SSHのセキュリティはずっと悩ましい問題です。
一応、セオリー的なものはあるものの、安全性と利便性は相反するものです。
自宅サーバを構築したら、外出先からアクセスできるようにしたいのが本音ですが、持ち主が外からアクセスできるということは、他からもアクセスができてしまいます。
実際に著者も攻撃を受け、何度かアカウントがロックされてしまったことがあります。
前回、VPNで自宅のネットワークに接続できるようになりましたので、自宅のIPアドレスからしかアクセスできないようにする方法をご紹介します。
SSH接続するIPアドレスを制限
手順としては、hosts.deny
で全て制限した上で、hosts.allow
にSSH接続を許可するIPアドレスを追加していきます。
まずは、hosts.deny
を編集モードで開き、
vi /etc/hosts.deny
末尾に以下を追記して全てを制限します。
sshd: all
制限は以上です。
SSH接続を許可するIPアドレスを指定
次に、hosts.allow
を編集モードで開き、
vi /etc/hosts.allow
末尾に以下を追加して許可するIPアドレスを設定します。
sshd: 192.168.XXX.XXX
ちなみに同じセグメント内の全てのIPアドレスを許可したければ、以下のように設定します。
sshd: 192.168.XXX.
注)最後は.(ドット)
上記の場合だと第3オクテットまで同じIPアドレスであればアクセスが可能になります。
また、IPアドレスを1つ1つ指定したい場合はカンマ区切りにするようです。
これで自宅のネットワーク以外からはアクセスできないようになりましたね!
また安心して眠れると思います。
- Original:https://minory.org/ssh-local-ip.html
- Source:Minory
- Author:管理者