さくらVPS【SSL】SSH

さくらVPSでスタートアップスクリプト「CentOS_Let’s Encrypt」を使用してインストールCentOS7のSSH設定

インストールしたCentOS7では、SSH接続するためのアプリケーションとして「openssh」が、既にインストールされていました。

# rpm -qa | grep ssh
openssh-clients-7.4p1-21.el7.x86_64
openssh-server-7.4p1-21.el7.x86_64
openssh-7.4p1-21.el7.x86_64
libssh2-1.8.0-3.el7.x86_64
#

◎SSHのルートログインを禁止

• デフォルトでSSHのルートログインは禁止されているようでしたが、念の為「/etc/ssh/sshd_config」を修正して、ルートでのS
• SH接続を禁止しました。

  # cd /etc/ssh/
  # cp sshd_config sshd_config.org
  # nano sshd_config
  #
  

  • 修正内容は、PermitRootLoginのパラメータ を「no」と明示しただけです。

    #-# PermitRootLogin yes
    PermitRootLogin no
    

• systemctlコマンドで、さくらVPSのsshdを再起動しました。

  # systemctl restart sshd
  #
  

• 一旦ログアウトし、iMacのターミナルからrootでSSH接続が出来ないことを確認しました。

  # exit
  iMac:~  $ ssh root@XXXXXX.sakura.ne.jp
  root@XXXXXX.sakura.ne.jp's password: 
  Permission denied, please try again.
  root@XXXXXX.sakura.ne.jp's password: 
  

• 念の為、iMaacのコンソールから、さくらVPS「XXXXXX.sakura.ne.jp」に一般ユーザ「sakura」でSSH接続できることを確認しました。

  $ ssh sakura@XXXXXX.sakura.ne.jp
  sakura@XXXXXX.sakura.ne.jp's password: 
  

◎firewallの設定（Port変更）

• firewall-cmdでファイアウォールの設定を確認しました。sshは、デフォルトでサービス設定されていました。

  # firewall-cmd --list-all
  public (active)
    target: default
    icmp-block-inversion: no
    interfaces: eth0 eth1 eth2
    sources: 
    services: cockpit dhcpv6-client ssh
    ports: 
    protocols: 
    masquerade: no
    forward-ports: 
    source-ports: 
    icmp-blocks: 
    rich rules:
  #
  

• /etc/ssh/sshd_configを編集して、SSHサーバーのポートをデフォルト値（22）から変更（XXXXXX）しました。

  # cd /etc/ssh/
  # nano sshd_config
  #
  

  • 「#Port 22」の下に「Port XXXXX」を追記しました。

    #Port 22
    Port XXXXX
    

• firewall-cmdで古いSSHサーバーのポート（port=22/tcp）を閉じて、新しいSSHサーバーのポート（port=XXXXX/tcp）を解放するように設定しました。

  # firewall-cmd --permanent --remove-port=22/tcp
  success
  # firewall-cmd --permanent --add-port=XXXXX/tcp
  success
  #
  

• systemctlコマンドで、firewalldを再起動しました。

  # systemctl restart firewalld
  #
  

• firewall-cmdで、新しいSSHサーバーのポート（ports: XXXXX/tcp）が追加されていることを確認しました。

  # firewall-cmd --list-all
  public (active)
    target: default
    icmp-block-inversion: no
    interfaces: eth0
    sources: 
    services: cockpit dhcpv6-client ssh
    ports: XXXXX/tcp
    protocols: 
    masquerade: no
    forward-ports: 
    source-ports: 
    icmp-blocks: 
    rich rules: 
  #
  

• systemctlコマンドで、sshdを再起動しました。

  # systemctl restart sshd
  #
  

• iMacのターミナルから古いSSHサーバーのポート(port 22)でログイン出来ないことを確認しました。

  iMac:~ $ ssh sakura@XXXXX.sakura.ne.jp
  ssh: connect to host XXXXX.sakura.ne.jp port 22: Connection refused
  

• iMacのターミナルから新しいSSHサーバーのポート(port XXXXX)でログインしてsuコマンドでルートになることが出来ることを確認してSSHの設定を終了しました。

  iMac:~ $ ssh -pXXXXXX sakura@XXXXX.sakura.ne.jp
  sakura@XXXXX.sakura.ne.jp's password: 
  $ su -
  パスワード:
  #
  

<= さくらVPS【SSL】でCentOS7 |

| さくらVPS【SSL】でNginx =>