:

sudo nano /etc/ssh/sshd_config

PermitRootLogin を no に変更し、保存して終了します。

2. パスワード ログインを無効にして公開キー ログインのみを許可する:

システムのセキュリティを強化するために、パスワード ログインを無効にして公開キー ログインのみを許可することもできます。公開キー認証を使用すると、パスワードの推測やブルート フォース攻撃のリスクを回避できます。公開キー認証を構成するには、サーバー上で公開キーと秘密キーのペアを生成し、公開キーを ~/.ssh/authorized_keys ファイルに追加する必要があります。

サンプル コード:
まず、公開キーと秘密キーのペアをローカルで生成します:

ssh-keygen -t rsa

プロンプトに従って、ファイル ストレージ パスとパスワード (オプション) を設定します。

次に、公開キーをリモート サーバーにコピーします。

ssh-copy-id user@remote_server_ip

user を、リモート サーバーにログインするユーザー名 remote_server_ip に置き換えます。 リモート サーバーの IP アドレスに置き換えます。

最後に、SSH サーバーに再度ログインします:

ssh user@remote_server_ip

これにより、パスワードを入力せずに公開キーを使用して自動的に認証されます。

3. SSH ログインを特定の IP 範囲に制限する:

システムのアクセス制御をさらに強化するために、SSH ログインを特定の IP 範囲のみに制限できます。 SSH 構成ファイル /etc/ssh/sshd_config を変更することで、AllowUsers オプションを構成して、特定のユーザーが特定の IP アドレス範囲からのみログインすることを制限できます。

サンプル コード:

sudo nano /etc/ssh/sshd_config

ファイル内で AllowUsers オプションを見つけて、特定のユーザー名と IP 範囲を追加します。

たとえば、ユーザー user1 が IP アドレス 192.168.0.0/24 を持つホストからのみログインするように制限するには:

AllowUsers user1@192.168.0.*

Saveそして設定ファイルを終了します。

4. ファイアウォールを使用して SSH アクセスを制御する:

SSH 構成ファイルでのアクセス制御に加えて、ファイアウォールを使用して SSH アクセスを制御することもできます。ファイアウォール ルールを構成することで、特定の IP アドレスとポートによる SSH サービスへのアクセスを制限できます。

サンプル コード:
iptables コマンドを使用してファイアウォール ルールを構成します:

sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.0.0/24 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j DROP

上記のコードの意味は、192.168.0.0 からのアクセスを許可することです。 /24ネットワーク セグメント内の IP アドレスは SSH サービスにアクセスし、他の IP アドレスからのアクセスを拒否します。

最後に、ファイアウォール ルールを適用します:

sudo iptables-save > /etc/sysconfig/iptables
sudo systemctl restart iptables

このようにして、ファイアウォールを使用して SSH アクセスを制限します。

概要:

root ログインを無効にし、パスワード ログインを無効にし、SSH ログインを特定の IP 範囲に制限し、ファイアウォールを使用して SSH アクセスを制御することで、システムのセキュリティを強化できます。 Linux SysOps の場合、SSH アクセス制御ポリシーは重要なセキュリティ対策です。この記事で提供されているコード例を通じて、SSH アクセス コントロール ポリシーの構成と管理を改善するのに役立つことを願っています。

以上がLinux SysOps における SSH アクセス制御ポリシーの適用の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。