暗号化によるシェルログインが可能なSSH。そのセキュリティが確保される手段を使用していても,設定によっては危ういホールになってしまう可能性がある。
次に挙げる設定は,SSHを利用する上でぜひとも設定しておきたい。
# vi /etc/ssh/sshd_config ........... PermitRootLogin no PermitEmptyPasswords no PasswordAuthentication no AllowUsers hoge CheckHostIP yes |
上から3項目は,すべて「no」にしておこう。上から順に,「rootでのログイン手段を許すか」,「パスワードが設定されていないユーザーでのパスワード無しのログインを許すか」,「RSAによる暗号化ログインを必須とするか」である。
AllowUsers行は必須ではないものの,ログインできるユーザーを限定させるために有効な設定だ。さらに「CheckHostIP」を「yes」にしておくと,万が一DNSを奪われて偽装ホストにログインしようとしてしまった際,ホストキーが変わっていることを検出できるようになる。
もちろん,設定後はSSHdの再起動を忘れずに。
Copyright © ITmedia, Inc. All Rights Reserved.